کارشناسان امنیتی شرکت کسپرسکی* از شناسایی روش جدیدی از کلاهبرداری اینترنتی خبر دادند که سودجویان یا مجرمین سایبری از شناسه‌ی ویندوز لایو (Windows Live ID) بعنوان طعمه‌ای برای دسترسی به اطلاعات شخصی و مرتبط کاربران از جمله اطلاعات کاربری سرویس‌های Xbox LIVE، Zune، Hotmail، Outlook، MSN، Messenger، و OneDrive استفاده می‌نمایند. در این مطلب به بررسی این روش، و توصیه‌هایی در همین خصوص برای برنامه‌نویسان و کاربران میپردازیم.

فیشینگ با ایمیل غیرجعلی!

کاربران قربانی این حملات، ایمیل‌هایی مبنی بر اینکه اطلاعات کاربری Windows Live ID آنها برای ارسال ایمیل‌های ناخواسته یا اسپم مورد استفاده قرار گرفته، لذا بزودی حسابهای کاربری آنها مسدود میگردد. در همین ایمیل از کاربران درخواست می‌شود که بمنظور جلوگیری از این تعلیق یا بسته شدن حساب Windows LIVE روی لینکی کلیک نموده و مطابق ملزومات جدید و امنیتی این شرکت نسبت به تکمیل اطلاعاتی اقدام نمایند. محتوا و سبک این ایمیل درست مشابه ایمیل‌های فیشینگ است و انتظار میرود کاربران ترغیب به کلیک روی لینکی شوند که آنها را به صفحه‌ای جعلی و مشابه صفحه رسمی Windows Live هدایت نماید و اطلاعات ورودی آنها بلافاصله برای افراد سودجو ارسال گردد. اما جالب اینجاست که کارشناسان شرکت کسپرسکی در کمال تعجب ملاحظه نموده اند که لینکهای این ایمیل‌ها، کاربران را دقیقاً به وبسایت رسمی Windows Live هدایت مینمود و هیچ اقدام مشخصی بمنظور دریافت اطلاعات کاربری و کلمه عبور کاربر صورت نمی‌گیرد.

پس چه حقّه ای بکار گرفته میشود؟

کاربران پس از آنکه با مؤفقیت اطلاعات کاربری خود را وارد و روی این وبسایت احراز هویت نمودند، با درخواست عجیبی از این سرویس روبرو شدند: برنامه‌ای درخواست تأیید بمنظور ورود خودکار به این سرویس مینماید که ضمن آن به اطلاعات شخصی کاربر، لیست مخاطبین و آدرس‌های ایمیل شخصی و کاری وی نیز دسترسی خواهد داشت. لذا، کلاهبرداران سایبری بشکلی غیرمستقیم و با ترفندی اقدام به سوءاستفاده از ایرادات امنیتی موجود در پروتکل باز احرازهویت (O-Auth) این وبسایت نمودند.

اگرچه کاربران با انتخاب Yes یا تأیید این دسترسی بلافاصله اطلاعات کاربری خود (نام کاربری و کلمه عبور) را از دست نمی دهند ولی سایر اطلاعات از جمله نام کاربری، نام کامل و آدرس ایمیل دوستان و افراد موجود در لیست مخاطبین آنها، بلافاصله برای افراد سودجو قابل دسترسی است. لذا همین اطلاعات میتواند برای اهداف متعددی نظیر حملات فیشینگ هدفمند یا spear phishing attack یا حداقل ارسال هرزنامه به افرادی که نام کاربری و نام حقیقی آنها نیز مشخص است، مورد استفاده قرار گیرد.

 اندری کاستین (Andrey Kostin)، تحلیلگر ارشد وب در شرکت کسپرسکی در این خصوص اظهار داشت: «تاکنون موارد مختلفی از سودجویی‌های مرتبط با این آسیب‌پذیری امنیتی پروتکل OAuth ملاحظه شده است، نظیر گزارش دانشجویی سنگاپوری که راههای مختلف سرقت اطلاعات کاربران بعد از اقدام آنان در احراز هویت در وبسایت‌های استفاده کننده از این پروتکل را نشان میداد، ولی این اولین موردی است که شخص سودجو با ارسال یک ایمیل فیشینگ دست به چنین اقدامی زده است. با توجه به اینکه تقریباً اطلاعات کاملی از دوستان و آشنایان کاربر و قرار ملاقات‌ها یا اتفاقات مهمی که ممکن است کاربر در این سرویس ثبت نموده باشد در دسترس فرد سودجو قرار میگیرد، این کلاهبردار یا فرد سودجو میتواند براحتی اقدام به کلاهبرداری نماید و این امر منجر به جرایم سایبری مختلفی شود.»

توصیه‌هایی برای برنامه‌نویس‌های شبکه اجتماعی که از پروتکل OAuth استفاده مینمایند:

1- از بکارگیری تغییرمسیر مستقیم یا open redirectها از سوی وبسایت خودتان اجتناب نمایید؛
2- لیست سفیدی از آدرسهای مورد اطمینانی که در redirectها یا تغییرمسیرهای انجام شده توسط پروتکل OAuth مورد استفاده قرار میگیرد تهیه نمایید، چرا که افراد سودجو براحتی میتوانند ضمن یافتن برنامه ای آسیب پذیر و اعمال تغییری کوچک در پارامتر "redirect uri" کاربران را به وبسایتی جعلی هدایت نمایند.

توصیه هایی برای کاربران:

1- روی لینک‌هایی که از طریق ایمیل یا پیغام‌های خصوصی وبسایت شبکه‌های اجتماعی دریافت می‌نمایید کلیک ننمایید؛
2- درخواست دسترسی برنامه‌های ناشناس به اطلاعات شخصی‌تان را هرگز تأیید ننمایید؛
3- تمامی دسترسی‌هایی که برنامه‌های متعدد از شما درخواست مینمایند را دقیقاً بررسی نمایید؛
4- اگر متوجه شدید برنامه‌ای اقدام به ارسال ایمیل یا مکاتبات از سوی شما مینماید (نظیر برخی از برنامه های شبکه اجتماعی فیسبوک) میتوانید آن مورد را به مدیران شبکه اجتماعی یا سرویس مربوطه اطلاع دهید تا در اسرع وقت نسبت به مسدودسازی آن برنامه اقدام شود؛
5- دیتابیس آنتی ویروس و ابزار محافظتی ضد فیشینگ آن را همواره بروز نگاه دارید.

منبع: کسپرسکی آنلاین

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.