采用真实链接的多阶段网络钓鱼

最近卡巴斯基实验室专家发现了一种狡猾的欺诈方法,使得网络犯罪分子无需访问用户的登录名和密码,即可窃取个人信息。这些网络犯罪分子并未试图窃取受害人登录凭证—而是采取了更加聪明的方法。

最近卡巴斯基实验室专家发现了一种狡猾的欺诈方法,使得网络犯罪分子无需访问用户的登录名和密码,即可窃取个人信息。这些网络犯罪分子并未试图窃取受害人登录凭证—而是采取了更加聪明的方法。

受害人最初会收到一封电邮,要求点击邮件内的链接进入官网输入新的密码;否则的话他们的账户将被封闭。令人意外的是,这些链接的确是开发商官网的网址—例如,Windows Live官网。

在授权成功后,受害人会收到来自一个未知应用的一系列权限请求。这些权限包括:自动登录、访问配置文件信息、通讯录以及一组电邮地址。一旦同意这些请求,网络犯罪分子将能轻松访问我们的个人信息。

这些身份不明的黑客秘密收集信息,肆意地进行各种欺诈活动。例如,他们可以用这些信息发送垃圾邮件,或者钓鱼网站或恶意网站网址链接

工作原理探究

OAuth授权协议虽然实用,但在安全方面却非尽善尽美,这使得用户在无需提供登录凭证的情况下,就能开放对受保护资源(通讯录、工作日程以及其它个人信息)的受限访问权限。在一些社交网络上的应用程序中普遍使用,例如:访问用户的通讯录。

由于社交网络上的应用也使用OAuth协议,因此你的Facebook账户也并不安全。恶意应用程序通过利用用户账户的访问权限,随意发送垃圾邮件、恶意文件以及网络钓鱼链接。

自公布OAuth存在漏洞以来到现在已经过去1年了。大约在2014年初的时候,来自新加坡的一名学生声称在认证成功后,就能利用可能的技术来窃取用户数据。然而,这却是我们第一次看到将这些技术运用到实际的网络钓鱼活动中。

对应的保护方法如下:

  • 千万不要点击在社交网络上收到的电邮或私信内的链接;
  • 千万不要授予你不信任应用程序访问你数据的权限;
  • 在同意授权之前,仔细阅读应用程序要求的账户访问权限的说明;
  • 去互联网上了解该应用程序的用户评价和反馈
  • 你还能在任何社交网络网站或网络服务的账户/配置文件设置内查看并取消已安装应用程序的权限。并且,我们强烈建议你尽量减少安装社交网络上的应用程序。
  • 提示