微軟365網(wǎng)絡(luò)釣魚攻擊中濫用Snapchat和Amex網(wǎng)站
Bleeping Computer 網(wǎng)站披露��,攻擊者在一系列網(wǎng)絡(luò)釣魚攻擊中濫用 Snapchat 和美國運(yùn)通網(wǎng)站上的開放重定向�����,以期竊取受害者 Microsoft 365 憑證�。
據(jù)悉,開放式重定向作為 Web 應(yīng)用程序的弱點(diǎn)����,允許威脅者使用受信任網(wǎng)站的域名作為臨時登陸頁面,以簡化網(wǎng)絡(luò)釣魚攻擊���。
在以往的網(wǎng)絡(luò)攻擊案例中����,重定向一般被用來將目標(biāo)重定向到惡意網(wǎng)站�,使其感染惡意軟件或誘使其交出敏感信息(如登錄憑證、財務(wù)信息����、個人信息等)��。
發(fā)現(xiàn)此次網(wǎng)絡(luò)攻擊的電子郵件安全公司 Inky 表示����,被“操縱”的鏈接中第一個域名實(shí)際上是原網(wǎng)站的域名�,受信任的域名(如美國運(yùn)通����,Snapchat)在瀏覽者被轉(zhuǎn)到惡意網(wǎng)站之前,充當(dāng)了一個臨時登陸頁面����。
冒充 Microsoft (Inky) 的網(wǎng)絡(luò)釣魚電子郵件
惡意重定向鎖定了成千上萬的潛在受害者
據(jù) Inky 研究人員稱,在兩個半月內(nèi)����,從谷歌和微軟 365 劫持的 6812 封釣魚郵件中使用了 Snapchat 的開放重定向,這些電子郵件冒充 Microsoft���、DocuSign 和 FedEx�����,并將收件人重定向到旨在獲取 Microsoft 憑據(jù)的登錄頁面���。
值得一提的是�����,一年前(2021 年 8 月 4 日)����,研究人員已經(jīng)通過開放平臺 Bug Bounty 將 Snapchat 漏洞報告給了其所屬公司��,但目前開放的重定向還沒有修補(bǔ)�����。美國運(yùn)通的開放式重定向在 7 月下旬被利用了幾天后����,很快就打上了補(bǔ)丁,新的嘗試攻擊目前會鏈接到美國運(yùn)通的一個錯誤頁面上��。
美國運(yùn)通打開重定向的錯誤頁面 (Inky)
在漏洞問題解決之前����,美國運(yùn)通的開放重定向被用于 2029 封使用微軟 Office 365 誘餌的釣魚郵件中�����,這些郵件從剛注冊的域名發(fā)出����,旨在將潛在的受害者引向微軟憑證采集網(wǎng)站����。
另外,Inky 表示����,攻擊者在利用 Snapchat 和美國運(yùn)通的漏洞過程中��,將個人身份信息 (PII) 插入到 URL 中���,以便可以為個別受害者即時定制惡意登錄頁面��。以上兩種情況�����,插入都是通過將其轉(zhuǎn)換為 Base 64 編碼來偽裝的��,使其看起來像一堆隨機(jī)字符�。
為防范此類網(wǎng)絡(luò)攻擊,Inky 建議用戶在收到電子郵件后���,仔細(xì)檢查“url=”�、“redirect=”�����、“xternal-link”或“proxy”字符串或電子郵件中嵌入的 URL 中����,是否多次出現(xiàn)“HTTP”可能顯示指示的重定向。
另外����,強(qiáng)烈建議網(wǎng)站所有者實(shí)施外部重定向免責(zé)聲明。
