0
0
Atores maliciosos têm aproveitado as vulnerabilidades de redirecionamento aberto que afetam os domínios American Express e Snapchat para enviar e-mails de phishing direcionados aos usuários do Google Workspace e do Microsoft 365.
Uma pesquisa publicada pela INKY revela que, em ambos os casos, os phishers incluíram informações de identificação pessoal (PII) na URL. Isso permite que os atores personalizem rapidamente as páginas de destino maliciosas para vítimas individuais e disfarcem as PII convertendo-as em Base 64, transformando as informações em uma sequência de caracteres aleatórios.
E-mails de phishing no grupo Snapchat usaram iscas DocuSign, FedEx e Microsoft, o que levou a sites de coleta de credenciais da Microsoft.
Os engenheiros da INKY detectaram mais de 6.800 e-mails de phishing do Snapchat contendo a vulnerabilidade de redirecionamento aberto durante um período de dois meses e meio. Apesar de ter sido relatado anteriormente ao Snaptchat pelo Open Bug Bounty há quase um ano, a vulnerabilidade permanece sem correção, de acordo com o relatório.
O problema foi ainda pior com a vulnerabilidade de redirecionamento aberto da American Express, que foi descoberta em mais de 2.000 e-mails de phishing durante apenas dois dias em julho.
No entanto, observa o relatório, a American Express corrigiu a vulnerabilidade e qualquer usuário que clicar no link agora é redirecionado para uma página de erro no site real da empresa.
As vulnerabilidades de redirecionamento surgem quando os domínios aceitam entradas não confiáveis que podem fazer com que o site redirecione os usuários para outro URL. Ao modificar o URL desses sites — por exemplo, adicionando um link para outro destino no final do URL original — um invasor pode redirecionar facilmente os usuários para sites de sua escolha.
“Talvez os sites não dêem às vulnerabilidades de redirecionamento aberto a atenção que merecem porque não permitem que invasores danifiquem ou roubem dados do site” , observa o relatório de hoje . “Do ponto de vista do operador do site, o único dano que potencialmente ocorre é prejudicar a reputação do site. As vítimas, no entanto, podem perder credenciais, dados e possivelmente dinheiro.”
Examinar links, apresentar aos usuários isenções de responsabilidade
O relatório recomendou que, ao examinar os links, os internautas fiquem atentos a URLs, incluindo “url=”, “redirect=”, “external-link” ou “proxy”, strings que possam indicar que um domínio confiável pode redirecionar para outro site .
Outro sinal indicador que indica redirecionamento são links com várias ocorrências de “http” na URL.
“Os proprietários de domínio podem evitar esse abuso evitando a implementação de redirecionamento na arquitetura do site e também podem apresentar aos usuários um aviso de redirecionamento externo que exige cliques do usuário antes de redirecionar para sites externos”, segundo o relatório. “Se o redirecionamento for necessário por motivos comerciais, a implementação de uma lista de permissões de links seguros aprovados impede que os maus atores insiram links maliciosos.”
O golpe que a INKY relatou é o mais recente de uma longa linha de golpes de phishing que perturbam o cenário de segurança de TI – no início desta semana, pesquisadores do ThreatLabz emitiram um aviso sobre uma campanha de phishing em grande escala destinada a usuários de serviços de e-mail do Microsoft Outlook.
FONTE: DARK READING