5 نصائح لتفادي فقدان معلوماتك الشخصية عبر ويندوز لايف

05/26 15:18

حذر خبراء من عمليه احتيال جديده تتم علي ويندوز لايف، كطعم للاستيلاء علي المعلومات الشخصية المخزنه في ملفات تعريف المستخدمين علي خدمات مثلXbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger, OneDrive.

يتلقي المستخدمون تحذيرات عن طريق البريد الالكترونى تخطرهم بان هناك من يستخدم حسابات التعريف الخاصه بهم علي Windows Live لارسال بريد إلكتروني مزعج، ولهذا السبب سيتم ايقاف حساباتهم، ثم يطلب من المستخدمين، بحجه ايقاف تعليق حساباتهم، ان يقوموا باتباع رابط معين وتحديث بياناتهم بموجب متطلبات امنيه جديده خاصه بالخدمه. هذه الرساله تبدو رساله احتيال تقليديه، حيث يقوم الضحايا باتباع الروابط التي تنقلهم الي مواقع وهميه تحاكي الصفحه الرسميه لويندوز لايف، ويتم ارسال بيانات تسجيل الدخول التعريفيه الخاصه بهم الي اشخاص محتالين. ولذلك فوجئ خبراؤنا بان الروابط المتضمنه في البريد الالكتروني الاحتيالي تؤدي الي موقع Windows Liveبالفعل ولم تكن هناك محاوله ظاهره للحصول علي البيانات الشخصيه للضحايا وكلمات السر الخاصه بهم.

بعد اتباع الرابط في البريد الالكتروني واتمام اجراءات تسجيل الدخول القانوني الي حساب الموقع الرسمي live.comبنجاح، يتلقي المستخدمون طلبا غريبا من الخدمه بالموقع بالسماح لتطبيق ما بتسجيل الدخول تلقائيا الي الحساب، وعرض معلومات الملف الشخصي وقائمه الاتصال والوصول الي العناوين الشخصيه للمستخدمين وعناوين البريد الالكتروني الخاصه بشركتهم. لقد توصل المحتالون الي هذه التقنيه من خلال ثغرات امنيه في بروتوكول OAuth المفتوح المسؤول عن منح التفويضات.

عندما يضغط المستخدمون علي مفتاح "موافق" لا يقومون بتسليم بيانات الدخول وكلمات المرور الخاصه بهم فقط، بل يقومون ايضا بتقديم معلوماتهم الشخصيه، وعناوين البريد الالكتروني للاشخاص والجهات المسجله لديهم وكذلك الاسماء المستعاره والاسماء الحقيقيه لاصدقائهم، ومن الممكن ايضا الحصول علي اذن للوصول الي معلومات اخري، مثل قوائم المواعيد والاحداث الهامه، وفي الغالب يتم استخدامها لاغراض احتياليه، مثل ارسال البريد المزعج الي الاشخاص المسجلين في سجلات عناوين الضحايا او شن هجمات لتصيد هذه المعلومات.

"لقد علمنا بوجود ثغرات امنيه في بروتوكول OAuth منذ فتره طويله في اوائل عام 2014 ، ووصف احد الطلاب من سنغافوره السبل الممكنه لسرقه بيانات المستخدم بعد التفويض بالدخول الي الحساب، ومع ذلك، هذه هي المره الاولي التي نتعرف فيها علي محتالين يستخدمون البريد الالكتروني لتصيد الضحايا من خلال وضع هذه التقنيات موضع التنفيذ.

1- لا تتبع الروابط الوارده عبر البريد الالكتروني او في رسائل خاصه علي مواقع شبكات التواصل الاجتماعيه

2- لا تعطي تطبيقات غير معروفه الحق في الدخول الي البيانات الشخصيه الخاصه بك.

3- تاكد من انك تفهم تماما الحقوق التي تمنحها الي كل تطبيق للوصول الي الحسابات.

4- اذا اكتشفت ان احد التطبيقات قد بدا بالفعل في توزيع رسائل مزعجه او روابط لمواقع خبيثه نيابه عنك، يمكنك ارسال شكوي الي اداره موقع التواصل الاجتماعي او الخدمه علي شبكه الانترنت، وسيتم حجب ذلك التطبيق.