Sukčiai išvilioja prieigos prie asmeninių duomenų leidimą per paslaugą „Microsoft“

„Kaspersky Lab“ specialistai pastebėjo netipinį sukčių triuką, taikomą gauti prieigą prie asmeninių vartotojų duomenų. Atradimas įdomus tuo, kad sukčiai naudoja oficialią bendrovės „Microsoft“ paslaugą live.com kaip netyčinį tarpininką, taip užmigdydami potencialios aukos budrumą ir stumdami ją geranoriškai leisti prieiti prie asmeninės informacijos.

Pirmasis sukčių taikomos schemos etapas primena klasikinį šlamštalaiškių siuntimą – siuntėjas gauna laišką su pranešimu apie būsimą savo sąskaitos „Live ID“, naudojamos daugelyje „Microsoft“ paslaugų, blokavimą. Auką įtikina, neva privalu pereiti pagal laiške nurodomą nuorodą ir įvykdyti naujus paslaugos saugumo reikalavimus. Taip vartotojas nenukreipiamas į padirbtą puslapį, kaip tai paprastai būna siunčiant šlamštalaiškius, bet pereina į teisėto bendrovės „Microsoft“ tinklalapio live.com prisijungimo puslapį. Tokia įvykių eiga gana netipinė – nukreipdami vartotojus į oficialų resursą sukčiai neturi galimybės pavogti prisijungimo duomenis ir slaptažodį. Tačiau jų tikslas – ne sąskaitos „Live ID“ rekvizitai, o vartotojo asmeniniai duomenys. Iš karto po sėkmingo prisijungimo paslauga „Microsoft“ pavaizduoja programėlės užklausą dėl prieigos prie asmeninių duomenų.

Jei auka duoda sutikimą, programėlės autoriai gauna vartotojo asmeninius duomenis, jo kontaktų pašto adresus, draugų pravardes, vardus ir kitą informaciją, kurią gali vėliau naudoti sukčiavimo tikslais. Visą tai pasiekiama paprastu metodu – nuoroda laiške, be adreso live.com, turi internetinės programėlės identifikavimo priemonę ir teisių sąrašą, kurias ji prašo pateikti. Pati internetinė programėlė naudoja specialų atvirą ir „Microsoft“ palaikomą autorizavimo protokolą „OAuth“, kuris, vartotojui leidus, trečiajai šaliai suteikia prieigą prie asmeninių vartotojo duomenų be prisijungimo vardo ir slaptažodžio.

„Šiuo triuku sukčiai gali pasinaudoti ne tik „Microsoft“ – taip pat sėkmingai jį galima taikyti ir populiariuose socialiniuose tinkluose, tada sukčiai gali gauti teises kurti įrašus, skaityti ir siųsti asmeninius pranešimus ir pridėti papildomų vartotojų aukos vardu. Todėl neverta prarasto budrumo ir teigiamai atsakyti į bet kokias užklausas, net jei jūs esate teisėtame resurse – jis ne visada turi galimybę sekti jo palaikomų programėlių autorių sąžiningumą“, – komentuoja Deividas Emas, „Kaspersky Lab“ vyriausiasis regiono ekspertas Didžiojoje Britanijoje.