Stručnjaci upozoravaju na novu prevaru koja koristi identifikaciju Windows Live naloga kao mamac kako bi ukrala lične podatke koji se nalaze na korisničkim profilima usluga kao što su Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger i OneDrive.
„Pošteni” phishing napadi
Korisnici dobijaju upozorenje putem i-mejla da su njihovi Windows Live nalozi korišćeni kako bi bili distribuirani neželjeni i-mejlovi, i da će zbog toga biti blokirani. Kako bi sprečili da njihovi nalozi budu suspendovani, korisnici treba da kliknu na link ažurirati svoje podatke kako bi se složili sa novim bezbednosnim procedurama ove usluge. Ovo deluje kao tipičan i-mejl koji se koristi u phishing napadima. Od žrtava se očekuje da klknu na link koji će ih odvesti na lažne veb sajtove koji imitiraju zvaničnu stranicu Windows Live naloga. Podaci koje korisnici tu unesu će zatim biti poslati napadačima. Upravo zbog toga su naši stručnjaci bili začuđeni kada ih je link sa spam poruke zaista odveo na pravi veb sajt Windows Live naloga i nije bilo pokušaja da budu ukradeni podaci kao što su korisničko ime i lozinka.
U čemu je trik?
Nakon što su kliknuli na link u spam poruci i uspešno obavili autorizaciju na zvaničnom sajtu live.com, korisnici su dobili zanimljiv zahtev od Windows Live usluge: zahtev za dozvolu da aplikacija bude automatski ulogovana na nalog, vidi informacije o profilu i listi kontakata, i ima pristup korisnikovim privatnim i poslovnim i-mejl adresama. Prevaranti su dobili pristup ovoj tehnici zbog bezbednosnih propusta u otvorenom protokolu za autorizaciju, pod nazivom OAuth.
Korisnici koji kliknu na „Da” ne odaju svoja korisnička imena i lozinke, ali omogućuju napadačima da ukradu i-mejl adrese njihovih kontakata, kao i nadimke i prava imena njihovih prijatelja. Takođe je moguće da napadači dobiju pristup drugim podacima, kao što su spiskovi sastanaka i drugih važnih događaja. Ovi podaci će najverovatnije biti korišćeni sa ciljem obmane, kao što je slanje spam poruka kontaktima ili izvođnje spear phishing napada.
„Već neko vreme znamo da postoje bezbednosni propusti u OAuth protokolu: početkom 2014. godine, student iz Singapura je opisao moguće načine na koji mogu biti ukradeni korisnički podaci nakon provere identiteta. Međutim, ovo je prvi put da smo se sreli sa prevarantima koji koriste phishing i-mejlove da bi iskoristili ovu tehniku. Prevarant može da iskoristi ukradene podatke da kreira detaljan profil korisnika, uz pomoć informacija o tome šta korisnik radi, sa kime se nalazi i ko su mu prijatelji. Ovakav profil dalje može biti korišćen za kriminalne radnje”, izjavio je Andrej Kostin (Andrey Kostin), viši analitičar veb sadržaja u kompaniji Kaspersky Lab.
Kreatorima veb aplikacija za društvene mreže koje koriste OAuth protokol savetujemo da:
- izbegavaju korišćenje otvorenog preusmeravanja sa vaših veb sajtova;
- kreiraju listu bezbednih adresa za preusmeravanje putem Oauth protokola, zato što prevaranti mogu da obave skriveno preusmeravanje na štetan veb sajt tako što će pronaći aplikaciju preko koje može biti napdnut i promenjen njen „redirect_uri” parametar.
Preporuke korisnicima:
- Ne posećujte linkove koje dobijate putem i-mejla ili privatnih poruka sa društvenih mreža;
- Ne dozvoljavajte nepoznatim aplikacijama pristup vašim ličnim podacima;
- Proverite da li u potpunosti razumete sva prava koja određena aplikacija ima prilikom pristupa vašem nalogu;
- Ako otkrijete da aplikacije distribuira spam poruke ili štetne linkove umesto vas, možete da podnesete žalbu administratoru društvene mreže ili veb usluge i ta aplikacija će biti blokirana;
- Redovno ažurirajte vaše antivirus programe i zaštitu od phishing napada.
Da saznate više, molimo vas da pročitate blog koji je dostupan na stranici Securelist.com.