Data: Czwartek, 21 maja 2015, 12:27

Live ID jako przynęta - nowy rodzaj oszustwa

Cyberprzestępcy wykorzystują identyfikator Windows Live ID jako przynętę, by kraść informacje osobiste z profili użytkowników w takich usługach jak Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger oraz OneDrive.

Użytkownicy otrzymują wiadomości z ostrzeżeniem, że ich konta Windows Live ID są wykorzystywane do rozsyłania niechcianych e-maili i mogą zostać zablokowane. Aby tego uniknąć, należy kliknąć odnośnik i uaktualnić dane zgodnie z nowymi wymaganiami usługi. Brzmi to jak typowa treść wiadomości phishingowej - od ofiar oczekuje się kliknięcia odnośnika, który prawdopodobnie otworzy sfałszowaną stronę logowania, gdzie użytkownicy dobrowolnie „przekażą” atakującym swoje loginy, hasła i inne poufne informacje. Tym razem jest jednak inaczej - eksperci z Kaspersky Lab byli zdziwieni, gdy okazało się, że odnośnik w cyberprzestępczej wiadomości kieruje do oficjalnej strony Windows Live, a do tego nie pojawiły się żadne próby wyłudzenia danych od użytkowników.

Na czym polega trik?

Po kliknięciu odnośnika z wiadomości e-mail i pomyślnym zalogowaniu się do swojego konta na oficjalnej stronie live.com użytkownik otrzymuje nietypowe powiadomienie od usługi. Komunikat informuje, że aplikacja zażądała zgody na automatyczne logowanie się do konta, przeglądanie profilu i listy kontaktów oraz na uzyskiwanie dostępu do listy osobistych adresów e-mail użytkownika. Cyberprzestępcy zdołali wykorzystać tę technikę poprzez użycie błędów w otwartym protokole uwierzytelniania - OAuth.

Użytkownicy, którzy klikną „Tak”, nie przekazują atakującym swoich danych logowania, ale dają im dostęp do osobistych informacji, takich jak adresy e-mail, pseudonimy, a nawet prawdziwe imiona i nazwiska ich znajomych. Cyberprzestępcy mogą także mieć wgląd w inne dane, takie jak listy spotkań i ważnych wydarzeń, w których ma zamiar uczestniczyć ofiara ataku. Wszystkie te informacje mogą zostać wykorzystane do przeprowadzania dalszych oszustw i podszywania się pod inne osoby.

„O lukach w bezpieczeństwie protokołu OAuth wiemy już od jakiegoś czasu - na początku 2014 r. student z Singapuru zaprezentował metodę pozwalającą ukraść dane użytkownika po tym jak zaloguje się on do danej usługi. Jednak po raz pierwszy widzimy zastosowanie tej techniki w phishingowych e-mailach wysyłanych przez cyberprzestępców. Oszust może wykorzystać ten zabieg do stworzenia pełnych profili użytkowników, łącznie z informacjami o tym, co robią, z kim się spotykają, kto należy do grona ich przyjaciół itp. Profile takie mogą być następnie wykorzystywane do celów przestępczych” - powiedział Andriej Kostin, starszy analityk treści, Kaspersky Lab.