微軟365網(wǎng)絡(luò)釣魚(yú)攻擊中濫用Snapchat和Amex網(wǎng)站
Bleeping Computer 網(wǎng)站披露���,攻擊者在一系列網(wǎng)絡(luò)釣魚(yú)攻擊中濫用 Snapchat 和美國(guó)運(yùn)通網(wǎng)站上的開(kāi)放重定向��,以期竊取受害者 Microsoft 365 憑證����。
據(jù)悉���,開(kāi)放式重定向作為 Web 應(yīng)用程序的弱點(diǎn)�,允許威脅者使用受信任網(wǎng)站的域名作為臨時(shí)登陸頁(yè)面����,以簡(jiǎn)化網(wǎng)絡(luò)釣魚(yú)攻擊。
在以往的網(wǎng)絡(luò)攻擊案例中�����,重定向一般被用來(lái)將目標(biāo)重定向到惡意網(wǎng)站�����,使其感染惡意軟件或誘使其交出敏感信息(如登錄憑證���、財(cái)務(wù)信息���、個(gè)人信息等)��。
發(fā)現(xiàn)此次網(wǎng)絡(luò)攻擊的電子郵件安全公司 Inky 表示,被“操縱”的鏈接中第一個(gè)域名實(shí)際上是原網(wǎng)站的域名��,受信任的域名(如美國(guó)運(yùn)通�,Snapchat)在瀏覽者被轉(zhuǎn)到惡意網(wǎng)站之前,充當(dāng)了一個(gè)臨時(shí)登陸頁(yè)面���。
冒充 Microsoft (Inky) 的網(wǎng)絡(luò)釣魚(yú)電子郵件
惡意重定向鎖定了成千上萬(wàn)的潛在受害者
據(jù) Inky 研究人員稱��,在兩個(gè)半月內(nèi)�����,從谷歌和微軟 365 劫持的 6812 封釣魚(yú)郵件中使用了 Snapchat 的開(kāi)放重定向��,這些電子郵件冒充 Microsoft���、DocuSign 和 FedEx,并將收件人重定向到旨在獲取 Microsoft 憑據(jù)的登錄頁(yè)面���。
值得一提的是�,一年前(2021 年 8 月 4 日),研究人員已經(jīng)通過(guò)開(kāi)放平臺(tái) Bug Bounty 將 Snapchat 漏洞報(bào)告給了其所屬公司�����,但目前開(kāi)放的重定向還沒(méi)有修補(bǔ)����。美國(guó)運(yùn)通的開(kāi)放式重定向在 7 月下旬被利用了幾天后,很快就打上了補(bǔ)丁�,新的嘗試攻擊目前會(huì)鏈接到美國(guó)運(yùn)通的一個(gè)錯(cuò)誤頁(yè)面上。
美國(guó)運(yùn)通打開(kāi)重定向的錯(cuò)誤頁(yè)面 (Inky)
在漏洞問(wèn)題解決之前�����,美國(guó)運(yùn)通的開(kāi)放重定向被用于 2029 封使用微軟 Office 365 誘餌的釣魚(yú)郵件中����,這些郵件從剛注冊(cè)的域名發(fā)出,旨在將潛在的受害者引向微軟憑證采集網(wǎng)站�。
另外,Inky 表示�����,攻擊者在利用 Snapchat 和美國(guó)運(yùn)通的漏洞過(guò)程中��,將個(gè)人身份信息 (PII) 插入到 URL 中,以便可以為個(gè)別受害者即時(shí)定制惡意登錄頁(yè)面�����。以上兩種情況���,插入都是通過(guò)將其轉(zhuǎn)換為 Base 64 編碼來(lái)偽裝的,使其看起來(lái)像一堆隨機(jī)字符����。
為防范此類網(wǎng)絡(luò)攻擊,Inky 建議用戶在收到電子郵件后��,仔細(xì)檢查“url=”��、“redirect=”��、“xternal-link”或“proxy”字符串或電子郵件中嵌入的 URL 中����,是否多次出現(xiàn)“HTTP”可能顯示指示的重定向。
另外���,強(qiáng)烈建議網(wǎng)站所有者實(shí)施外部重定向免責(zé)聲明��。
