Expertii Kaspersky Lab avertizeaza cu privire la o noua campanie de atacuri cibernetice care foloseste Windows Live ID pentru a obtine informatiile confidentiale pe care utilizatorii le stocheaza pe Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger sau OneDrive.
Mai intai, utilizatorii primesc notificari pe e-mail care ii anunta ca altcineva le utilizeaza conturile Windows Live ID pentru a distribui mesaje spam si ca acestea urmeaza sa fie blocate. Pentru a evita suspendarea conturilor, li se transmite ca trebuie sa acceseze un link si sa isi actualizeze informatiile personale pentru a raspunde noilor necesitati de securitate ale serviciului.
La o prima vedere, aceasta procedura pare similara unei tentative obisnuite de phishing. Atacatorii se asteapta ca utilizatorii sa acceseze link-urile care ii redirectioneaza pe site-uri false care imita pagina oficiala Windows Live. Ulterior, informatiile introduse urmeaza sa fie distribuite infractorilor cibernetici. Insa, expertii Kaspersky Lab au descoperit ca link-ul din e-mail-ul de phishing redirectioneaza utilizatorii catre site-ul oficial Windows Live si ca, aparent, nu exista nicio tendinta de a sustrage datele de logare.
Care este frauda?
Dupa accesarea link-ului din e-mail si dupa autorizarea accesului pe site-ul oficial live.com, utilizatorii primesc o alta notificare de la o aplicatie care cere permisiunea de a se loga automat in cont, de a vizualiza informatiile de pe profil, listele de contacte si adresele de e-mail din conturile personale si de servciu. Astfel, infractorii cibernetici obtin acces la vulnerabilitati de securitate din protocolul de autorizare OAuth.
Utilizatorii care acorda permisiunea de acces nu isi ofera datele de logare, insa ofera informatii personale, adresele de e-mail ale contactelor si numele reale ale prietenilor. In plus, infractorii cibernetici pot accesa alti parametri, precum informatii despre intalnirile programate sau alte evenimente importante. Informatiile acestea pot fi utilizate in scopuri frauduloase precum distribuirea de mesaje spam sau lansarea unor atacuri de tip spear phishing.
„Stiam deja ca exista vulnerabilitati de securitate in protocolul OAuth: la inceputul anului 2014, un student din Singapore a descris mai multe modalitati prin care se pot sustrage datele utilizatorilor dupa autentificare,” a declarat Andrey Kostin, Senior Web Content Analyst in cadrul Kaspersky Lab. „Totusi, aceasta este prima data cand descoperim infractori cibernetici care utilizeaza e-mail-uri de tip phishing pentru a pune in practica aceste tehnici. Atacatorii pot utiliza informatiile interceptate pentru a crea portrete complexe ale utilizatorilor, cu informatii despre ceea ce fac, cu cine se intalnesc si care le sunt prietenii. Acest profil poate fi utilizat in scopuri infractionale,” a explicat Andrey Kostin.
Dezvoltatorii aplicatiilor web pentru retele sociale care utilizeaza protocolul OAuth sunt sfatuiti sa:
1. Evite utilizarea redirectionarilor deschise de pe pagina lor;
2. Sa creeze o lista de incredere pentru redirectionarile care utilizeaza OAuth, deoarece infractorii cibernetici pot folosi redirectionari ascunse pentru a aduce utilizatorii pe un site periculos prin aplicatii vulnerabile, schimband parametrul „redirect_uri”.
Recomandari pentru utilizatori:
1. Utilizatorii sunt sfatuiti sa nu acceseze link-urile pe care le primesc pe e-mail sau in mesaje private pe retelele sociale;
2. Expertii Kaspersky Lab recomanda utilizatorilor sa nu permita aplicatiilor necunoscute sa le acceseze datele personale;
3. Utilizatorii trebuie sa se asigure ca inteleg ce presupun drepturile de acces cerute de aplicatii;
4. In cazul in care descopera ca o aplicatie distribuie link-uri spam sau periculoase in numele lor, utilizatorii pot trimite plangeri administratorilor retelelor sociale sau serviciilor web, iar aplicatia respectiva va fi blocata;
5. In plus, utilizatorii sunt sfatuiti sa-si actualizeze constant bazele de date ale software-ului antivirus si protectia anti-phishing integrata.
