Campanie a hackerilor împotriva utilizatorilor de servicii Microsoft

Campania de atacuri cibernetice se foloseşte de Windows Live ID

Experţii Kaspersky Lab avertizează cu privire la o nouă campanie de atacuri cibernetice care foloseşte Windows Live ID pentru a obţine informaţiile confidenţiale pe care utilizatorii le stochează pe Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger sau OneDrive.

Mai întâi, utilizatorii primesc notificări pe e-mail care îi anunţă că altcineva le utilizează conturile Windows Live ID pentru a distribui mesaje spam şi că acestea urmează să fie blocate. Pentru a evita suspendarea conturilor, li se transmite că trebuie să acceseze un link şi să îşi actualizeze informaţiile personale pentru a răspunde noilor necesităţi de securitate ale serviciului. La o primă vedere, această procedură pare similară unei tentative obişnuite de phishing.

Atacatorii se aşteaptă ca utilizatorii să acceseze link-urile care îi redirecţionează pe site-uri false care imită pagina oficială Windows Live. Ulterior, informaţiile introduse urmează să fie distribuite infractorilor cibernetici. Însă, experţii Kaspersky Lab au descoperit că link-ul din e-mail-ul de phishing redirecţionează utilizatorii către site-ul oficial Windows Live şi că, aparent, nu exista nicio tendinţă de a sustrage datele de logare.

Care este frauda?

După accesarea link-ului din e-mail şi după autorizarea accesului pe site-ul oficial live.com, utilizatorii primesc o altă notificare de la o aplicaţie care cere permisiunea de a se loga automat în cont, de a vizualiza informaţiile de pe profil, listele de contacte şi adresele de e-mail din conturile personale şi de servciu. Astfel, infractorii cibernetici obţin acces la vulnerabilităţi de securitate din protocolul de autorizare OAuth.

Utilizatorii care acordă permisiunea de acces nu îşi oferă datele de logare, însă oferă informaţii personale, adresele de e-mail ale contactelor şi numele reale ale prietenilor. În plus, infractorii cibernetici pot accesa alţi parametri, precum informaţii despre întâlnirile programate sau alte evenimente importante. Informaţiile acestea pot fi utilizate în scopuri frauduloase precum distribuirea de mesaje spam sau lansarea unor atacuri de tip spear phishing.

„Ştiam deja că există vulnerabilităţi de securitate în protocolul OAuth: la începutul anului 2014, un student din Singapore a descris mai multe modalităţi prin care se pot sustrage datele utilizatorilor după autentificare,” a declarat Andrey Kostin, Senior Web Content Analyst în cadrul Kaspersky Lab. „Totuşi, aceasta este prima dată când descoperim infractori cibernetici care utilizează e-mail-uri de tip phishing pentru a pune în practică aceste tehnici. Atacatorii pot utiliza informaţiile interceptate pentru a crea portrete complexe ale utilizatorilor, cu informaţii despre ceea ce fac, cu cine se întâlnesc şi care le sunt prietenii. Acest profil poate fi utilizat în scopuri infracţionale,” a explicat Andrey Kostin.

Dezvoltatorii aplicaţiilor web pentru reţele sociale care utilizează protocolul OAuth sunt sfătuiţi să:

1. Evite utilizarea redirecţionărilor deschise de pe pagina lor;
2. Să creeze o listă de încredere pentru redirecţionările care utilizează OAuth, deoarece infractorii cibernetici pot folosi redirecţionări ascunse pentru a aduce utilizatorii pe un site periculos prin aplicaţii vulnerabile, schimbând parametrul „redirect_uri”.