Многоходовочка: как мошенники-фишеры собирают личные данные с помощью подлинных ссылок

Специалисты «Лаборатории Касперского» обнаружили хитрую схему фишинга, позволяющую похищать личные данные пользователя, не компрометируя его пароль.

Многоходовочка: как мошенники-фишеры собирают личные данные с помощью подлинных ссылок

Недавно специалисты «Лаборатории Касперского» обнаружили хитрую схему, нацеленную на сбор личной информации пользователя — без знания его пароля.

Жертва обмана получает электронное письмо, в котором ее просят перейти по ссылке, чтобы избежать блокировки аккаунта Live ID. Тут можно было бы предположить, что ссылка поддельная и ведет она совсем не туда, куда кажется пользователю.

Но все интереснее: ссылка настоящая, и переход по ней действительно приводит на официальный сайт сервиса Microsoft Live. Авторизовавшись на сайте, пользователь не компрометирует свои логин и пароль перед злоумышленниками, как это обычно происходит в случае классической фишинговой атаки. В данном случае киберпреступники действуют хитрее.

После успешной авторизации неизвестное приложение отправляет запрос на получение ряда прав, в том числе на автоматический вход, просмотр сведений в профиле и списка контактов, а также на доступ к адресам электронной почты. Выдав эти права, пользователь откроет ему доступ к личным сведениям о себе, почтовым адресам в списке контактов и так далее.

Многоходовочка: как мошенники-фишеры собирают личные данные с помощью подлинных ссылок

В зависимости от предоставленных прав злоумышленники смогут получить доступ к фотографиям пользователя и его контактов, сведениям о днях рождения, спискам встреч и важных событий и другим данным.

Эти сведения позволяют преступнику составить достаточно подробный портрет человека, понять, чем он занимается, когда уходит из дома, оценить его круг общения, а после воспользоваться полученными данными на свое усмотрение. В настоящее время информация собирается неизвестными лицами и, скорее всего, в преступных целях, например для распространения спама по адресной книге жертвы или для проведения целевых фишинговых атак.

Как это работает?

Существует удобный, хотя и не вполне безопасный протокол авторизации OAuth, позволяющий пользователю открыть третьей стороне ограниченный доступ к защищенным ресурсам без передачи ей логина и пароля. Его часто используют разработчики веб-приложений для социальных сетей, чтобы, к примеру, запросить доступ к списку контактов и другим данным. Авторизованные пользователи получают возможность сэкономить время и не вводить логин и пароль каждый раз при выдаче прав приложению.

Еще в начале 2014 года студент из Сингапура описал возможные приемы использования OAuth для кражи данных пользователя после авторизации. Тем не менее мы впервые обнаружили фишинговые письма, в которых киберпреступники применяют эти приемы на практике.

В данном случае запрос на авторизацию приложения пользователем содержится в параметрах фишинговой ссылки.

Некоторые приложения для социальных сетей также используют протокол OAuth, так что ваш аккаунт в Facebook или «ВКонтакте» также не в безопасности. Созданное злоумышленниками приложение может попросить пользователя разрешить ему публиковать посты и фотографии на стене, читать и отправлять личные сообщения и др. Все эти возможности киберпреступники могут использовать для сбора личных данных, рассылки спама, фишинговых ссылок и распространения вредоносных файлов.

Что делать, чтобы не стать жертвой хитрых мошенников?

  • Не переходите по ссылкам, полученным по почте или в личных сообщениях в социальных сетях.
  • Не давайте права на доступ к личным данным неизвестным приложениям или приложениям, скачанным не с официальных сайтов.
  • Если вы все-таки собираетесь открыть доступ приложению, внимательно ознакомьтесь с описанием тех прав, которые оно запрашивает.
  • Почитайте информацию и отзывы о приложении в Интернете.
  • В настройках профиля в любой социальной сети или веб-сервисе вы можете проверить, какие приложения у вас уже установлены и какими правами они обладают. Обязательно изучите этот список и удалите все лишнее.
  • Если вы узнали, что приложение уже распространяет от вашего имени спам или вредоносные ссылки, на него можно пожаловаться администраторам социальной сети.
Советы

Защищаем защиту дома

Уберечь свой дом от ограблений, пожаров и прочих инцидентов часто предлагают с помощью умной техники, в первую очередь камер. Но при этом забывают обезопасить от враждебного воздействия сами системы защиты. Мы восполним этот пробел.