Saldırganlar, Microsoft 365 kimlik bilgilerini çalmak için bir dizi kimlik avı saldırısında Snapchat ve American Express web sitelerindeki açık yönlendirmeleri kötüye kullandı.
Yönlendirmeleri aç tehdit aktörlerinin, kimlik avı saldırılarını basitleştirmek için güvenilir kuruluşların ve web sitelerinin alanlarını geçici açılış sayfaları olarak kullanmalarına olanak tanıyan web uygulaması zayıflıklarıdır.
Hedefleri, onlara kötü amaçlı yazılım bulaştıracak veya hassas bilgileri (örneğin, kimlik bilgileri, finansal bilgiler, kişisel bilgiler) teslim etmeleri için kandıracak kötü niyetli sitelere yönlendirmek için saldırılarda kullanılırlar.
Saldırıları gözlemleyen e-posta güvenlik firması Inky, “Manipüle edilmiş bağlantıdaki ilk alan adı aslında orijinal siteye ait olduğundan, bağlantı sıradan gözlemciye güvenli görünebilir” dedi.
“Güvenilir alan adı (örneğin American Express, Snapchat), sörfçü kötü amaçlı bir siteye yönlendirilmeden önce geçici bir açılış sayfası görevi görür.”
Binlerce potansiyel kurbanı hedef almak için istismar edildi
Inky araştırmacılarına göre, Snapchat açık yönlendirmesi, Google Workspace’ten gönderilen 6.812 kimlik avı e-postasında kullanıldı ve Microsoft 365, iki buçuk ay boyunca ele geçirildi.
Bu e-postalar Microsoft, DocuSign ve FedEx’in kimliğine büründü ve alıcıları Microsoft kimlik bilgilerini toplamak için tasarlanmış açılış sayfalarına yönlendirdi.
Snapchat güvenlik açığı rapor edildi bir yıl önce 4 Ağustos 2021’de Open Bug Bounty platformu aracılığıyla şirkete açık yönlendirme henüz yamalanmadı.
Öte yandan, American Express açık yönlendirmesi, Temmuz ayı sonlarında birkaç gün boyunca istismar edildikten sonra hızla düzeltildi. Bunu kötüye kullanmaya yönelik yeni girişimler artık bir American Express hata sayfasında yer alıyor.0
Amex açık yönlendirmesi, ele alınmadan önce, Microsoft Office 365 tuzaklarını kullanan, yakın zamanda kaydedilen etki alanlarından gönderilen ve potansiyel kurbanları Microsoft kimlik bilgisi toplama sitelerine yönlendirmek için tasarlanan 2.029 kimlik avı e-postasında kullanıldı.
Inky, “Hem Snapchat hem de American Express istismarlarında, kötü niyetli açılış sayfalarının bireysel kurbanlar için anında özelleştirilebilmesi için siyah şapkalar URL’ye kişisel olarak tanımlanabilir bilgileri (PII) ekledi.” açıkladı.
“Ve her ikisinde de, bu ekleme, bir grup rastgele karakter gibi görünmesi için Base 64’e dönüştürülerek gizlendi.”
Bu tür saldırılara karşı korunmak için Inky, e-posta alıcılarına e-postalarda gömülü URL’lerde “url=”, “redirect=”, “external-link” veya “proxy” dizeleri veya muhtemelen bir gösterge gösteren birden çok “HTTP” olup olmadığını kontrol etmelerini tavsiye etti. yeniden yönlendirme.
Web sitesi sahiplerinin ayrıca, kullanıcıların harici sitelere yönlendirilmeden önce tıklamalarını isteyen harici yeniden yönlendirme sorumluluk reddi beyanlarını uygulamaları önerilir.