Kaspersky Lab: Podvodníci zneužili Windows Live ID jako návnadu na získání osobních informací z uživatelských profilů. Týká se dat uložených v profilech služeb, jako jsou Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger či OneDrive.
Uživatelé obdrží e-mailem varování, že je jejich Windows Live ID účet používán k distribuci nevyžádaných zpráv a bude zablokován. Aby tomuto předešli, jsou vyzváni k následování odkazu a aktualizaci uživatelských detailů v souladu s novými bezpečnostními požadavky služby. Tato zpráva vypadá jako typický phishingový e-mail, kdy se od obětí očekává, že kliknou na odkaz odkazující na falešný web napodobující oficiální stránky a zadají data, která budou zaslána podvodníkům. V tomto případě však odkaz v podvodném e-mailu skutečně vedl na oficiální web Windows Live a analytici nezaznamenali žádný pokus získat přihlašovací údaje či hesla uživatele.
Ovšem po úspěšném ověření účtu na oficiálních stránkách live.com, uživatelé obdrželi ze služby nezvyklou výzvu. Aplikace žádala povolení k automatickému přihlášení do účtu, zobrazení profilových informací, adresáře a přístupu k seznamu e‑mailových adres uživatelů, a to jak pracovních, tak osobních. Podvodníci při této technice využili bezpečnostní chyby v otevřeném protokolu pro autentizaci (OAuth).
Uživatelé, kteří klikli na „ano“, neprozradili své přihlašovací údaje a hesla, ale poskytli osobní data, e-mailové adresy svých kontaktů a přezdívky i reálná jména svých přátel. Povolit přístup bylo možné i k ostatním informacím, včetně seznamu schůzek či důležitých událostí. Tato data jsou pravděpodobně použita k podvodným účelům, jako například zasílání spamu kontaktům z adresáře oběti nebo zahájení cílených phishingových útoků.
Analytici Kaspersky Lab radí vývojářům webových aplikací pro sociální sítě pracující s OAuth protokolem:
Doporučení pro uživatele:
Více se dozvíte na blogu Securelist.com.
reklama
reklama
reklama
reklama
