rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

С вашего позволения: мошенники выманивают разрешение доступа к личным данным через сервис Microsoft

Специалисты «Лаборатории Касперского» заметили нетипичную уловку злоумышленников, направленную на получение доступа к личным данным пользователя. Находка интересна в первую очередь тем, что мошенники используют в качестве невольного посредника официальный сервис live.com компании Microsoft, тем самым усыпляя бдительность потенциальной жертвы и подталкивая ее к добровольному разрешению доступа к своей приватной информации.

Первый этап мошеннической схемы напоминает классический фишинг – адресат получает письмо с уведомлением о предстоящей блокировке своего аккаунта Live ID, используемого в множестве сервисов Microsoft. Жертву заверяют в необходимости пройти по указанной в письме ссылке и выполнить новые требования по безопасности сервиса. При этом пользователь не направляется на поддельную страницу, как это обычно бывает в ходе фишинговой атаки, а переходит на страницу аутентификации легитимного сайта компании Microsoft live.com.Подобное развитие событий довольно нетипично – в случае перенаправления на официальный ресурс возможности украсть логин и пароль у злоумышленников нет. Однако дело в том, что их целью являются не реквизиты учетной записи Live ID, а личные данные пользователя. Сразу после успешной авторизации сервис Microsoft отображает запрос на разрешение некоторому приложению доступа к личным данным.

Запрос на разрешение неизвестному приложению доступа к данным пользователя на сайте сервиса Microsoft

Запрос на разрешение неизвестному приложению доступа к данным пользователя на сайте сервиса Microsoft 

Если жертва дает свое согласие, авторы приложения получают личные сведения пользователя, почтовые адреса его контактов, прозвища и имена друзей и прочую информацию, которую можно позже использовать в мошеннических целях. Все это достигается благодаря простому приему – ссылка в письме помимо адреса live.com также содержит идентификатор веб-приложения и перечень прав, которые оно просит предоставить. Само веб-приложение использует специальный открытый и поддерживаемый Microsoft протокол авторизации OAuth, который позволяет предоставлять третьей стороне с разрешения пользователя доступ к его личным данным без логина и пароля.

«Данным трюком злоумышленники могут воспользоваться не только на площадке Microsoft – с тем же успехом его можно применить и в популярных социальных сетях, и тогда мошенники могут получить права для создания постов, чтения и отправки личных сообщений и добавления записей в гостевых книгах от имени жертвы. Поэтому не стоит пренебрегать бдительностью и отвечать согласием на любые запросы, даже если вы находитесь на легитимном ресурсе – он не всегда имеет возможность следить за добросовестностью авторов поддерживаемых им веб-приложений», – комментирует Андрей Костин, старший контент-аналитик «Лаборатории Касперского».

Редактор раздела: Тимофей Белосельцев (info@mskit.ru)

Рубрики: ПО, Web, Безопасность

Ключевые слова: Лаборатория Касперского, мошенничество в интернете

наверх
 
 
     

А знаете ли Вы что?

     
 

NNIT.RU: последние новости Нижнего Новгорода и Поволжья

27.01.2021 COVID заставил ангелов падать

21.01.2021 Gartner: 69% компаний расширили цифровые инициативы в ответ на COVID-19

20.01.2021 Портал TAdviser об итогах информатизации госсектора-2020: ЭОС снова лидирует в сегменте СЭД/ECM, «ДЕЛО» – самая популярная в госорганах СЭД

19.01.2021 Международный роуминг потерял почти три четверти абонентов

14.01.2021 Искусственный интеллект в 2021 году станет мегатрендом

23.12.2020 Инсайдеры, инновации и «нулевое доверие»

15.12.2020 Потери от киберпреступлений превысили триллион долларов

11.12.2020 Арктика может стать цифровой уже в ближайшие годы

MSKIT.RU: последние новости Москвы и Центра

27.01.2021 COVID заставил ангелов падать

21.01.2021 Gartner: 69% компаний расширили цифровые инициативы в ответ на COVID-19

20.01.2021 Портал TAdviser об итогах информатизации госсектора-2020: ЭОС снова лидирует в сегменте СЭД/ECM, «ДЕЛО» – самая популярная в госорганах СЭД

19.01.2021 Международный роуминг потерял почти три четверти абонентов

14.01.2021 Искусственный интеллект в 2021 году станет мегатрендом

23.12.2020 Инсайдеры, инновации и «нулевое доверие»

15.12.2020 Потери от киберпреступлений превысили триллион долларов

11.12.2020 Арктика может стать цифровой уже в ближайшие годы

ITSZ.RU: последние новости Петербурга

27.01.2021 COVID заставил ангелов падать

21.01.2021 Gartner: 69% компаний расширили цифровые инициативы в ответ на COVID-19

20.01.2021 Портал TAdviser об итогах информатизации госсектора-2020: ЭОС снова лидирует в сегменте СЭД/ECM, «ДЕЛО» – самая популярная в госорганах СЭД

19.01.2021 Международный роуминг потерял почти три четверти абонентов

14.01.2021 Искусственный интеллект в 2021 году станет мегатрендом

23.12.2020 Инсайдеры, инновации и «нулевое доверие»

15.12.2020 Потери от киберпреступлений превысили триллион долларов

11.12.2020 Арктика может стать цифровой уже в ближайшие годы