Người dùng nhận được những cảnh báo bằng email rằng tài khoản Windows Live ID của họ đang được sử dụng để phát tán những email không mong muốn, vì thế tài khoản của họ sẽ bị khóa. Để tài khoản không bị treo, người dùng được yêu cầu truy cập địa chỉ liên kết và cập nhật thông tin chi tiết của mình theo yêu cầu bảo mật mới của dịch vụ. Việc này rất giống email lừa đảo điển hình. Nạn nhân sẽ nhấp chuột vào liên kết dẫn họ đến trang giả mạo trang Windows Live chính thức. Thông tin họ nhập vào sẽ được gửi đến bọn lừa đảo. Các chuyên gia đã rất ngạc nhiên rằng liên kết trong email lừa đảo lại dẫn đến trang Windows Live và không hề có âm mưu lấy tài khoản và mật khẩu của nạn nhân nào rõ ràng cả.

Sau khi truy cập liên kết trong email và ủy quyền tài khoản thành công trên trang live.com chính thức, người dùng nhận được một lời nhắc nhở lạ từ dịch vụ: một ứng dụng yêu cầu cho phép tự động đăng nhập vào tài khoản, xem thông tin hồ sơ và danh sách liên lạc, quyền truy cập vào danh sách địa chỉ email cá nhân và công việc của người dùng. Bọn lừa đảo sử dụng phương thức này thành công là do lỗ hổng bảo mật ở OAuth – giao thức mở dùng trong chứng quyền truy cập.

Người dùng chọn “Yes” không tiết lộ tên đăng nhập và mật khẩu, nhưng lại cung cấp thông tin cá nhân, địa chỉ email liên lạc của những người trong danh bạ và biệt danh, tên thật của bạn bè họ. Quyền truy cập vào các nội dung khác, như danh sách cuộc họp và sự kiện quan trọng, cũng có thể có được. Thông tin này có khả năng dùng cho mục đích lừa đảo nhất, chẳng hạn như gửi thư rác đến những người trong danh sách liên lạc của nạn nhân hoặc bắt đầu các cuộc tấn công lừa đảo.

Ông Andrey Kostin, Nhà Phân tích Nội dung Web Cấp cao, Kaspersky Lab cho biết: “Chúng tôi đã biết về lỗ hổng bảo mật trong giao thức OAuth cách đây rất lâu: vào đầu năm 2014, một sinh viên Singapore đã miêu tả các cách có thể để lấy cắp dữ liệu sau khi xác thực. Tuy nhiên, đây là lần đầu tiên chúng tôi gặp phải bọn lừa đảo sử dụng email để đưa những thủ thuật này vào thực tế. Kẻ lừa đảo có thể sử dụng thông tin bị chặn để tạo ra hình ảnh chi tiết về người dùng, bao gồm cả thông tin về họ làm gì, họ gặp ai và bạn bè họ là ai, v.v… Sau đó, hồ sơ này có thể sẽ được sử dụng cho mục đích bất chính”.

1. Tránh sử dụng chuyển hướng mở từ trang của bạn

2. Lập danh sách các địa chỉ đáng tin cậy để chuyển hướng có sử dụng OAuth, vì bọn lừa đảo có thể thực hiện chuyển hướng ẩn vào trang web độc hại bằng cách tìm một ứng dụng có thể bị tấn công và thay đổi tham số “redirect_uri”.

1. Không truy cập liên kết nhận được qua email hoặc tin nhắn trên trang mạng xã hội

2. Không cho các ứng dụng mà mình không biết có được quyền truy cập dữ liệu cá nhân của bạn

3. Chắc chắn rằng bạn hiểu rõ các quyền truy cập tài khoản cho mỗi ứng dụng

4. Cơ sở dữ liệu của phần mềm diệt virus và bảo vệ tích hợp chống lừa đảo luôn được cập nhật.