Cibercriminosos têm abusado de redirecionamentos abertos no Snapchat e American Express para lançar ataques de phishing contra usuários do Microsoft 365.
Snapchat e American Express são alvos de phishing
O termo redirecionamento de URL aberta, redirecionamentos abertos, refere-se a um problema de segurança que torna mais fácil para os invasores direcionar os usuários para recursos maliciosos sob o controle dos invasores.
O redirecionamento aberto ocorre quando um site não valida a entrada do usuário, permitindo que os invasores manipulem os URLs de domínios de alta reputação para redirecionar as vítimas para sites maliciosos.
O problema por trás disso, é que as vítimas confiarão no link porque o primeiro nome de domínio no link manipulado é um domínio confiável como American Express e Snapchat. “O domínio confiável (por exemplo, American Express, Snapchat) atua como uma página de destino temporária antes que o usuário seja redirecionado para um site malicioso.” lê um post publicado por Inky.
“O exemplo a seguir mostra um link de redirecionamento aberto. Um usuário vê o link indo para um site seguro (safe.com), mas pode não perceber que esse domínio irá redirecioná-lo para um site malicioso (malicious.com), que pode coletar credenciais ou distribuir malware. “http://safe.com/redirect?url=http://malicious.com“.
Ataques de phishing
Durante os dois meses, os pesquisadores da INKY observaram ataques de phishing aproveitando o redirecionamento aberto do snapchat[.]com. Os invasores enviaram 6.812 e-mails de phishing provenientes de várias contas invadidas. Abaixo está o link do Snapchat manipulado para redirecionar para site malicioso, apontado pelo Security Affairs:
https://click.snapchat[.]com/aVHG?=http://29781.google.com&af_web_dp=http://qx.oyhob.acrssd[.]org. #.aHR0cHME6Ly9zdG9yYWdlYXBpLmZsZWVrLmNvLzI0MjY4ZTMyLT E2MEmQtNDUxYi1hNTc4LWZhNzg0OTdiZjM4NC1idWWNrZXQvb2Z maWNlMzY1Lmh0bWwjYWNvb3BlckBjcHRsaGVhbHRoLmh0bWwjYWNvb3BlckBjcHRsaGVhbHRo
As mensagens de phishing que exploram o redirecionamento aberto do Snapchat personificaram DocuSign, FedEx e Microsoft e levaram a sites de destino projetados para coletar credenciais da Microsoft.
Os especialistas relataram a vulnerabilidade do Snapchat à empresa por meio da plataforma Open Bug Bounty em 4 de agosto de 2021, mas o problema ainda não foi resolvido. Ao contrário do Snapchat, a American Express corrigiu rapidamente o problema que estava sendo explorado no final de julho.
“Ao examinar links, os internautas devem ficar atentos a URLs que incluam, por exemplo, “url=”, “redirect=”, “external-link” ou “proxy”. Essas strings podem indicar que um domínio confiável pode redirecionar para outro site.” conclui o relatório.
“Os destinatários de e-mails com links também devem examiná-los em busca de múltiplas ocorrências de “http” na URL, outra possível indicação de redirecionamento. Os proprietários de domínio podem evitar esse abuso evitando a implementação de redirecionamento na arquitetura do site”.
Se o redirecionamento for necessário por motivos comerciais, os proprietários de domínio devem apresentar aos usuários uma isenção de responsabilidade de redirecionamento externo que exige cliques do usuário antes de redirecionar para sites externos.
