autoryzacja

Wieloetapowy phishing, który zaczyna się od prawdziwych odnośników

Niedawno eksperci z Kaspersky Lab odkryli sposób, który umożliwia oszustom kradzież informacji osobistych bez posiadania loginu i hasła użytkownika. Cyberprzestępcy nie próbują już wykraść danych uwierzytelniających ofiary – teraz używają

Marvin the Robot
09/06/2015

Niedawno eksperci z Kaspersky Lab odkryli sposób, który umożliwia oszustom kradzież informacji osobistych bez posiadania loginu i hasła użytkownika. Cyberprzestępcy nie próbują już wykraść danych uwierzytelniających ofiary – teraz używają swojego sprytu.

multi-stage-phishing-featured-ru

Ofiary otrzymują wiadomość e-mail, w której są nakłaniane do kliknięcia odnośnika prowadzącego do oficjalnej strony usługi oraz wprowadzenia tam nowego hasła. Według informacji podanej w wiadomości jeżeli odbiorca tego nie wykona, jego konto zostanie zablokowane. Zaskakujące jest to, że odnośnik prowadzi do strony dostawcy – np. Windows Live.

Po autoryzacji nieznana aplikacja żąda przyznania jej szerokiego zakresu uprawnień, między innymi automatycznego logowania, dostępu do informacji profilowych, listy kontaktów oraz adresów e-mail. Jeśli ofiara się zgodzi, cyberprzestępcy otrzymają dostęp jej informacji osobistych.

Następnie nieznane osoby potajemnie gromadzą informacje, które prawdopodobnie zostaną wykorzystane do jakichś oszustw, na przykład dystrybucji spamu czy odnośników prowadzących do phishingowych lub szkodliwych stron.

Jak to działa?

Istnieje przydatny, choć nie tak całkowicie bezpieczny protokół autoryzacji zwany OAuth, który umożliwia użytkownikom nadanie ograniczonego dostępu do ich chronionych zasobów (listy kontaktowe, agenda i inne informacje osobiste) bez podawania danych uwierzytelniających. Jest on często używany przez aplikacje do sieci społecznościowych, jeśli wymagają np. dostępu do listy kontaktów użytkownika.

Ponieważ aplikacje do sieci społecznościowych używają OAuth, Twoje konto na Facebooku nie jest bezpieczne. Szkodliwa aplikacja może użyć dostępu do konta użytkownika w celu wysyłania spamu i szkodliwych plików, jak również odnośników phishingowych.

Minął rok, odkąd ujawniono dziurawą naturę OAuth. Na początku 2014 roku student a Singapuru opisał możliwe techniki kradzieży danych użytkownika po autoryzacji. Jednak po raz pierwszy spotkaliśmy się z użyciem kampanii phishingowej do przeprowadzenia takich praktyk.

Co możesz zrobić:

nie klikaj odnośników otrzymanych w wiadomościach (również tych prywatnych) w sieciach społecznościowych,
nie zezwalaj aplikacjom, którym nie ufasz, na dostęp do Twoich danych,
zanim wyrazisz na coś zgodę, uważnie przeczytaj opis wymaganych uprawnień dostępu do konta, jakich żąda aplikacja,
poszukaj w internecie opinii użytkowników na temat aplikacji,
możesz sprawdzać lub anulować uprawnienia zainstalowanych aplikacji w ustawieniach konta lub profilu dowolnej strony sieci społecznościowej czy usługi sieciowej. A ponadto zalecamy skrócić tę listę do niezbędnego minimum.

Branża transportu morskiego to smaczny kąsek dla cyberprzestępców

Statki handlowe mają coraz większe rozmiary i zawierają coraz więcej systemów elektronicznych. Marynarze często polegają na danych technologicznych bardziej niż na własnych umiejętnościach, wiedzy i zmysłach. Załogi są coraz mniejsze,

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Wieloetapowy phishing, który zaczyna się od prawdziwych odnośników

Ochrona konta przyjazna dla użytkownika

Podrabianie ludzi: czy można ufać autoryzacji przez biometrię?

Branża transportu morskiego to smaczny kąsek dla cyberprzestępców

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog