Τηλέφωνο: 2105321539   Mail: info@epsilon.services

        

Νέα ψηφιακή απειλή που κλέβει προσωπικά στοιχεία μέσω Windows Live ID χρηστών - Τρόποι αποφυγής

Μια νέα απειλή εμφανίστηκε στο ψηφιακό προσκήνιο, που χρησιμοποιεί την «ταυτότητα χρήστη» στην υπηρεσία Windows Live ως δόλωμα για να αλιεύσει προσωπικές πληροφορίες. Πιο συγκεκριμένα, οι ειδικοί της Kaspersky Lab προειδοποιούν για μια νέα απάτη που χρησιμοποιεί το λεγόμενο «Windows Live ID» για να αποσπάσει προσωπικές πληροφορίες που είναι αποθηκευμένες στα προφίλ χρηστών σε δημοφιλείς υπηρεσίες όπως οι Xbox LIVE, Hotmail, Outlook, ΜSN, Messenger και OneDrive.

Περίεργο phishing

Οι χρήστες λαμβάνουν προειδοποιήσεις μέσω email ότι οι Windows Live ID λογαριασμοί τους χρησιμοποιούνται για τη διανομή ανεπιθύμητων email κι ότι θα πρέπει να αποκλειστούν. Για να εμποδίσουν την αναστολή της λειτουργίας των λογαριασμών τους, οι χρήστες καλούνται να ακολουθήσουν ένα διαδικτυακό σύνδεσμο (link) και να ενημερώσουν τα στοιχεία τους, ώστε να συμμορφωθούν με τις υποτιθέμενες νέες απαιτήσεις ασφαλείας της υπηρεσίας. Αυτό μοιάζει πολύ με ένα τυπικό phishing email, όπου όσοι ακολουθούν τα link, μεταφέρονται σε πλαστές ιστοσελίδες οι οποίες μοιάζουν με επίσημες και τα δεδομένα που εισάγουν εκεί στέλνονται στους απατεώνες. Ωστόσο, οι ειδικοί της Kaspersky Lab έμειναν έκπληκτοι όταν διαπίστωσαν ότι το link του phishing email οδηγούσε στη σελίδα του Windows Live και δεν υπήρχε καμία εμφανής προσπάθεια υποκλοπής των στοιχείων σύνδεσης των θυμάτων.

Το κόλπο των κυβερνοεγκληματιών

Έχοντας ακολουθήσει το link στο email και αφού μπήκαν στο λογαριασμό τους στο live.com, οι χρήστες έλαβαν μια ιδιότροπη προτροπή από την υπηρεσία. Μια εφαρμογή ζητούσε άδεια για να συνδεθεί αυτόματα στο λογαριασμό, να δει τις πληροφορίες του προφίλ καθώς τη λίστα των επαφών του και να αποκτήσει πρόσβαση σε λίστες χρηστών με προσωπικά και επαγγελματικά email. Οι απατεώνες απέκτησαν πρόσβαση στην τεχνική αυτή μέσα από κενά ασφαλείας στο «OAuth», το ανοιχτό πρωτόκολλο για χορήγηση άδειας.

Οι χρήστες που κλικάρουν την επιλογή «Ναι» δεν παραδίδουν τα στοιχεία σύνδεσής τους, αλλά παρέχουν προσωπικές τους πληροφορίες, διευθύνσεις email των επαφών τους, τα ψευδώνυμα και τα πραγματικά ονόματα φίλων τους. Επίσης, οι ψηφιακοί απατεώνες μπορούσαν να έχουν πρόσβαση και σε άλλες παραμέτρους, όπως λίστες με ραντεβού και σημαντικά γεγονότα. Αυτές οι πληροφορίες είναι πιο πιθανό να χρησιμοποιηθούν για δόλιους σκοπούς, όπως η αποστολή spam σε όλες τις επαφές στο βιβλίο διευθύνσεων του θύματος ή η εκκίνηση spear-phishing επιθέσεων.

«Γνωρίζουμε για τα κενά ασφαλείας στο πρωτόκολλο OAuth εδώ και αρκετό καιρό. Στις αρχές του 2014, ένας φοιτητής από τη Σιγκαπούρη περιέγραφε πιθανούς τρόπους για κλοπή των δεδομένων ενός χρήστη μετά τον έλεγχο ταυτότητας. Ωστόσο, αυτή είναι η πρώτη φορά που συναντάμε απατεώνες που χρησιμοποιούν ένα phishing email για να κάνουν πράξη τις τεχνικές αυτές. Ένας απατεώνας μπορεί να χρησιμοποιήσει τις πληροφορίες που υποκλέπτονται, για να δημιουργήσει μια λεπτομερή εικόνα των χρηστών, λαμβάνοντας υπόψη πληροφορίες σχετικά με το τι κάνουν, με ποιους θα συναντηθούν, ποιοι είναι οι φίλοι τους κ.λπ. Αυτό το προφίλ μπορεί στη συνέχεια να χρησιμοποιηθεί για εγκληματικούς σκοπούς»,δήλωσε ο Andrey Kostin, Senior Web Content Analyst της Kaspersky Lab.

Στους προγραμματιστές διαδικτυακών εφαρμογών για κοινωνικά δίκτυα που χρησιμοποιούν το πρωτόκολλο OAuth συνίσταται:

1. Να αποφεύγουν τη χρήση ανοικτών ανακατευθύνσεων (redirect) από τις ιστοσελίδες τους.

2. Να δημιουργήσουν μια λευκή λίστα αξιόπιστων διευθύνσεων για ανακατευθύνσεις που πραγματοποιούνται με τη χρήση του πρωτοκόλλου OAuth, δεδομένου ότι οι απατεώνες μπορούν να εκτελέσουν μια κρυφή ανακατεύθυνση σε μια κακόβουλη τοποθεσία, με την εύρεση μιας εφαρμογής που μπορεί να δεχτεί επιτυχώς επίθεση και αλλάζοντας την παράμετρο της «redirect_uri».

Στους χρήστες συνιστάται:

1. Να μην ακολουθούν link που λαμβάνουν μέσω email ή μέσω προσωπικών μηνυμάτων σε μέσα κοινωνικής δικτύωσης.

2. Να μη δίνουν σε άγνωστες εφαρμογές το δικαίωμα πρόσβασης σε προσωπικά δεδομένα.

3. Να βεβαιωθούν ότι έχουν κατανοήσει πλήρως τα δικαιώματα πρόσβασης που παραχωρούν σε κάθε εφαρμογή.

4. Αν ανακαλύψουν ότι μία εφαρμογή έχει ήδη διανέμει spam ή κακόβουλα link εκ μέρους τους, μπορούν να στείλουν καταγγελία στο διαχειριστή του site κοινωνικής δικτύωσης ή της διαδικτυακής υπηρεσίας και η εφαρμογή θα πρέπει να αποκλειστεί.

5. Να διατηρούν τις βάσεις δεδομένων των antivirus προγραμμάτων και τις ολοκληρωμένες λύσεις anti-phishing προστασίας ενημερωμένες.

 

Website Portfolio

Λέξεις κλειδιά με τις οποίες μας βρίσκετε στη μηχανή αναζήτησης Google

  

Κατασκευη Ιστοσελιδας - Δημιουργια Eshop - Προωθηση Ιστοσελιδων - Εγκατασταση Server - Εγκατασταση Wifi Αθηνα - Δημιουργια Ιστοσελιδων - Κατασκευη Ηλεκτρονικων Καταστηματων - Σχεδιασμος Eshop - Βελτιστοποιηση SEO Website - Κατασκευη Website - Εγκατασταση VoIP - Σχεδιασμος Ιστοσελιδας - Προωθηση Ηλεκτρονικου Καταστηματος - Εγκατασταση Εταιρικου Δικτυου - Εγκατασταση Server σε Rack - Εγκατασταση Τηλεφωνικου Κεντρου - Εταιρεια Κατασκευης Ιστοσελιδας Αθηνα - Εταιρεια Δημιουργιας Eshop Αθηνα - Κατασκευη Eshop Τιμη - Κατασκευη Ιστοσελιδας Τιμη - Δημιουργια Ηλεκτρονικου Καταστηματος Τιμη - Δημιουργια Ιστοσελιδων Τιμες - Eshop Marketing Αθηνα - Εγκατασταση Internet Live Streaming - Hotel Internet Services - Εγκατασταση Wifi Hotspot Ξενοδοχειο - Παροχη Ιντερνετ για Live Streaming - Live streaming εκδηλώσεων - Live streaming events - Live streaming συνεδρίων - Live streaming συναυλιών - Κατασκευη Ιστοσελιδας - Δημιουργια Eshop - Προωθηση Ιστοσελιδων - Εγκατασταση Server - Εγκατασταση Wifi Αθηνα - Δημιουργια Ιστοσελιδων - Κατασκευη Ηλεκτρονικων Καταστηματων - Σχεδιασμος Eshop - Βελτιστοποιηση SEO Website - Κατασκευη Website - Εγκατασταση VoIP - Σχεδιασμος Ιστοσελιδας - Προωθηση Ηλεκτρονικου Καταστηματος - Εγκατασταση Εταιρικου Δικτυου - Εγκατασταση Server σε Rack - Εγκατασταση Τηλεφωνικου Κεντρου - Εταιρεια Κατασκευης Ιστοσελιδας Αθηνα - Εταιρεια Δημιουργιας Eshop Αθηνα - Κατασκευη Eshop Τιμη - Κατασκευη Ιστοσελιδας Τιμη - Δημιουργια Ηλεκτρονικου Καταστηματος Τιμη - Δημιουργια Ιστοσελιδων Τιμες - Eshop Marketing Αθηνα - Εγκατασταση Internet Live Streaming - Hotel Internet Services - Εγκατασταση Wifi Hotspot Ξενοδοχειο - Παροχη Ιντερνετ για Live Streaming - Live streaming εκδηλώσεων - Live streaming events - Live streaming συνεδρίων - Live streaming συναυλιών - Κατασκευή Ιστοσελίδας Βόρεια Ελλάδα - κατασκευή ιστοσελίδων αθηνα - εγκατασταση δικτυου - live streaming συναυλίες - κατασκευη eshop αθηνα - Κατασκευή Ιστοσελίδας Κρήτη - κατασκευή eshop τιμές - προώθηση ιστοσελίδων τιμές - Κατασκευή Ιστοσελίδας Θεσσαλονίκη - κατασκευη eshop - κατασκευή ιστοσελίδας - κατασκευή ιστοσελίδων

 

 

 

Save
Cookies user prefences
We use cookies to ensure you to get the best experience on our website. If you decline the use of cookies, this website may not function as expected.
Accept all
Decline all
Read more
By visiting our website you agree that we are using cookies to ensure you to get the best experience.