Nutzer von Windows Live ID derzeit Ziel einer geschickten Betrugsmasche
Unter dem Vorwand, die Windows Live ID zu authentifizieren, locken Betrüger derzeit Nutzer von Microsoft-Diensten wie Xbox Live, Outlook, MSN und OneDrive und in eine recht gut gemachte Falle. Im Gegensatz zu anderen Versuchen, Profil- und Account-Daten zu ergaunern führt der Link Anwender nämlich zunächst tatsächlich auf die korrekte Site live.com, nicht auf eine mehr oder weniger gut gemachte Imitation. Den Datendiebstahl übernimmt dann eine Anwendung, die in einem Dialogfenster Zugangsdaten abfragt.
Laut Andrey Kostin vom IT-Sicherheitsanbieter Kaspersky nutzen die Betrüger für ihren Trick Sicherheitslücken im offenen Autorisierungsprotokoll OAuth aus. Mit den durch gewonnenen Profilinformationen führten sie dann zielgerichtete Spam- und Spear-Phishing-Attacken durch. In der ursprünglichen Mail, mit der Nutzer geködert werden, heißt es, dass ihre Konto zum Spam-Versand missbraucht worden und daher eine neue Authentifizierung erforderlich sei.
“Sicherheitsschwachstellen im OAuth-Protokoll kennen wir bereits seit einiger Zeit. So hatte bereits Anfang 2014 ein Student aus Singapur den möglichen Diebstahl von Nutzerdaten nach der Authentifizierung beschrieben”, so Kostin, Senior Web Content Analyst bei Kaspersky Lab. “Allerdings sehen wir nun zum ersten Mal, dass eine Phishing-E-Mail für die praktische Umsetzung dieser Technik verwendet wurde.”
Nutzern von Microsoft-Diensten mit einer Windows Live ID rät Kaspersky Lab – wie üblich zusätzlich zum Einsatz aktueller Sicherheitssoftware- , niemals Links zu folgen, die sie über E-Mails oder Nachrichten innerhalb Sozialer Netzwerke erhalten sowie unbekannten Anwendungen keine Zugangsreche für persönliche Daten einzuräumen. Außerdem sollten sie sich die Account-Zugangsrechte von allen genutzten Applikationen genau ansehen. Sofern sie bemerken, dass eine Applikation Spam-Nachrichten oder gefährliche Links über einen persönlichen Account verbreitet, empfiehlt ihnen das Unternehmen umgehend Kontakt mit dem Administrator des betroffenen Web-Dienstes beziehungsweise Sozialen Netzwerks aufzunehmen, damit die Applikation gesperrt werden kann.
Entwickler für Web-Applikationen die das OAuth-Protokoll nutzen, sollten Kaspersky zufolge die offene Weiterleitung von der eigenen Webseite vermeiden und eine Whitelist mit vertrauenswürdigen Adressen für ausgeführte Weiterleitungen auf Basis von OAuth erstellen. Das sei notwendig, weil Betrüger eine versteckte Weiterleitung auf gefährliche Seiten ausführen könnten, wenn sie eine Applikation finden, bei der sie den Parameter “redirect_uri” ändern können.