30/05/2015 11:56 GMT+7

Cảnh báo lừa đảo qua tài khoản Windows Live ID

ĐỨC THIỆN

TTO - Hãng bảo mật Kaspersky Lab vừa cảnh báo âm mưu sử dụng Windows Live ID làm mồi nhử để lấy thông tin cá nhân người dùng các dịch vụ: Xbox Live, Zune, Hotmail, Outlook, MSN, Messenger và OneDrive.

Cụ thể, những người dùng các dịch vụ trên nhận được những cảnh báo bằng email rằng tài khoản Windows Live ID của họ đang được sử dụng để phát tán những email không mong muốn, vì thế tài khoản của họ sẽ bị khóa.

Để tránh xảy ra điều này, người dùng được đề nghị truy cập vào một địa chỉ liên kết và cập nhật thông tin chi tiết của mình theo yêu cầu bảo mật mới của dịch vụ. Nếu làm theo, người dùng sẽ bị dẫn đến trang giả mạo trang Windows Live chính thức. Qua đó những thông tin họ nhập vào sẽ được gửi đến nhóm lừa đảo.

Ảnh minh họa

Bên cạnh đó, người dùng còn có thể vô tình cho phép ứng dụng tự động đăng nhập vào tài khoản, xem thông tin hồ sơ và danh sách liên lạc, quyền truy cập vào danh sách địa chỉ email cá nhân và công việc...

Những thông tin trên có khả năng dùng cho mục đích lừa đảo, chẳng hạn như gửi thư rác đến những người trong danh sách liên lạc của nạn nhân hoặc bắt đầu các cuộc tấn công lừa đảo.

Theo Kaspersky, những kẻ lừa đảo sử dụng phương thức này thành công là do lỗ hổng bảo mật ở OAuth - giao thức mở dùng trong chứng quyền truy cập.

Ông Andrey Kostin, chuyên gia phân tích nội dung web của Kaspersky Lab, cho biết: “Chúng tôi đã biết về lỗ hổng bảo mật trong giao thức OAuth cách đây rất lâu. Vào đầu năm 2014, một sinh viên Singapore đã miêu tả các cách có thể để lấy cắp dữ liệu sau khi xác thực. Tuy nhiên, đây là lần đầu tiên chúng tôi gặp phải nhóm lừa đảo sử dụng email để đưa những thủ thuật này vào thực tế.

Kẻ lừa đảo có thể sử dụng thông tin bị chặn để tạo ra hình ảnh chi tiết về người dùng, bao gồm cả thông tin về họ làm gì, hgặp ai và bạn bè họ là ai… Sau đó, hồ sơ này có thể sẽ được sử dụng cho mục đích bất chính”.

Người dùng nên làm gì?

- Không truy cập liên kết nhận được qua email hoặc tin nhắn trên trang mạng xã hội

- Không cho các ứng dụng mà mình không biết có được quyền truy cập dữ liệu cá nhân của mình.

- Nếu phát hiện ứng dụng đang dùng tài khoản của mình để phát tán thư rác hoặc liên kết độc hại, người dùng nên báo ngay với quản trị trang mạng xã hội hoặc web đó để chặn ứng dụng.

- Liên tục cập nhật cơ sở dữ liệu của phần mềm diệt virút và bảo vệ tích hợp chống lừa đảo.

ĐỨC THIỆN