Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Mega-Games-Le-Blog.com

site appartenant à l'influenceur Defthunder

Publié le par Defthunder
Publié dans : #High Tech, #Actu Jeux vidéos

Les experts de Kaspersky Lab mettent en garde contre une nouvelle forme de fraude. Cette dernière utilise Windows Live ID comme appât pour voler des données personnelles stockées dans des profils d’utilisateurs sur des services tels que Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger et Onedrive.

 



Phishing « honnête »
Les utilisateurs reçoivent par e-mail des messages d’avertissement prétendant que leurs comptes Windows Live ID sont utilisés pour diffuser des courriers indésirables et que leurs comptes seront dès lors bloqués. Pour éviter que leurs comptes ne soient suspendus, ils sont invités à suivre un lien et à adapter leurs données, afin de répondre aux nouvelles exigences de sécurité du service. Cela ressemble furieusement à un e-mail de phishing classique, où les victimes sont censées cliquer sur des liens les menant vers des sites web bidon qui imitent la page Windows Live officielle. Les données qu’elles introduisent alors sont transmises aux escrocs. À la grande surprise de nos experts, le lien contenu dans l’e-mail frauduleux menait pourtant bel et bien au site web Windows Live, et il n’y avait apparemment aucune tentative de dérober les noms d’utilisateurs et les mots de passe des victimes.





Quelle est l’astuce, alors ?
Après avoir suivi le lien dans l’e-mail et autorisé avec succès le compte sur le site web live.com officiel, les utilisateurs ont reçu une demande étonnante du service : une application leur demandait l’autorisation de se connecter automatiquement au compte, consulter les données de profil et la liste des contacts, et avoir accès à une liste d’adresses e-mails personnelles et professionnelles des utilisateurs. Les escrocs ont eu accès à cette technique en mettant à profit des erreurs de sécurité dans le protocole d’autorisation ouvert, OAuth.

Commenter cet article