Utrecht, 21 mei 2015 – Experts van
Kaspersky Lab waarschuwen voor een nieuwe vorm van fraude. Deze gebruikt Windows Live ID als lokaas om persoonlijke gegevens te stelen die zijn opgeslagen in gebruikersprofielen op diensten zoals Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger en Onedrive.
"Eerlijke" phishing
Gebruikers ontvangen via e-mail waarschuwingen waarin wordt beweerd dat hun Windows Live ID-accounts worden gebruikt om ongevraagd e-mails te verspreiden en dat hun accounts daarom zullen worden geblokkeerd. Om te voorkomen dat hun accounts worden opgeschort, wordt hen gevraagd om een ??link te volgen en hun gegevens bij te werken, om te voldoen aan de nieuwe veiligheidseisen van de dienst. Dit klinkt heel erg als een typische phishing e-mail waarbij slachtoffers worden geacht te klikken op links die hen naar nep-websites voeren die de officiële Windows Live-pagina nabootsen. De gegevens die ze daar invoeren worden dan naar de oplichters gestuurd. Tot grote verbazing van onze experts leidde de link in de frauduleuze e-mail echter inderdaad naar de Windows Live-website, en werd er ogenschijnlijk geen poging gedaan om de inlognamen en wachtwoorden van de slachtoffers te achterhalen.
Wat is dan de truc?
Na het volgen van de link in de e-mail en het met succes machtigen van het account op de officiële live.com website ontvingen gebruikers een merkwaardige prompt van de dienst: een applicatie vroeg toestemming om automatisch in te loggen op het account, de profielgegevens en contactenlijst te bekijken en toegang te krijgen tot een lijst van persoonlijke en zakelijke e-mailadressen van de gebruikers. Oplichters kregen toegang tot deze techniek door beveiligingsfouten in het open authorisatieprotocol, OAuth.
Gebruikers die op "Ja" klikken geven niet hun inloggegevens en wachtwoord weg, maar wel hun persoonsgegevens, de e-mailadressen van hun contacten en de bijnamen en echte namen van hun vrienden. Ook is het hiermee mogelijk om toestemming te krijgen voor toegang tot andere parameters, zoals afsprakenoverzichten en belangrijke gebeurtenissen. Deze informatie zal naar alle waarschijnlijkheid worden gebruikt voor frauduleuze doeleinden, zoals het verzenden van spam naar de contacten in het adresboek van het slachtoffer of het starten van spearphishing-aanvallen.
"We waren al enige tijd op de hoogte van de beveiligingslekken in het OAuth-protocol: begin 2014
beschreef een student uit Singapore de mogelijkheden om na authenticatie gebruikersgegevens te stelen. Dit is echter de eerste keer dat we fraudeurs zijn tegengekomen die een phishing e-mail gebruiken om deze technieken in de praktijk te brengen. Een oplichter kan de onderschepte informatie gebruiken om een ??gedetailleerd beeld te creëren van gebruikers, inclusief informatie over wat ze doen, wie ze ontmoeten, wie hun vrienden zijn, enz. Dit profiel kan vervolgens worden gebruikt voor criminele doeleinden", zegt
Andrey Kostin, Senior Web Content Analyst bij Kaspersky Lab.
Ontwikkelaars van webapplicaties voor sociale netwerken die het OAuth-protocol gebruiken worden geadviseerd om:
- Open redirects (omleidingen) vanaf hun sites te vermijden.
- Een whitelist te creëren met vertrouwde adressen voor met behulp van OAuth uitgevoerde redirects, omdat fraudeurs een verborgen redirect kunnen uitvoeren naar een kwaadaardige site door een applicatie te zoeken die met succes kan worden aangevallen en de parameter "redirect_uri" daarvan te veranderen.
Aanbevelingen voor gebruikers:
- Volg geen koppelingen die zijn ontvangen via e-mail of privéberichten op sociale netwerksites.
- Machtig onbekende applicaties niet om toegang te krijgen tot uw persoonlijke gegevens.
- Zorg ervoor dat u de accounttoegangsrechten die elke applicatie ontvangt volledig begrijpt.
- Als u ontdekt dat een applicatie al spam of kwaadaardige links verspreidt uit uw naam, kunt u een klacht sturen naar de beheerder van de sociale netwerksite of webdienst, zodat de applicatie kan worden geblokkeerd.
- Houd uw antivirussoftware databases en geïntegreerde anti-phishing-beveiliging up-to-date.
Lees voor meer informatie de blogpost op Securelist.com.