Многоходовочка: как мошенники-фишеры собирают личные данные с помощью подлинных ссылок

Недавно специалисты «Лаборатории Касперского» обнаружили хитрую схему, нацеленную на сбор личной информации пользователя — без знания его пароля.

Жертва обмана получает электронное письмо, в котором ее просят перейти по ссылке, чтобы избежать блокировки аккаунта Live ID. Тут можно было бы предположить, что ссылка поддельная и ведет она совсем не туда, куда кажется пользователю.

Но все интереснее: ссылка настоящая, и переход по ней действительно приводит на официальный сайт сервиса Microsoft Live. Авторизовавшись на сайте, пользователь не компрометирует свои логин и пароль перед злоумышленниками, как это обычно происходит в случае классической фишинговой атаки. В данном случае киберпреступники действуют хитрее.

Наглядно про фишинг :) pic.twitter.com/vuGobE19LZ

— Kaspersky Lab (@Kaspersky_ru) April 4, 2014

После успешной авторизации неизвестное приложение отправляет запрос на получение ряда прав, в том числе на автоматический вход, просмотр сведений в профиле и списка контактов, а также на доступ к адресам электронной почты. Выдав эти права, пользователь откроет ему доступ к личным сведениям о себе, почтовым адресам в списке контактов и так далее.

В зависимости от предоставленных прав злоумышленники смогут получить доступ к фотографиям пользователя и его контактов, сведениям о днях рождения, спискам встреч и важных событий и другим данным.

Эти сведения позволяют преступнику составить достаточно подробный портрет человека, понять, чем он занимается, когда уходит из дома, оценить его круг общения, а после воспользоваться полученными данными на свое усмотрение. В настоящее время информация собирается неизвестными лицами и, скорее всего, в преступных целях, например для распространения спама по адресной книге жертвы или для проведения целевых фишинговых атак.

Многоходовочка: как мошенники-фишеры собирают личные данные с помощью подлинных ссылок #phishing

Tweet

Как это работает?

Существует удобный, хотя и не вполне безопасный протокол авторизации OAuth, позволяющий пользователю открыть третьей стороне ограниченный доступ к защищенным ресурсам без передачи ей логина и пароля. Его часто используют разработчики веб-приложений для социальных сетей, чтобы, к примеру, запросить доступ к списку контактов и другим данным. Авторизованные пользователи получают возможность сэкономить время и не вводить логин и пароль каждый раз при выдаче прав приложению.

Почему фишинг получил такое распространение и как от него уберечься: http://t.co/sezy73TbSb

— Kaspersky Lab (@Kaspersky_ru) October 1, 2014

Еще в начале 2014 года студент из Сингапура описал возможные приемы использования OAuth для кражи данных пользователя после авторизации. Тем не менее мы впервые обнаружили фишинговые письма, в которых киберпреступники применяют эти приемы на практике.

В данном случае запрос на авторизацию приложения пользователем содержится в параметрах фишинговой ссылки.

Некоторые приложения для социальных сетей также используют протокол OAuth, так что ваш аккаунт в Facebook или «ВКонтакте» также не в безопасности. Созданное злоумышленниками приложение может попросить пользователя разрешить ему публиковать посты и фотографии на стене, читать и отправлять личные сообщения и др. Все эти возможности киберпреступники могут использовать для сбора личных данных, рассылки спама, фишинговых ссылок и распространения вредоносных файлов.

Исследователи говорят, что чаще всего на фишинг клюют пиарщики, юристы и менеджеры по работе с клиентами: http://t.co/NHOttsoeMu

— Kaspersky Lab (@Kaspersky_ru) April 15, 2015

Что делать, чтобы не стать жертвой хитрых мошенников?

• Не переходите по ссылкам, полученным по почте или в личных сообщениях в социальных сетях.
• Не давайте права на доступ к личным данным неизвестным приложениям или приложениям, скачанным не с официальных сайтов.
• Если вы все-таки собираетесь открыть доступ приложению, внимательно ознакомьтесь с описанием тех прав, которые оно запрашивает.
• Почитайте информацию и отзывы о приложении в Интернете.
• В настройках профиля в любой социальной сети или веб-сервисе вы можете проверить, какие приложения у вас уже установлены и какими правами они обладают. Обязательно изучите этот список и удалите все лишнее.
• Если вы узнали, что приложение уже распространяет от вашего имени спам или вредоносные ссылки, на него можно пожаловаться администраторам социальной сети.