卡巴斯基实验室近期发现一种使用Windows Live ID作诱饵获取用户个人信息的最新骗局。卡巴斯基安全专家在此提醒用户注意这种骗局。诈骗者可以从中获取到用户存储在多种在线服务账户,如Xbox LIVE、Zune、Hotmail、Outlook、MSN、Messenger和One Drive中的数据。
“蜜罐”钓鱼
受害用户会受到警告邮件,声称用户的Windows Live ID账户被用于传播垃圾邮件,所以要屏蔽用户的账户。为避免账户被关闭,用户需要点击一个链接,按照服务提供商的最新安全需求,更新自己的个人详细信息。这听上去就像是一种非常典型的钓鱼邮件。攻击者希望受害者会点击邮件中的链接,将其带到一个模仿官方Windows Live页面的假冒网站。受害者输入的数据会被发送给欺诈者。但是让卡巴斯基安全专家感到疑惑的是,钓鱼邮件中的链接确实将用户指引到了Windows Live官方网站,而且攻击者没有明显地试图获取用户的登录名和密码的行为。
问题源自何处?
卡巴斯基安全专家按照邮件中链接的指引,在live.com官方网站成功授权和登陆了自己的账户。但之后用户会收到一个可疑的提示信息,声称一种应用程序请求许可,从而可以自动登陆账户、查看账户信息、联系人列表,并且访问用户的个人邮件列表和工作邮件列表。欺诈者就是利用这一手段,通过OAuth开放认证协议中的安全漏洞进行攻击。
用户点击“是”后,不会泄露自己的登陆名和密码信息,但是会将全部个人信息、联系人邮件地址以及自己朋友的真实姓名等信息全部泄露。攻击者还可以利用漏洞获取权限访问其他信息,例如用户的预约列表和日程列表等这些信息很可能被用以进行欺诈,例如向受害者通讯录中的联系人发送垃圾邮件,或进行鱼叉式钓鱼攻击。
卡巴斯基实验室高级网页内容分析师Andrey Kostin对此表示:“我们获悉OAuth协议中存在安全漏洞已经有一段时间了。早在2014年,一名来自新加坡的学生描述了验证后可用以窃取用户数据的方法。但是,这是我们首次遇到诈骗者使用钓鱼邮件,将这种攻击技巧付诸实施的案例。诈骗者能够利用截获到的信息,详细描绘受害者,包括受害者的职业与交往圈等,从而进行网络犯罪。”
卡巴斯基实验室专家建议使用OAuth协议的社交网络网页应用开发者:
1. 避免在网站使用开放的重定向;
2. 创建一个使用OAuth进行重定向的可信任地址白名单,因为诈骗者能够发现可被攻击的应用程序,修改它的“redirect_uri”参数,进行隐蔽地重定向,将受害者定向到到恶意网站;
此外,卡巴斯基实验室专家建议广大用户采取以下安全措施:
1. 不要轻易点击邮件或社交网站信息中的链接;
2. 不要授权未知的应用程序访问你的个人数据;
3. 确保充分链接每个应用程序获取到的账户访问权限;
4. 如果发现有应用程序在以你的名义传播垃圾邮件或恶意链接,可以向社交网络或网络服务管理员提交投诉,屏蔽该应用程序;
5. 确保计算机上的反病毒数据库和集成的反钓鱼保护保持最新。
