Kyberzločinci zneužívají Live ID jako návnadu

22. květen 2015 10:25 0 komentářů

Podvodníci zneužili Windows Live ID jako návnadu na získání osobních informací z uživatelských profilů. Na podvod upozornili analytici Kaspersky Lab. Týká se dat uložených v profilech služeb, jako jsou Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger či OneDrive.

„Poctivý phishing“ Uživatelé obdrží e-mailem varování, že je jejich Windows Live ID účet používán k distribuci nevyžádaných zpráv a bude zablokován. Aby tomuto předešli, jsou vyzváni k následování odkazu a aktualizaci uživatelských detailů v souladu s novými bezpečnostními požadavky služby. Tato zpráva vypadá jako typický phishingový e-mail, kdy se od obětí očekává, že kliknou na odkaz odkazující na falešný web napodobující oficiální stránky a zadají data, která budou zaslána podvodníkům. V tomto případě však odkaz v podvodném e-mailu skutečně vedl na oficiální web Windows Live a analytici nezaznamenali žádný pokus získat přihlašovací údaje či hesla uživatele.

Ovšem po úspěšném ověření účtu na oficiálních stránkách live.com, uživatelé obdrželi ze služby nezvyklou výzvu. Aplikace žádala povolení k automatickému přihlášení do účtu, zobrazení profilových informací, adresáře a přístupu k seznamu e mailových adres uživatelů, a to jak pracovních, tak osobních. Podvodníci při této technice využili bezpečnostní chyby v otevřeném protokolu pro autentizaci (OAuth).

Uživatelé, kteří klikli na „ano“, neprozradili své přihlašovací údaje a hesla, ale poskytli osobní data, e-mailové adresy svých kontaktů a přezdívky i reálná jména svých přátel. Povolit přístup bylo možné i k ostatním informacím, včetně seznamu schůzek či důležitých událostí. Tato data jsou pravděpodobně použita k podvodným účelům, jako například zasílání spamu kontaktům z adresáře oběti nebo zahájení cílených phishingových útoků.

O bezpečnostních chybách v OAuth protokolech již nějakou dobu víme. Na začátku roku 2014 singapurský student popsal možné cesty, jak ukrást data uživatelů po autentizaci. Toto je ale poprvé, co jsme narazili na použití phishingového e-mailu k uvedení těchto praktik do praxe. Podvodník může využít získané údaje k vytvoření podrobného obrazu uživatele, včetně informací o tom, co dělá, s kým se stýká, kdo jsou jeho přátelé a podobně. Tento profil pak může být zneužit ke kriminálním účelům,“ dodal přední analytik Kaspersky Lab Andrey Kostin.

Analytici Kaspersky Lab radí vývojářům webových aplikací pro sociální sítě pracující s OAuth protokolem:

  1. vyhnout se užívání otevřeného přesměrování z webových stránek,
  2. vytvořit si seznam důvěryhodných adres pro přesměrování pomocí OAuth. Podvodníci mohou provést skryté přesměrování na škodlivé stránky tím, že najdou aplikaci, kterou lze napadnout, a změní její „redirect_uri“ parametr.

Doporučení pro uživatele:

  1. Neklikejte na odkazy přijaté e-mailem nebo v soukromých zprávách na sociálních sítích.
  2. Neposkytujte neznámým aplikacím právo přistupovat k vašim osobním údajům.
  3. Ujistěte se, že plně rozumíte přístupovým právům k účtu, které vyžaduje každá aplikace.
  4. Pokud zjistíte, že aplikace distribuuje spam nebo škodlivé odkazy vaším jménem, můžete zaslat stížnost administrátorovi sociální sítě nebo webové služby a aplikace bude zablokována.
  5. Aktualizujte svou antivirovou databázi a anti-phishingovou ochranu.

Komentáře

RSS 

Komentujeme

Virtuální realitou proti strachu ze smrti

Pavel Houser , 18. červenec 2017 07:00
Pavel Houser

Lidé, kteří reportují „zážitky blízké smrti“, pak mnohdy mají ze smrti menší strach. Nedalo by se to...

Více






Kalendář

22. 07.

27. 07.
Black Hat 2017
27. 07.

30. 07.
Defcon 2017
27. 08.

31. 08.
VMworld 2017
RSS 

Zprávičky

Čína chce být do 2025 světovým lídrem v oblasti umělé inteligence

ČTK , 22. červenec 2017 09:00

Plán přichází v době, kdy USA chtějí více kontrolovat investice, včetně investic do umělé inteligenc...

Více 0 komentářů

Santa Fe se chystá na premiéru opery o Jobsovi

ČTK , 22. červenec 2017 08:00

Spád opery je stejně rychlý a dynamický jako technologie, které Jobs vytvořil, tvrdí autoři....

Více 0 komentářů

Policejní úřady USA a EU zakročily proti ilegálním serverům

ČTK , 21. červenec 2017 10:00

Kromě AlphaBay se zásah týkal také ilegálního tržiště darknetu Hansa....

Více 1 komentářů

Starší zprávičky

Poskytovatelé IT služeb budou mít brzy problém uspokojit poptávku

Pavel Houser , 21. červenec 2017 09:00

Poskytovatelé řízených IT služeb (MSP – managed service providers) vidí ve službě cybersecurity-as-a...

Více 1 komentářů

Amazon spustil nákupní sociální síť Spark pro chytré telefony

ČTK , 21. červenec 2017 08:00

Jedná se de facto o křížence Instagramu, Pinterestu a e-shopu....

Více 0 komentářů

V Praze se instalují první chytré lavičky připojené přes síť LoRa

Pavel Houser , 20. červenec 2017 13:28

Lavička TreeSmart nabízí wi-fi připojení, nabíjení mobilních zařízení a senzory snímající vlhkost, t...

Více 3 komentářů

SUSE a Supermicro uzavírají globální partnerství

Pavel Houser , 20. červenec 2017 10:00

Firmy poskytnou řešení pro kritickou infrastrukturu, softwarově definovaná datová centra a integrova...

Více 0 komentářů