Сообщается, что открытые перенаправления, классическая уязвимость, обнаруженная на многих крупнейших веб-страницах мира, используются для кражи учетных данных для входа. (откроется в новой вкладке) для учетных записей Microsoft 365.
По словам экспертов охранной компании Inky, за последние два с половиной месяца этот метод был использован для отправки более 6800 фишинговых писем из Google Workspace под видом Snapchat. Что касается American Express, команда выявила более 2000 фишинговых писем.
Кража личных данных (откроется в новой вкладке) является одним из наиболее популярных видов деятельности киберпреступников, поскольку данные могут быть успешно использованы для других форм мошенничества.
AmEx движется быстро, Snapchat отстает
Открытые перенаправления позволяют злоумышленникам использовать чужие домены и веб-сайты в качестве временных целевых страниц перед отправкой жертв на фишинговую страницу. Таким образом, когда злоумышленник отправляет фишинговое электронное письмо, ссылка в теле письма может выглядеть законной, что еще больше побуждает людей переходить по ней.
«Поскольку первое доменное имя в манипулируемой ссылке на самом деле принадлежит исходному сайту, для случайного наблюдателя ссылка может показаться безопасной», — говорит Инки. «Доверенный домен (например, American Express, Snapchat) действует как временная целевая страница, прежде чем пользователь будет перенаправлен на вредоносный сайт».
Узнав об ошибке, American Express потребовалось всего несколько дней, чтобы исправить ситуацию, в то время как Snapchat, хотя исследователи уведомили об этом более года назад, еще не исправила проблему.
«В эксплойтах Snapchat и American Express злоумышленники вставляли личную информацию (PII) в URL-адрес, чтобы вредоносные целевые страницы могли быть настроены на лету для отдельных жертв», — добавил Инки. «И в обоих случаях эта вставка была замаскирована путем преобразования ее в Base 64, чтобы она выглядела как набор случайных символов».
Хотя ссылки могут выглядеть законными, есть способ обнаружить мошенничество, объясняет Инки. Когда пользователь получает такое электронное письмо, он должен проверить гиперссылку на наличие таких вещей, как «url=», «redirect=», «внешняя ссылка» или «прокси», или несколько вхождений «HTTP», поскольку они, скорее всего, показать, что это редирект.
Владельцы веб-сайтов также должны настроить отказ от ответственности за перенаправление, заставляя пользователей щелкать, прежде чем они будут перенаправлены на внешние сайты.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
