Киберпреступники находят все новые способы втереться в доверие пользователей — очередная уловка мошенников, желающих получить доступ к личным данным, связана с использованием в качестве невольного посредника официального сервиса live.com компании Microsoft. Тем самым злоумышленники усыпляют бдительность потенциальной жертвы и подталкивают ее к добровольному разрешению доступа к своей приватной информации, сообщили специалисты «Лаборатории Касперского».
Первый этап мошеннической схемы напоминает обычный фишинг — адресат получает письмо с уведомлением о предстоящей блокировке своего аккаунта Live ID, используемого в множестве сервисов Microsoft. Жертву убеждают в необходимости пройти по указанной в письме ссылке и выполнить новые требования по безопасности сервиса. При этом пользователь не направляется на поддельную страницу, как это обычно бывает в ходе фишинговой атаки, а переходит на страницу аутентификации легитимного сайта компании Microsoft live.com. Подобное развитие событий довольно нетипично — в случае перенаправления на официальный ресурс возможности украсть логин и пароль у злоумышленников нет. Однако дело в том, что их целью являются не реквизиты учетной записи Live ID, а личные данные пользователя. Сразу после успешной авторизации сервис Microsoft отображает запрос на разрешение некоторому приложению доступа к личным данным.
Если жертва дает свое согласие, авторы приложения получают личные сведения пользователя, почтовые адреса его контактов, прозвища и имена друзей и прочую информацию, которую можно позже использовать в мошеннических целях. Все это достигается благодаря простому приему — ссылка в письме помимо адреса live.com также содержит идентификатор веб-приложения и перечень прав, которые оно просит предоставить. Само веб-приложение использует специальный открытый и поддерживаемый Microsoft протокол авторизации OAuth, который позволяет предоставлять третьей стороне с разрешения пользователя доступ к его личным данным без логина и пароля.
«Данным трюком злоумышленники могут воспользоваться не только на площадке Microsoft — с тем же успехом его можно применить и в популярных социальных сетях, и тогда мошенники могут получить права для создания постов, чтения и отправки личных сообщений и добавления записей в гостевых книгах от имени жертвы. Поэтому не стоит пренебрегать бдительностью и отвечать согласием на любые запросы, даже если вы находитесь на легитимном ресурсе — он не всегда имеет возможность следить за добросовестностью авторов поддерживаемых им веб-приложений», — прокомментировал Андрей Костин, старший контент-аналитик «Лаборатории Касперского».
