Podvodníci zneužili Windows Live ID jako návnadu na získání osobních informací z uživatelských profilů. Na podvod upozornili analytici Kaspersky Lab. Týká se dat uložených v profilech služeb, jako jsou Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger či OneDrive.
„Poctivý phishing“
Uživatelé obdrží e-mailem varování, že je jejich Windows Live ID účet používán k distribuci nevyžádaných zpráv a bude zablokován. Aby tomuto předešli, jsou vyzváni k následování odkazu a aktualizaci uživatelských detailů v souladu s novými bezpečnostními požadavky služby. Tato zpráva vypadá jako typický phishingový e-mail, kdy se od obětí očekává, že kliknou na odkaz odkazující na falešný web napodobující oficiální stránky a zadají data, která budou zaslána podvodníkům. V tomto případě však odkaz v podvodném e-mailu skutečně vedl na oficiální web Windows Live a analytici nezaznamenali žádný pokus získat přihlašovací údaje či hesla uživatele.
Ovšem po úspěšném ověření účtu na oficiálních stránkách live.com, uživatelé obdrželi ze služby nezvyklou výzvu. Aplikace žádala povolení k automatickému přihlášení do účtu, zobrazení profilových informací, adresáře a přístupu k seznamu e mailových adres uživatelů, a to jak pracovních, tak osobních. Podvodníci při této technice využili bezpečnostní chyby v otevřeném protokolu pro autentizaci (OAuth).
Uživatelé, kteří klikli na „ano“, neprozradili své přihlašovací údaje a hesla, ale poskytli osobní data, e-mailové adresy svých kontaktů a přezdívky i reálná jména svých přátel. Povolit přístup bylo možné i k ostatním informacím, včetně seznamu schůzek či důležitých událostí. Tato data jsou pravděpodobně použita k podvodným účelům, jako například zasílání spamu kontaktům z adresáře oběti nebo zahájení cílených phishingových útoků.
„O bezpečnostních chybách v OAuth protokolech již nějakou dobu víme. Na začátku roku 2014 singapurský student popsal možné cesty, jak ukrást data uživatelů po autentizaci. Toto je ale poprvé, co jsme narazili na použití phishingového e-mailu k uvedení těchto praktik do praxe. Podvodník může využít získané údaje k vytvoření podrobného obrazu uživatele, včetně informací o tom, co dělá, s kým se stýká, kdo jsou jeho přátelé a podobně. Tento profil pak může být zneužit ke kriminálním účelům,“ dodal přední analytik Kaspersky Lab Andrey Kostin.
Analytici Kaspersky Lab radí vývojářům webových aplikací pro sociální sítě pracující s OAuth protokolem:
- vyhnout se užívání otevřeného přesměrování z webových stránek,
- vytvořit si seznam důvěryhodných adres pro přesměrování pomocí OAuth. Podvodníci mohou provést skryté přesměrování na škodlivé stránky tím, že najdou aplikaci, kterou lze napadnout, a změní její „redirect_uri“ parametr.
Doporučení pro uživatele:
- Neklikejte na odkazy přijaté e-mailem nebo v soukromých zprávách na sociálních sítích.
- Neposkytujte neznámým aplikacím právo přistupovat k vašim osobním údajům.
- Ujistěte se, že plně rozumíte přístupovým právům k účtu, které vyžaduje každá aplikace.
- Pokud zjistíte, že aplikace distribuuje spam nebo škodlivé odkazy vaším jménem, můžete zaslat stížnost administrátorovi sociální sítě nebo webové služby a aplikace bude zablokována.
- Aktualizujte svou antivirovou databázi a anti-phishingovou ochranu.