Les attaquants ont abusé des redirections ouvertes sur les sites Web de Snapchat et d’American Express dans une série d’attaques de phishing pour voler les informations d’identification Microsoft 365.
Les redirections ouvertes sont des faiblesses des applications Web qui permettent aux pirates d’utiliser les domaines d’organisations et de sites Web de confiance comme pages de destination temporaires pour simplifier les attaques de phishing.
Ils sont utilisés dans les attaques pour rediriger les cibles vers des sites malveillants qui les infecteront avec des logiciels malveillants ou les inciteront à transmettre des informations sensibles (par exemple, des informations d’identification, des informations financières, des informations personnelles).
“Étant donné que le premier nom de domaine dans le lien manipulé est en fait celui du site d’origine, le lien peut sembler sûr à l’observateur occasionnel”, a expliqué la société de sécurité des e-mails Inky, qui a observé les attaques.
“Le domaine de confiance (par exemple, American Express, Snapchat) agit comme une page de destination temporaire avant que l’internaute ne soit redirigé vers un site malveillant.”
Phishing des milliers de victimes potentielles
Selon les chercheurs d’Inky, la redirection ouverte de Snapchat a été utilisée dans 6 812 e-mails de phishing envoyés depuis Google Workspace et Microsoft 365 piratés pendant deux mois et demi.
Ces e-mails se sont fait passer pour Microsoft, DocuSign et FedEx et ont redirigé les destinataires vers des pages de destination conçues pour collecter les informations d’identification Microsoft.
Alors que la vulnérabilité Snapchat a été signalée à l’entreprise via la plateforme Open Bug Bounty il y a un an, le 4 août 2021, la redirection ouverte n’a pas encore été corrigée.
D’autre part, la redirection ouverte d’American Express a été rapidement corrigée après avoir été exploitée pendant quelques jours fin juillet. De nouvelles tentatives d’abus aboutissent désormais sur une page d’erreur d’American Express.0
Avant d’être traitée, la redirection ouverte Amex a été utilisée dans 2 029 e-mails de phishing utilisant des appâts Microsoft Office 365, envoyés à partir de domaines récemment enregistrés et conçus pour diriger les victimes potentielles vers les sites de collecte d’informations d’identification Microsoft.
“Dans les exploits de Snapchat et d’American Express, les black hats ont insérés des informations personnellement identifiables (PII) dans l’URL afin que les pages de destination malveillantes puissent être personnalisées à la volée pour les victimes individuelles”, a expliqué Inky .
“Et dans les deux, cette insertion a été déguisée en la convertissant en Base 64 pour la faire ressembler à un tas de caractères aléatoires.”
Pour se défendre contre de telles attaques, Inky a conseillé aux destinataires des e-mails de vérifier les chaînes “url =”, “redirect =”, “lien externe” ou “proxy” ou les occurrences multiples de “HTTP” dans les URL intégrées dans les e-mails montrant probablement une indication de redirection.
Il est également recommandé aux propriétaires de sites Web de mettre en œuvre des avertissements de redirection externe qui demandent aux utilisateurs de cliquer avant d’être redirigés vers des sites externes.
Commentaires récents