Windows Live ID als lokaas: Kaspersky Lab waarschuwt voor nieuwe vorm van fraude

Experts van Kaspersky Lab waarschuwen voor een nieuwe vorm van fraude. Deze gebruikt Windows Live ID als lokaas om persoonlijke gegevens te stelen die zijn opgeslagen in gebruikersprofielen op diensten zoals Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger en Onedrive.

“Eerlijke” phishing

Gebruikers ontvangen via e-mail waarschuwingen waarin wordt beweerd dat hun Windows Live ID-accounts worden gebruikt om ongevraagd e-mails te verspreiden en dat hun accounts daarom zullen worden geblokkeerd. Om te voorkomen dat hun accounts worden opgeschort, wordt hen gevraagd om een ​​link te volgen en hun gegevens bij te werken, om te voldoen aan de nieuwe veiligheidseisen van de dienst. Dit klinkt heel erg als een typische phishing e-mail waarbij slachtoffers worden geacht te klikken op links die hen naar nep-websites voeren die de officiële Windows Live-pagina nabootsen. De gegevens die ze daar invoeren worden dan naar de oplichters gestuurd. Tot grote verbazing van onze experts leidde de link in de frauduleuze e-mail echter inderdaad naar de Windows Live-website, en werd er ogenschijnlijk geen poging gedaan om de inlognamen en wachtwoorden van de slachtoffers te achterhalen.

Wat is dan de truc?

Na het volgen van de link in de e-mail en het met succes machtigen van het account op de officiële live.com website ontvingen gebruikers een merkwaardige prompt van de dienst: een applicatie vroeg toestemming om automatisch in te loggen op het account, de profielgegevens en contactenlijst te bekijken en toegang te krijgen tot een lijst van persoonlijke en zakelijke e-mailadressen van de gebruikers. Oplichters kregen toegang tot deze techniek door beveiligingsfouten in het open authorisatieprotocol, OAuth.

Gebruikers die op “Ja” klikken geven niet hun inloggegevens en wachtwoord weg, maar wel hun persoonsgegevens, de e-mailadressen van hun contacten en de bijnamen en echte namen van hun vrienden. Ook is het hiermee mogelijk om toestemming te krijgen voor toegang tot andere parameters, zoals afsprakenoverzichten en belangrijke gebeurtenissen. Deze informatie zal naar alle waarschijnlijkheid worden gebruikt voor frauduleuze doeleinden, zoals het verzenden van spam naar de contacten in het adresboek van het slachtoffer of het starten van spearphishing-aanvallen.

“We waren al enige tijd op de hoogte van de beveiligingslekken in het OAuth-protocol: begin 2014 beschreef een student uit Singapore de mogelijkheden om na authenticatie gebruikersgegevens te stelen. Dit is echter de eerste keer dat we fraudeurs zijn tegengekomen die een phishing e-mail gebruiken om deze technieken in de praktijk te brengen. Een oplichter kan de onderschepte informatie gebruiken om een ​​gedetailleerd beeld te creëren van gebruikers, inclusief informatie over wat ze doen, wie ze ontmoeten, wie hun vrienden zijn, enz. Dit profiel kan vervolgens worden gebruikt voor criminele doeleinden”, zegt Andrey Kostin, Senior Web Content Analyst bij Kaspersky Lab.

Ontwikkelaars van webapplicaties voor sociale netwerken die het OAuth-protocol gebruiken worden geadviseerd om:

· Open redirects (omleidingen) vanaf hun sites te vermijden.

· Een whitelist te creëren met vertrouwde adressen voor met behulp van OAuth uitgevoerde redirects, omdat fraudeurs een verborgen redirect kunnen uitvoeren naar een kwaadaardige site door een applicatie te zoeken die met succes kan worden aangevallen en de parameter “redirect_uri” daarvan te veranderen.

Aanbevelingen voor gebruikers:

· Volg geen koppelingen die zijn ontvangen via e-mail of privéberichten op sociale netwerksites.

· Machtig onbekende applicaties niet om toegang te krijgen tot uw persoonlijke gegevens.

· Zorg ervoor dat u de accounttoegangsrechten die elke applicatie ontvangt volledig begrijpt.

· Als u ontdekt dat een applicatie al spam of kwaadaardige links verspreidt uit uw naam, kunt u een klacht sturen naar de beheerder van de sociale netwerksite of webdienst, zodat de applicatie kan worden geblokkeerd.

· Houd uw antivirussoftware databases en geïntegreerde anti-phishing-beveiliging up-to-date.

Lees voor meer informatie de blogpost op Securelist.com.

Over Kaspersky Lab

Kaspersky Lab is ’s werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan zestien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op www.kaspersky.com.

* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2012. Deze klassering werd gepubliceerd in het IDC-rapport “Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendor Shares (IDC #242618, augustus 2013). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2012.

Voor meer informatie zie www.kaspersky.com/nl of www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.