Meglepően furmányos csalással lopják az adatainkat

emailA Kaspersky egy új internetes csalásra figyelmeztet, amelynek során Windows Live ID azonosítókat használnak olyan személyes adatok kinyerésére, amelyeket a felhasználók a profiljaikban tárolnak, például Xbox LIVE-on, Zune-on, Hotmail levelezőn, Outlook-on, valamint OneDrive-on. A felhasználók figyelmeztetést kapnak e-mailben arról, hogy a Windows Live ID fiókjukat kéretlen e-mail üzenetek továbbítására használják fel, ezért leállítják a fiókjuk működését. Ahhoz, hogy a felfüggesztést feloldják, a felhasználókat egy weboldalra csalják, ahol frissíthetik az adataikat annak érdekében, hogy a szolgáltatás új biztonsági előírásainak megfeleljenek. Általában úgy zajlik egy ehhez hasonló átlagos adathalász támadás e-mailben, hogy az áldozatokat valamilyen hamis oldalra vezetik, amely úgy néz ki, mintha valódi Windows Live oldal lenne és minden az oldalon beírt adat csalók kezére jut. A Kaspersky szakértői meglepve tapasztalták, hogy a csalók üzenete ténylegesen a Windows Live oldalára vezetett, és nem kísérelték meg a felhasználó adatait vagy jelszavát ellopni.

A trükk furmányos: a linkre kattintva, miután sikeresen engedélyezzük a fiókot a hivatalos live.com oldalon, a felhasználó egy azonnali parancs üzenettel szembesül a szolgáltatótól: egy alkalmazás kér engedélyt ahhoz, hogy automatikusan beléphessen a fiókunkba, megnézhesse a profiladatainkat és hozzáférjen a címlistánkhoz, valamint a magán- és munkahelyi e-mail címeinkhez. A csalók a nyílt szabvány engedélyezési folyamat (OAuth) hibáin keresztül tudtak hozzáférni ehhez a technikához. Azon felhasználók, akik a “Yes” gombra kattintanak, nem a saját felhasználónevüket és jelszavukat adják ki, de személyes adatokat szolgáltatnak, például a címlistájukon szereplő e-mail címeket, a barátaik valós- és beceneveit. Az is előfordul, hogy más adatokhoz is sikerül engedélyt kapniuk, például találkozók, események időpontjaihoz. Ezeket az információkat nagy eséllyel tisztességtelen célokra használhatják fel, például az áldozat címjegyzékében található címekre spam üzeneteket küldhetnek, vagy adathalász támadásokat indíthatnak.

Biztonsági tanácsok
1. Ne kattintsunk az e-mailben, privát üzenetben, vagy közösségi oldalakon kapott linkekre.
2. Ismeretlen alkalmazásoknak ne engedélyezzük a személyes adatainkhoz való hozzáférést.
3. Győzödjünk meg róla, hogy teljesen megértettük, hogy az adott alkalmazás milyen hozzáférési jogokkal rendelkezik a fiókjainkhoz.
4. Ha észrevesszük, hogy az alkalmazás már spam üzeneteket vagy rosszindulatú linkeket küldözget a mi nevünkben, akkor jelezzük a panaszunkat a közösségi oldal adminisztrátorainak, vagy az alkalmazás webes szolgáltatójának, akik letilthatják az alkalmazást.
5. Mindig frissítsük a vírusirtó szoftverünk adatbázisát.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Next Post

Tehénmentő megoldással jön az idei TechShow

hét máj 25 , 2015
Idén május 26-án hetedik alkalommal rendezi meg a Mobilitás és Multimédia Klaszter a Magyar Innovációs TechShow-t. Az idei innovációk között lesz például a 5Litres alkalmazással, amelynek segítségével kényelmesen lezuhanyozhatunk az átlagosan használt vízmennyiség egy tizedéből. Ott lesz például a Route4u is, amely a kerekesszékes közlekedést segíti a felhasználók által automatikusan […]

És még ez is...