Phishing multi-estágio ataca com links reais

Especialistas da Kaspersky Lab descobriram um método que permite a fraudadores roubar informações pessoais sem ter acesso a login e senha do usuário. Neste caso, os cibercriminosos não tentam furtar credenciais da

Especialistas da Kaspersky Lab descobriram um método que permite a fraudadores roubar informações pessoais sem ter acesso a login e senha do usuário. Neste caso, os cibercriminosos não tentam furtar credenciais da vítima – agem de forma muito mais inteligente.

A fraude ocorre da seguinte maneira: a vítima recebe e-mail com um link para um serviço legítimo e deve digitar uma nova senha; caso contrário, sua conta seria bloqueada. Surpreendentemente, o link realmente leva para o site do desenvolvedor – por exemplo, para o Windows Live.

image001

Após a autorização, a vítima recebe uma solicitação para uma série de permissões de um aplicativo desconhecido. Entre eles, login automático, o acesso a informações de perfil, lista de contatos e lista de endereços de e-mail. Ao atribuir esses direitos abrimos acesso à nossa informação pessoal para cibercriminosos.

E, em seguida, indivíduos desconhecidos reúnem secretamente informações para fins fraudulentos. Por exemplo, podem usar os dados para distribuir spam ou links para sites de phishing ou outros sites maliciosos.

Como funciona? 

Existe um protocolo útil (porém não tão seguro) chamado OAuth, que permite aos usuários dar acesso a recursos protegidos (listas de contatos, agenda e outras informações pessoais) de maneira limitada -sem compartilhar credenciais. É comumente usado por aplicativos para redes sociais que precisam, por exemplo, ter acesso a listas de contatos dos usuários.

Como esses aplicativos usam OAuth, sua conta Facebook não está em segurança também. Um aplicativo mal-intencionado pode usar o acesso à conta do usuário para enviar arquivos de spam e maliciosos, bem como links de phishing.

Desde que o problema com o OAuth foi revelado, o ano foi bastante conturbado. No início de 2014, um estudante de Cingapura havia descrito possíveis técnicas para roubar dados do usuário após a autenticação. No entanto, esta é a primeira vez que vemos uma campanha de phishing usada para colocar essas técnicas em prática.

O que você pode fazer para se proteger:

– Não clique em links suspeitos recebidos por e-mail ou em mensagens privadas em redes sociais;

– Não permita que os aplicativos que você não confia tenham acesso aos seus dados;

– Antes de concordar, leia atentamente as descrições das permissões de acesso solicitados pelo aplicativo;

– Leia os comentários de usuários e feedbacks sobre o aplicativo na Internet;

– Você também pode visualizar e cancelar os direitos dos aplicativos instalados atualmente em configurações de conta/perfil de qualquer site de rede social ou serviço web. E nós recomendamos fortemente que você deixe esta lista o mais curta possível.

Tradução: Juliana Costa Santos Dias

Dicas