Uporabniki prejemajo elektronsko pošto z opozorilom, da se njihov spletni račun Windows Live ID uporablja za distribucijo nezaželene elektronske pošte, zaradi česar bo račun blokiran. Da bi preprečili blokado računa, morajo uporabniki slediti povezavi, kjer posodobijo svoje uporabniške podatke v skladu z novimi varnostnimi zahtevami storitve. To zveni zelo podobno tipični elektronski pošti, ki se uporablja za namene ribarjenja. Žrtve naj bi sledile povezavi na lažne spletne strani, ki posnemajo spletišče Windows Live. Podatki, ki jih tam vpišejo, naj bi bili nato poslani prevarantom. V tem pogledu so bili strokovnjaki Kaspersky Laba presenečeni, saj je povezava vodila do uradne spletne strani Windows Live, kjer ni bil nakazan poskus pridobitve uporabnikovega uporabniškega imena in gesla za prijavo.
Kje je trik?
Ko so uporabniki sledili povezavi in uspešno opravili postopek avtorizacije računa na uradni spletni strani live.com, so prejeli nenavaden poziv s strani storitve. Aplikacija jih je zaprosila za dovoljenje za samodejno prijavo v račun, ogled informacij o profilu in dostop do seznama stikov ter do seznama osebnih in poslovnih elektronskih naslovov. Prevaranti so pridobili dostop do te tehnike skozi varnostne pomanjkljivosti v odprtem protokolu za avtorizacijo OAuth.
Uporabniki, ki potrdijo prošnjo, ne predajo svojega uporabniškega ima in gesla, ampak svoje osebne informacije, naslove elektronske pošte svojih kontaktov, vzdevke in prava imena svojih prijateljev. Prav tako je mogoče, da prevaranti pridobijo dostop do drugih informacij, denimo sezname opravil in pomembnih dogodkov. Za te informacije je zelo verjetno, da jih bodo prevaranti zlorabili preko pošiljanja nezaželene elektronske pošte kontaktov z uporabnikovega seznama ali izvedli napade z usmerjenim zvabljanjem.
»Že nekaj časa vemo za varnostne pomanjkljivosti odprtega protokola za avtorizacijo OAuth. V začetku leta 2014 je študent iz Singapurja opisal možne načine za krajo uporabniških podatkov, potem ko je izveden postopek avtorizacije. Vendar pa je to prvi primer, ko so prevaranti uporabili elektronsko pošto za ribarjenje v praksi. Prevaranti lahko s pridobljenimi podatki ustvarijo natančno podobo uporabnikov, vključno z informacijami o tem, kaj počnejo, koga srečujejo in kdo so njihovi prijatelji. Ta profil lahko nato uporabijo v zlonamerne namene,« je povedal Andrej Kostin, višji analitik spletnih vsebin pri Kaspersky Labu.
Razvijalci spletnih aplikacij za družbena omrežja, ki uporabljajo protokol OAuth, naj upoštevajo naslednja nasveta:
1. Izogibajte se uporabi odprtih preusmeritev z vaših spletnih strani.
2. Ustvarite seznam zaupanja vrednih naslovov za preusmeritve izvede z uporabo protokola OAuth. Prevaranti lahko namreč izvedejo skrito preusmeritev na zlonamerno spletno stran, če najdejo aplikacijo, ki jo lahko uspešno napadejo in spremenijo njen enotni označevalnik vira.
Priporočila uporabnikom:
1. Ne odpirajte povezav, ki jih prejmete po elektronski pošti ali preko zasebnih sporočil na družbenih omrežjih.
2. Neznanim programom ne omogočite pravic za dostop do vaših osebnih podatkov.
3. Poskrbite, da popolnoma razumete pravice za dostop do računa, ki jih potrdite aplikacijam.
4. Če ste odkrili, da je aplikacija že pošilja nezaželeno pošto in zlonamerne povezave z vašega računa, lahko pošljete pritožbo administratorjem družbenega omrežja ali spletne storitve ter tako onemogočite aplikacijo.
5. Poskrbite za redno posodabljanje podatkovnih baz protivirusne programske opreme in integrirane programske opreme za zaščito pred ribarjenjem.
