当前位置:主页>资 讯>安全动态>

网络欺诈新骗局 竟用Windows Live ID作诱饵

卡巴斯基实验室近期发现一种使用Windows Live ID作诱饵获取用户个人信息的最新骗局。卡巴斯基安全专家在此提醒用户注意这种骗局。诈骗者可以从中获取到用户存储在多种在线服务账户,如Xbox LIVE、Zune、Hotmail、Outlook、MSN、Messenger和One Drive中的数据。

 


 

“蜜罐”钓鱼

受害用户会受到警告邮件,声称用户的Windows Live ID账户被用于传播垃圾邮件,所以要屏蔽用户的账户。为避免账户被关闭,用户需要点击一个链接,按照服务提供商的最新安全需求,更新自己的个人详细信息。这听上去就像是一种非常典型的钓鱼邮件。攻击者希望受害者会点击邮件中的链接,将其带到一个模仿官方Windows Live页面的假冒网站。受害者输入的数据会被发送给欺诈者。但是让卡巴斯基安全专家感到疑惑的是,钓鱼邮件中的链接确实将用户指引到了Windows Live官方网站,而且攻击者没有明显地试图获取用户的登录名和密码的行为。

问题源自何处?

卡巴斯基安全专家按照邮件中链接的指引,在live.com官方网站成功授权和登陆了自己的账户。但之后用户会收到一个可疑的提示信息,声称一种应用程序请求许可,从而可以自动登陆账户、查看账户信息、联系人列表,并且访问用户的个人邮件列表和工作邮件列表。欺诈者就是利用这一手段,通过OAuth开放认证协议中的安全漏洞进行攻击。

用户点击“是”后,不会泄露自己的登陆名和密码信息,但是会将全部个人信息、联系人邮件地址以及自己朋友的真实姓名等信息全部泄露。攻击者还可以利用漏洞获取权限访问其他信息,例如用户的预约列表和日程列表等这些信息很可能被用以进行欺诈,例如向受害者通讯录中的联系人发送垃圾邮件,或进行鱼叉式钓鱼攻击。

卡巴斯基实验室高级网页内容分析师Andrey Kostin对此表示:“我们获悉OAuth协议中存在安全漏洞已经有一段时间了。早在2014年,一名来自新加坡的学生描述了验证后可用以窃取用户数据的方法。但是,这是我们首次遇到诈骗者使用钓鱼邮件,将这种攻击技巧付诸实施的案例。诈骗者能够利用截获到的信息,详细描绘受害者,包括受害者的职业与交往圈等,从而进行网络犯罪。”

卡巴斯基实验室专家建议使用OAuth协议的社交网络网页应用开发者:

1. 避免在网站使用开放的重定向;

2. 创建一个使用OAuth进行重定向的可信任地址白名单,因为诈骗者能够发现可被攻击的应用程序,修改它的“redirect_uri”参数,进行隐蔽地重定向,将受害者定向到到恶意网站;

此外,卡巴斯基实验室专家建议广大用户采取以下安全措施:

1. 不要轻易点击邮件或社交网站信息中的链接;

2. 不要授权未知的应用程序访问你的个人数据;

3. 确保充分链接每个应用程序获取到的账户访问权限;

4. 如果发现有应用程序在以你的名义传播垃圾邮件或恶意链接,可以向社交网络或网络服务管理员提交投诉,屏蔽该应用程序;

5. 确保计算机上的反病毒数据库和集成的反钓鱼保护保持最新。

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

由蜜罐引发的物联网安全小谈

由蜜罐引发的物联网安全小谈

最近几年,物联网正以迅雷不及掩耳之势四处圈地,凡联网之物都能被黑的恶名也如影随形...[详细]

女子傻眼:银行卡刚存30万,瞬间只剩400

女子傻眼:银行卡刚存30万,瞬间只剩400

个人信息被泄露,在这个年代,好像已经屡见不鲜。但昨天,记者从海曙检察院听闻了一个...[详细]

黑客针对香港的网络攻击中利用了新型的IE浏

黑客针对香港的网络攻击中利用了新型的IE浏览器0day

微软公司在昨日修复了漏洞(CNNVD-201508-429),但攻击者已经在进行水坑攻击的过程中利...[详细]

骗子植入手机木马的10大招术:看完你将会“

骗子植入手机木马的10大招术:看完你将会“百毒不侵”

一、冒充移动客服10086 此类案件中,犯罪分子通过技术手段伪装成移动客服10086向不特...[详细]

滴滴打车有漏洞 淘宝买个软件免费打车

滴滴打车有漏洞 淘宝买个软件免费打车

近日,重庆晚报记者接到读者反映,不法商人用黑客软件刷券在淘宝网销售,声称只要几元...[详细]

返回首页 返回顶部