最近卡巴斯基实验室专家发现了一种狡猾的欺诈方法,使得网络犯罪分子无需访问用户的登录名和密码,即可窃取个人信息。这些网络犯罪分子并未试图窃取受害人登录凭证—而是采取了更加聪明的方法。
受害人最初会收到一封电邮,要求点击邮件内的链接进入官网输入新的密码;否则的话他们的账户将被封闭。令人意外的是,这些链接的确是开发商官网的网址—例如,Windows Live官网。
在授权成功后,受害人会收到来自一个未知应用的一系列权限请求。这些权限包括:自动登录、访问配置文件信息、通讯录以及一组电邮地址。一旦同意这些请求,网络犯罪分子将能轻松访问我们的个人信息。
这些身份不明的黑客秘密收集信息,肆意地进行各种欺诈活动。例如,他们可以用这些信息发送垃圾邮件,或者钓鱼网站或恶意网站网址链接。
工作原理探究
OAuth授权协议虽然实用,但在安全方面却非尽善尽美,这使得用户在无需提供登录凭证的情况下,就能开放对受保护资源(通讯录、工作日程以及其它个人信息)的受限访问权限。在一些社交网络上的应用程序中普遍使用,例如:访问用户的通讯录。
由于社交网络上的应用也使用OAuth协议,因此你的Facebook账户也并不安全。恶意应用程序通过利用用户账户的访问权限,随意发送垃圾邮件、恶意文件以及网络钓鱼链接。
7 simple steps to avoiding Facebook #phishing attempts – https://t.co/Qj68bST6HQ pic.twitter.com/V6rinEa2jI
— Kaspersky (@kaspersky) April 24, 2015
自公布OAuth存在漏洞以来到现在已经过去1年了。大约在2014年初的时候,来自新加坡的一名学生声称在认证成功后,就能利用可能的技术来窃取用户数据。然而,这却是我们第一次看到将这些技术运用到实际的网络钓鱼活动中。
对应的保护方法如下: