BleepingComputer透露,攻击者在一系列网络钓鱼攻击中滥用Snapchat和Amex网站上的开放重定向,希望窃取受害者的Microsoft365凭据。据报道,开放重定向是Web应用程序中的一个弱点,允许威胁行为者使用受信任网站的域名作为临时登陆页面,以简化网络钓鱼攻击。在以往的网络攻击案例中,重定向一般用于将目标重定向到恶意网站,使其感染恶意软件或诱导其交出敏感信息(如登录凭证、财务信息、个人信息等)。发现网络攻击的电子邮件安全公司Inky表示,“被操纵”链接中的第一个域实际上是原始网站的域,受信任的域(如美国运通、Snapchat)被重定向到恶意网站之前,它充当临时着陆页。冒充微软(Inky)的钓鱼邮件恶意重定向针对数千名潜在受害者据Inky研究人员称,在两个半月内从谷歌和Microsoft365劫持的6,812封钓鱼邮件中使用了Snapchat冒充微软DocuSign的电子邮件的开放重定向和FedEx,并将收件人重定向到旨在获取Microsoft凭据的登录页面。值得一提的是,一年前(2021年8月4日),研究人员通过开放平台BugBounty向其公司报告了Snapchat漏洞,但开放重定向尚未得到修补。美国运通的开放重定向在7月下旬被利用了几天后很快得到了修补,新的尝试攻击现在链接到美国运通错误页面。AmexOpenRedirectErrorPage(Inky)在漏洞修复之前,AmEx的openredirect被用于2,029封使用MicrosoftOffice365诱饵的网络钓鱼邮件,这些邮件从新注册的域发送,旨在将潜在受害者定向到Microsoft凭据收集站点。另外,Inky表示,在利用Snapchat和美国运通的过程中,攻击者将个人身份信息(PII)插入到URL中,以便可以为个别受害者即时定制恶意登录页面。在上述两种情况下,插入都是通过将其转换为Base64编码来伪装的,使其看起来像一堆随机字符。为了防止此类网络攻击,Inky建议用户在收到电子邮件后,仔细检查电子邮件中嵌入的“url=”、“redirect=”、“xternal-link”或“proxy”字符串或URL是否多次出现“HTTP”可能会显示指示的重定向。此外,强烈建议网站所有者实施外部重定向免责声明。
