Ремонт, сервис, услуги » Информация » Мошенники выманивают разрешение доступа к личным данным через сервис Microsoft




Мошенники выманивают разрешение доступа к личным данным через сервис Microsoft

Автор: addministr от 23-05-2015, 18:30

Категория: Информация



Специалисты «Лаборатории Касперского» заметили нетипичную уловку злоумышленников, направленную на получение доступа к личным данным пользователя. Находка интересна в первую очередь тем, что мошенники используют в качестве невольного посредника официальный сервис live.com компании Microsoft, тем самым усыпляя бдительность потенциальной жертвы и подталкивая ее к добровольному разрешению доступа к своей приватной информации.
Мошенники выманивают разрешение доступа к личным данным через сервис Microsoft

http://www.ferra.ru/photo/techlife/news/kaspersky-Microsoft/22855/423098
Первый этап мошеннической схемы напоминает классический фишинг — адресат получает письмо с уведомлением о предстоящей блокировке своего аккаунта Live ID, используемого в множестве сервисов Microsoft. Жертву заверяют в необходимости пройти по указанной в письме ссылке и выполнить новые требования по безопасности сервиса. При этом пользователь не направляется на поддельную страницу, как это обычно бывает в ходе фишинговой атаки, а переходит на страницу аутентификации легитимного сайта компании Microsoft live.com.Подобное развитие событий довольно нетипично — в случае перенаправления на официальный ресурс возможности украсть логин и пароль у злоумышленников нет. Однако дело в том, что их целью являются не реквизиты учетной записи Live ID, а личные данные пользователя. Сразу после успешной авторизации сервис Microsoft отображает запрос на разрешение некоторому приложению доступа к личным данным.
Если жертва дает свое согласие, авторы приложения получают личные сведения пользователя, почтовые адреса его контактов, прозвища и имена друзей и прочую информацию, которую можно позже использовать в мошеннических целях. Все это достигается благодаря простому приему — ссылка в письме помимо адреса live.com также содержит идентификатор веб-приложения и перечень прав, которые оно просит предоставить. Само веб-приложение использует специальный открытый и поддерживаемый Microsoft протокол авторизации OAuth, который позволяет предоставлять третьей стороне с разрешения пользователя доступ к его личным данным без логина и пароля.



Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Архив | Связь с админом | Конфиденциальность

RSS канал новостей   Яндекс.Метрика