Recentemente, os especialistas do Strong The One descobriram um método astuto que permite que os fraudadores roubem informações pessoais sem acessar o login e a senha do usuário. Os cibercriminosos não tentam roubar as credenciais da vítima – eles agem de maneira muito mais inteligente.
As vítimas recebem um e-mail com um pedido para seguir o link para um serviço oficial e inserir uma nova senha; caso contrário, sua conta seria bloqueada. Surpreendentemente, o link realmente leva ao site do desenvolvedor – por exemplo, ao site do Windows Live.
Após a autorização, a vítima recebe uma solicitação de uma série de permissões de um aplicativo desconhecido. Entre outros, essa faixa pode incluir login automático, acesso às informações do perfil, lista de contatos e lista de endereços de e-mail. Ao atribuir esses direitos, abrimos o acesso às nossas informações pessoais aos cibercriminosos.
Em seguida, indivíduos desconhecidos coletam informações secretamente, supostamente para fins fraudulentos. Por exemplo, eles podem usá-lo para distribuir spam ou links que levam a sites de phishing ou mal-intencionados.
Como funciona?
Existe um protocolo de autorização útil, mas não perfeitamente seguro, chamado OAuth, que permite aos usuários abrir o acesso limitado aos seus recursos protegidos (listas de contatos, agenda e outras informações pessoais) sem compartilhar suas credenciais. É comumente usado por aplicativos de redes sociais se necessário, por exemplo, acesso às listas de contato dos usuários.
Como os aplicativos de redes sociais também usam OAuth, sua conta do Facebook também não é segura . Um aplicativo malicioso pode usar o acesso à conta do usuário para enviar spam e arquivos maliciosos, bem como links de phishing.
Já se passou um ano desde que a natureza do OAuth com vazamento foi revelada. No início de 2014, um estudante de Cingapura descreveu possíveis técnicas para roubar dados do usuário após a autenticação. No entanto, esta é a primeira vez que vimos uma campanha de phishing usada para colocar essas técnicas em prática.
O que você pode fazer para se manter protegido:
não siga links recebidos por e-mail ou em mensagens privadas nas redes sociais;
não permita que aplicativos não confiáveis acessem seus dados;
antes de concordar, leia atentamente as descrições dos direitos de acesso à conta solicitados pelo aplicativo;
ler comentários e feedbacks de usuários sobre o aplicativo na Internet;
você também pode ver e cancelar os direitos dos aplicativos instalados atualmente nas configurações de conta / perfil de qualquer site de rede social ou serviço da web. E recomendamos enfaticamente que você faça esta lista o mais curta possível.
