Ausgefeilte Betrugsmasche zielt auf Nutzer von Windows Live ID ab

Nutzer von Microsoft-Diensten wie Xbox Live, Outlook.com, MSN oder OneDrive sollten sich derzeit besonders vorsehen, nicht Opfer einer raffinierten Bertrugsmasche zu werden. Um an ihre Anmeldedaten zu kommen, locken Cyberkriminelle sie für eine angebliche Authentifizierung der Windows Live ID auf die echte Microsoft-Site live.com und nicht etwa auf einen mehr oder weniger gut gemachten Nachbau, wie es sonst üblich ist. Der Datendiebstahl erfolgt dann mittels einer Anwendung, die in einem Dialogfenster Zugangsdaten abfragt.

Nach Angaben von Andrey Kostin vom IT-Sicherheitsanbieter Kaspersky nutzen die Betrüger für ihren Trick Sicherheitslücken im offenen Autorisierungsprotokoll OAuth aus. Die auf diese Weise abgegriffenen Profilinformationen setzen sie dann für zielgerichtete Spam-Kampagnen und Spear-Phishing-Angriffe ein. Ironischerweise heißt es in der ursprünglichen Mail, mit der Nutzer geködert werden, dass ihr Konto zum Spam-Versand missbraucht worden und daher eine neue Authentifizierung erforderlich sei.

Bei der Betrugsmasche landen Nutzer zwar auf der echten Microsoft-Site live.com, werden aber von einer nicht dazugehörigen Anwendung nach Anmeldedaten gefragt (Screenshot: ITespresso).

„Schwachstellen im OAuth-Protokoll kennen wir bereits seit einiger Zeit. So hatte bereits Anfang 2014 ein Student aus Singapur den möglichen Diebstahl von Nutzerdaten nach der Authentifizierung beschrieben“, sagt Kostin, Senior Web Content Analyst bei Kaspersky Lab. „Allerdings sehen wir nun zum ersten Mal, dass eine Phishing-E-Mail für die praktische Umsetzung dieser Technik verwendet wurde.“

Nutzern von Microsoft-Diensten mit einer Windows Live ID rät Kaspersky Lab – wie üblich zusätzlich zum Einsatz aktueller Sicherheitssoftware -, niemals Links zu folgen, die sie über E-Mails oder Nachrichten innerhalb sozialer Netze erhalten haben. Außerdem sollten sie unbekannten Anwendungen keine Zugangsreche für persönliche Daten einräumen und sich die Kontenzugangsrechte aller genutzten Applikationen genau ansehen. Sofern sie bemerken, dass eine Applikation Spam-Nachrichten oder gefährliche Links über einen persönlichen Account verbreitet, empfiehlt Kaspersky, umgehend Kontakt mit dem Administrator des betroffenen Web-Dienstes beziehungsweise sozialen Netzes aufzunehmen, damit die Applikation gesperrt werden kann.

Entwickler für Web-Anwendungen, die das OAuth-Protokoll nutzen, sollten Kaspersky zufolge die offene Weiterleitung von der eigenen Site vermeiden und eine Whitelist mit vertrauenswürdigen Adressen für ausgeführte Weiterleitungen auf Basis von OAuth erstellen. Das sei notwendig, weil Betrüger eine versteckte Weiterleitung auf gefährliche Seiten ausführen könnten, wenn sie eine Applikation finden, bei der sie den Parameter „redirect_uri“ ändern können.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de