Nutzer von Windows Live ID derzeit Ziel einer geschickten Betrugsmasche

CyberkriminalitätSicherheit
Passwort-Sicherheit (Bild: Shutterstock)

Betrüger nutzen dazu Sicherheitslücken im offenen Autorisierungsprotokoll OAuth aus. Ihre Opfer locken sie für eine angebliche Authentifizierung der Windows Live ID auf die echte Website live.com, fragen dann aber mit einer Anwendung Zugangsrechte zum Account ab. Mit den gestohlenen Profilinformationen lassen sich Spam-Mails zielgerichtet versenden oder sogenannte Spear-Phishing-Attacken durchführen.

Unter dem Vorwand, die Windows Live ID zu authentifizieren, locken Betrüger derzeit Nutzer von Microsoft-Diensten wie Xbox Live, Outlook, MSN und OneDrive und in eine recht gut gemachte Falle. Im Gegensatz zu anderen Versuchen, Profil- und Account-Daten zu ergaunern führt der Link Anwender nämlich zunächst tatsächlich auf die korrekte Site live.com, nicht auf eine mehr oder weniger gut gemachte Imitation. Den Datendiebstahl übernimmt dann eine Anwendung, die in einem Dialogfenster Zugangsdaten abfragt.

Laut Andrey Kostin vom IT-Sicherheitsanbieter Kaspersky nutzen die Betrüger für ihren Trick Sicherheitslücken im offenen Autorisierungsprotokoll OAuth aus. Mit den durch gewonnenen Profilinformationen führten sie dann zielgerichtete Spam- und Spear-Phishing-Attacken durch. In der ursprünglichen Mail, mit der Nutzer geködert werden, heißt es, dass ihre Konto zum Spam-Versand missbraucht worden und daher eine neue Authentifizierung erforderlich sei.

“Sicherheitsschwachstellen im OAuth-Protokoll kennen wir bereits seit einiger Zeit. So hatte bereits Anfang 2014 ein Student aus Singapur den möglichen Diebstahl von Nutzerdaten nach der Authentifizierung beschrieben”, so Kostin, Senior Web Content Analyst bei Kaspersky Lab. “Allerdings sehen wir nun zum ersten Mal, dass eine Phishing-E-Mail für die praktische Umsetzung dieser Technik verwendet wurde.”

Bei der Betrugsmasche landen Nutzer einer Windows Live ID zwar auf der echten Site live.com, werden aber von einer nicht dazugehörogen Anwendung nach Anmeldedaten gefragt (Screenshot: ITespresso)
Bei der Betrugsmasche landen Nutzer zwar auf der echten Site live.com, werden aber von einer nicht dazugehörogen Anwendung nach Anmeldedaten gefragt (Screenshot: ITespresso)

Nutzern von Microsoft-Diensten mit einer Windows Live ID rät Kaspersky Lab – wie üblich zusätzlich zum Einsatz aktueller Sicherheitssoftware- , niemals Links zu folgen, die sie über E-Mails oder Nachrichten innerhalb Sozialer Netzwerke erhalten sowie unbekannten Anwendungen keine Zugangsreche für persönliche Daten einzuräumen. Außerdem sollten sie sich die Account-Zugangsrechte von allen genutzten Applikationen genau ansehen. Sofern sie bemerken, dass eine Applikation Spam-Nachrichten oder gefährliche Links über einen persönlichen Account verbreitet, empfiehlt ihnen das Unternehmen umgehend Kontakt mit dem Administrator des betroffenen Web-Dienstes beziehungsweise Sozialen Netzwerks aufzunehmen, damit die Applikation gesperrt werden kann.

Entwickler für Web-Applikationen die das OAuth-Protokoll nutzen, sollten Kaspersky zufolge die offene Weiterleitung von der eigenen Webseite vermeiden und eine Whitelist mit vertrauenswürdigen Adressen für ausgeführte Weiterleitungen auf Basis von OAuth erstellen. Das sei notwendig, weil Betrüger eine versteckte Weiterleitung auf gefährliche Seiten ausführen könnten, wenn sie eine Applikation finden, bei der sie den Parameter “redirect_uri” ändern können.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen