Злоумышленники похищают данные с помощью сервиса Microsoft Live.com

Довольно необычный способ похищения персональных данных в сети был обнаружен сотрудниками «Лаборатории Касперского». Злоумышленники с этой целью используют одну из служб Microsoft.

В качестве точки доступа к пользовательской информации преступники воспользовались сервисом Microsoft Live.com. Таким образом они не привлекают внимание к своим действиям, что в несколько раз увеличивает шансы на успешное похищение пользовательских данных.

На первом этапе хакерского метода реализуется схема, которая обладает характеристиками классического фишинга – пользователю отсылается уведомление с предупреждением о предстоящей блокировке аккаунта на Live ID. Абонемент должен проследовать по предложенной ссылке и выполнить весь блок указаний. Примечательно, что объект атаки направляется не на фейковую страницу, что характерно для фишинговых атак, а на страницу аутентификации официального сайта корпорации Microsoft.

Главной задачей преступников является кража персональных данных пользователя, а не пароля и логина. С этой целью реализуются следующие шаги: после успешного прохождения авторизации, пользователю посылается запрос от неопределенного приложения на автоматический вход, в котором указано, что программа сможет получить информацию о профиле пользователя и контактах из его адресной книги. В случае, если человек дает на это разрешение, вредоносная программа получает доступ к личным данным пользователя, списку его контактов, фамилиям и прозвищам друзей, а также другой дополнительной информации, которая размещена на пользовательской странице. В будущем весь блок данных может быть использован в противозаконной деятельности.

Успешность реализации описанной схемы происходит благодаря ссылке в уведомительном письме. Там размещен не только адрес Live.com, но также идентификатор приложения и указывается, какие права обязан при входе предоставить пользователь. Этим веб-приложением используется открытый код авторизации OAuth, который поддерживается компанией Microsoft, что подразумевает возможность предоставления пользовательской информации, с разрешения владельца профиля, третьим лицам, которым для просмотра впоследствии не нужен ни логин, ни пароль.