09/06/2015

Wieloetapowy phishing, który zaczyna się od prawdziwych odnośników

Informacje Porady Zagrożenia

Niedawno eksperci z Kaspersky Lab odkryli sposób, który umożliwia oszustom kradzież informacji osobistych bez posiadania loginu i hasła użytkownika. Cyberprzestępcy nie próbują już wykraść danych uwierzytelniających ofiary – teraz używają swojego sprytu.

multi-stage-phishing-featured-ru

Ofiary otrzymują wiadomość e-mail, w której są nakłaniane do kliknięcia odnośnika prowadzącego do oficjalnej strony usługi oraz wprowadzenia tam nowego hasła. Według informacji podanej w wiadomości jeżeli odbiorca tego nie wykona, jego konto zostanie zablokowane. Zaskakujące jest to, że odnośnik prowadzi do strony dostawcy – np. Windows Live.

Po autoryzacji nieznana aplikacja żąda przyznania jej szerokiego zakresu uprawnień, między innymi automatycznego logowania, dostępu do informacji profilowych, listy kontaktów oraz adresów e-mail. Jeśli ofiara się zgodzi, cyberprzestępcy otrzymają dostęp jej informacji osobistych.

Następnie nieznane osoby potajemnie gromadzą informacje, które prawdopodobnie zostaną wykorzystane do jakichś oszustw, na przykład dystrybucji spamu czy odnośników prowadzących do phishingowych lub szkodliwych stron.

Jak to działa?

Istnieje przydatny, choć nie tak całkowicie bezpieczny protokół autoryzacji zwany OAuth, który umożliwia użytkownikom nadanie ograniczonego dostępu do ich chronionych zasobów (listy kontaktowe, agenda i inne informacje osobiste) bez podawania danych uwierzytelniających. Jest on często używany przez aplikacje do sieci społecznościowych, jeśli wymagają np. dostępu do listy kontaktów użytkownika.

Ponieważ aplikacje do sieci społecznościowych używają OAuth, Twoje konto na Facebooku nie jest bezpieczne. Szkodliwa aplikacja może użyć dostępu do konta użytkownika w celu wysyłania spamu i szkodliwych plików, jak również odnośników phishingowych.

Minął rok, odkąd ujawniono dziurawą naturę OAuth. Na początku 2014 roku student a Singapuru opisał możliwe techniki kradzieży danych użytkownika po autoryzacji. Jednak po raz pierwszy spotkaliśmy się z użyciem kampanii phishingowej do przeprowadzenia takich praktyk.

Co możesz zrobić:

  • nie klikaj odnośników otrzymanych w wiadomościach (również tych prywatnych) w sieciach społecznościowych,
  • nie zezwalaj aplikacjom, którym nie ufasz, na dostęp do Twoich danych,
  • zanim wyrazisz na coś zgodę, uważnie przeczytaj opis wymaganych uprawnień dostępu do konta, jakich żąda aplikacja,
  • poszukaj w internecie opinii użytkowników na temat aplikacji,
  • możesz sprawdzać lub anulować uprawnienia zainstalowanych aplikacji w ustawieniach konta lub profilu dowolnej strony sieci społecznościowej czy usługi sieciowej. A ponadto zalecamy skrócić tę listę do niezbędnego minimum.