Expertos de Kaspersky Lab advierten sobre la aparición de una nueva estafa que utiliza Windows Live ID como carnada para obtener información personal almacenada en los perfiles de Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger y OneDrive.
Phishing “honesto”
Según detallan los especialistas, los usuarios reciben un correo electrónico en donde se les explica que sus cuentas de Windows Live ID se han estado usando para de manera ilegítima, por lo que sus cuentas serán bloqueadas. Para detener que sus cuentas sean suspendidas, “Microsoft” les solicita a los usuarios que sigan un enlace y que actualicen sus datos para cumplir con los nuevos requerimientos de seguridad del servicio.
Esto suena muy parecido a un típico correo electrónico de phishing. Uno esperaría que cuando las víctimas hagan clic en los enlaces, éstas sean guiadas a sitios falsos que imitan la página oficial de Windows Live, a través de la cual sus datos serán enviados a estafadores. Sin embargo, nuestros expertos descubrieron que el enlace de la estafa efectivamente dirigía a los usuarios al sitio web oficial de Windows Live, en donde no había ningún intento de obtener los nombres de usuario y las contraseñas de las víctimas.
Una vez que se ingresa al enlace del correo electrónico y se autoriza con éxito la cuenta en el sitio oficial de live.com, los usuarios reciben un mensaje curioso del servicio: una aplicación solicitó permiso para iniciar sesión de forma automática, ver la información del perfil y la lista de contactos; así como tener acceso a la lista de los datos personales del usuario y las direcciones de correo electrónico de su trabajo. Los estafadores obtuvieron acceso a esta plataforma explotando fallas de seguridad en el protocolo abierto de autorización, OAuth.
Los usuarios que hacen clic en “Sí” no revelan sus credenciales y contraseñas, pero sí proporcionan su información personal, las direcciones de correo electrónico de sus contactos y los seudónimos y nombres reales de sus amigos. También es posible obtener permiso para tener acceso a otros parámetros, tales como información de citas y eventos importantes. Esta información es muy probable que se utilice para propósitos fraudulentos, como el envió de spam a los contactos de la lista de direcciones de las víctimas o para lanzar ataques selectivos de phishing.
“Hemos sabido de fallas de seguridad en el protocolo OAuth desde hace algún tiempo: a principios de 2014, un estudiante de Singapur describió las posibles formas de robar los datos de los usuarios después de una autenticación. Sin embargo, ésta es la primera vez que nos hemos encontrado con defraudadores que utilizan correos electrónicos de phishing para poner en práctica estas técnicas. Un estafador puede utilizar la información interceptada para crear una imagen detallada de los usuarios, la cual incluye información acerca de sus trabajos; a quiénes ven y quiénes son sus amigos, etc. Este perfil después se puede utilizar para propósitos delictivos”, explicó Andrey Kostin, Analista Principal de Contenido de la Web en Kaspersky Lab.
En América Latina, los analistas de Kaspersky Lab recientemente reportaron una estafa similar que empleaba este esquema fraudulento utilizando a Netflix como gancho.
Kaspersky Lab le ofrece a los desarrolladores de aplicaciones para redes sociales que utilizan el protocolo OAuth los siguientes consejos:
- Evita utilizar redirecciones abiertas desde tus sitios.
- Crea una lista blanca de direcciones de confianza para redireccionamientos realizados que utilizan OAuth, ya que los estafadores pueden realizar una redirección oculta hacia un sitio malicioso mediante la búsqueda de una aplicación que se pueda atacar con éxito y que se pueda cambiar su parámetro “redirect_uri”.
Recomendaciones para los usuarios:
- No sigas enlaces recibidos a través de correos electrónicos o mediante mensajes privados en sitios de redes sociales.
- No concedas el derecho de tener acceso a tus datos personales a aplicaciones desconocidas.
- Asegúrate de entender completamente los derechos de acceso que cada aplicación recibe.
- Si descubres que una aplicación ya está distribuyendo spam o enlaces maliciosos en tu nombre, envia una queja a la administración del sitio de la red social o servicio web y la aplicación será bloqueada.
- Mantén actualizadas las bases de datos de tu antivirus, así como la protección integrada anti-phishing.
Si quieres más información acerca de esta estafa, ingresa en Securelist.com.