安全专家警告用户注意一种最新的使用Windows Live ID作为诱饵,获取用户个人信息的骗局
安全专家警告用户注意一种最新的使用Windows Live ID作为诱饵,获取用户个人信息的骗局。利用这种骗局,诈骗者可以获取到用户存储在多种在线服务账户如Xbox LIVE、Zune、Hotmail、Outlook、MSN、Messenger和One Drive中的数据。
“蜜罐”钓鱼
受害用户会受到警告邮件,声称用户的Windows Live ID账户被用于传播垃圾邮件,所以要屏蔽用户的账户。为避免账户被关闭,用户需要点击一个链接,按照服务提供商的最新安全需求,更新自己的个人详细信息。这听上去就像是一种非常典型的钓鱼邮件。攻击者希望受害者会点击邮件中的链接,将其带到一个模仿官方Windows Live页面的假冒网站。受害者输入的数据会被发送给欺诈者。但是让我们的安全专家感到疑惑的是,钓鱼邮件中的链接确实是将用户指引到了Windows Live官方网站,而且攻击者没有明显地试图获取用户的登录名和密码的行为。
安全专家按照邮件中链接的指引,在live.com官方网站成功授权和登陆了自己的账户。但之后用户会收到一个可疑的提示信息,声称一种应用程序请求许可,从而可以自动登陆账户、查看账户信息、联系人列表,并且访问用户的个人邮件列表和工作邮件列表。欺诈者就是利用这一手段,通过OAuth开放认证协议中的安全漏洞进行攻击的。
用户点击“是”后,不会泄露自己的登陆名和密码信息,但是会将全部个人信息、联系人邮件地址以及自己朋友的真实姓名等信息全部泄露。利用漏洞,攻击者还可以获取权限访问其他信息,例如用户的预约列表和日程列表等这些信息很可能被用来进行欺诈,例如向受害者通讯录中的联系人发送垃圾邮件,或进行鱼叉式钓鱼攻击。
“我们获悉OAuth协议中存在安全漏洞已经有一段时间了。遭灾2014年,一名来自新加坡的学生描述了验证后可用来窃取用户数据的方法。但是,这是我们首次遇到诈骗者使用钓鱼邮件,将这种攻击技巧付诸实施的案例。诈骗者能够利用截获到的信息,详细的描绘受害者,包括受害者是做什么的,和谁认识以及朋友是谁等等。这些信息可以被用来进行网络犯罪,”卡巴斯基实验室高级网页内容分析师 Andrey Kostin说。
我们建议使用OAuth协议的社交网络网页应用开发者:
- 避免在网站使用开放的重定向
- 创建一个使用OAuth进行重定向的可信任地址白名单,因为诈骗者能够发现可被攻击的应用程序,修改它的“redirect_uri”参数-------,进行隐蔽地重定向,将受害者定向到到恶意网站
针对用户的建议:
- 不要轻易点击邮件或社交网站信息中的链接
- 不要授权未知的应用程序访问你的个人数据
- 确保充分链接每个应用程序获取到的账户访问权限
- 如果发现有应用程序在以你的名义传播垃圾邮件或恶意链接,可以向社交网络或网络服务管理员提交投诉,屏蔽该应用程序
- 确保计算机上的反病毒数据库和集成的反钓鱼保护保持最新
要了解更多详情,请访问Securelist.com上的博文。
