Windows Live ID bị lợi dụng làm mồi nhử lừa lấy thông tin cá nhân
Ảnh minh họa |
Sau khi truy cập liên kết trong mail và ủy quyền tài khoản thành công trên trang live.com, người dùng sẽ nhận được lời nhắc nhở lạ từ dịch vụ ứng dụng, yêu cầu cho phép tự động đăng nhập tài khoản, xem thông tin hồ sơ và danh sách liên lạc, quyền truy cập vào danh sách email cá nhân và công việc của chủ tài khoản.
Theo các chuyên gia của Kaspersky Lab, bọn lừa đảo sử dụng thành công phương thức này do lỗ hổng bảo mật OAuth - một giao thức mở dùng trong chứng quyền truy cập. Như vậy người dùng không tiết lộ mật khẩu nhưng lại cung cấp thông tin cá nhân, địa chỉ email liên lạc cả những người trong danh bạ của mình và các thông tin khác.
Ông Andrey Kostin, nhà phân tích nội dung web của Kaspersky Lab cho biết, lỗ hổng bảo mật giao thức OAuth năm ngoái đã bị sinh viên người Singapore thực hiện và có thể lấy cắp dữ liệu sau khi xác thực.
Tuy nhiên, đây là lần đầu tiên chúng tôi gặp phải bọn lừa đảo sử dụng email đưa những thủ thuật này vào thực tế. Chúng có thể sử dụng thông tin bị chặn để tạo ra hình ảnh chi tiết cho người dùng (dịch vụ Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger và OneFrive) ở mọi lúc mọi nơi.
Các nhà phát triển ứng dụng trên web cho mạng xã hội có sử dụng giao thức OAuth nên tránh sử dụng chuyển hướng trang, nếu có, phải thực hiện lập danh sách địa chỉ tin cậy để hạn chế sự tấn công.
Đối với người sử dụng, các chuyên gia đề nghị không nên truy cập liên kết qua các email và tin nhắn qua mạng xã hội. Mỗi một ứng dụng khi sử dụng cần biết rõ nguồn gốc, nếu người dùng nghi ngờ phát hiện đang có dấu hiệu phát tán thư rác nên báo với quản trị web để có thể chặn ứng dụng. Đặc biệt phải luôn cập nhật phần mềm virus và bảo vệ tích hợp chống lừa đảo luôn được cập nhật.