Stiri: IT&C

Ce metode mai folosesc hackerii pentru a accesa datele utilizatorilor

26.05.2015

Kaspersky Lab avertizează cu privire la o nouă campanie de atacuri cibernetice care folosește Windows Live ID pentru a obține informațiile confidențiale pe care utilizatorii le stochează pe Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger sau OneDrive.

Mai întâi, utilizatorii primesc notificări pe e-mail care îi anunță că altcineva le utilizează conturile Windows Live ID pentru a distribui mesaje spam și că acestea urmează să fie blocate. Pentru a evita suspendarea conturilor, li se transmite că trebuie să acceseze un link și să își actualizeze informațiile personale pentru a răspunde noilor necesități de securitate ale serviciului.

La o primă vedere, această procedură pare similară unei tentative obișnuite de phishing. Atacatorii se așteaptă ca utilizatorii să acceseze link-urile care îi redirecționează pe site-uri false care imită pagina oficială Windows Live.

Ulterior, informațiile introduse urmează să fie distribuite infractorilor cibernetici. Însă, experții Kaspersky Lab au descoperit că link-ul din e-mail-ul de phishing redirecționează utilizatorii către site-ul oficial Windows Live și că, aparent, nu exista nicio tendință de a sustrage datele de logare.

„Știam deja că există vulnerabilități de securitate în protocolul OAuth: la începutul anului 2014, un student din Singapore a descris mai multe modalități prin care se pot sustrage datele utilizatorilor după autentificare,” a declarat Andrey Kostin, Senior Web Content Analyst în cadrul Kaspersky Lab.

După accesarea link-ului din e-mail și după autorizarea accesului pe site-ul oficial live.com, utilizatorii primesc o altă notificare de la o aplicație care cere permisiunea de a se loga automat în cont, de a vizualiza informațiile de pe profil, listele de contacte și adresele de e-mail din conturile personale și de servciu. Astfel, infractorii cibernetici obțin acces la vulnerabilități de securitate din protocolul de autorizare OAuth.

Utilizatorii care acordă permisiunea de acces nu își oferă datele de logare, însă oferă informații personale, adresele de e-mail ale contactelor și numele reale ale prietenilor. În plus, infractorii cibernetici pot accesa alți parametri, precum informații despre întâlnirile programate sau alte evenimente importante. Informațiile acestea pot fi utilizate în scopuri frauduloase precum distribuirea de mesaje spam sau lansarea unor atacuri de tip spear phishing.

„Totuși, aceasta este prima dată când descoperim infractori cibernetici care utilizează e-mail-uri de tip phishing pentru a pune în practică aceste tehnici. Atacatorii pot utiliza informațiile interceptate pentru a crea portrete complexe ale utilizatorilor, cu informații despre ceea ce fac, cu cine se întâlnesc și care le sunt prietenii. Acest profil poate fi utilizat în scopuri infracționale,” a explicat Andrey Kostin.