黑客利用域名开放重导向漏洞,发送骗取M365凭证的信件
安全厂商发现,黑客利用美国运通(American Express)及Snapchat域名的开放重导向(open redirect)漏洞,发送以骗取用户帐密为目的的钓鱼信件。
重导向(redirect)是将用户从其目的地网站引导到另一网站。最主要用途是利用广告将网络用户导向广告主的网站以诱使其购物。重导向做法中的开放重引导,则是某一网站允许任何人都能指定任意URL为重导向的目的地,就可能成为歹徒的犯罪工具。
今年5月到7月,Inky Security侦测到攻击者利用知名品牌公司,包括美国运通和Snapchat网站上的开放重导向漏洞发送数千封钓鱼信件,将用户导向窃取用户帐密及凭证资讯的恶意网站。
这些域名的开放重导向漏洞未能验证用户输入指令,致攻击者可修改域名URL,而将用户流量导向第三方恶意网站。
安全研究人员分别侦测到,Snapchat网站发出的近7,000封钓鱼信件,将用户导向假的DocuSign、FedEx及微软网页,而美国运通域名发送的2,000多封钓鱼信件,则皆导向钓鱼微软网页。两波攻击都是通过以假乱真的钓鱼页面,骗取用户的Microsoft 365帐密。
在这两波攻击中,黑客在变造的URL插入可识其他人信息(personally identifiable information,PII),使恶意登陆页(landing pages)可依不同人随时变化。此外,攻击者都使用Base 64编码器将插入的PII转为随机符号,大部分用户往往无法识别。
Snapchat的漏洞去年8月初就有人通报过,但Snapchat一直未修补直到安全厂商的通知,致其发送的钓鱼信件数量奇高。美国运通则是在钓鱼信件发出后很快就修补,现在点入恶意信件的连接,就会导向正牌American Express的错误页。
为防范此类邮件攻击,研究人员提醒用户要小心URL中的“url=”、“redirect=”、“external-link”或“proxy”,另一个特征是,这些邮件URL会多次使用“http”。
至于网站管理员,研究人员建议尽量不要实例重导向,若是一定要实例的话,也应实例核准的安全连接清单(即白名单)以防被黑客上下其手。
