開放重定向缺陷阻礙美國運通、Snapchat 用戶數據

針對數千名受害者的單獨網絡釣魚活動冒充 FedEx 和 Microsoft 等，以欺騙受害者。

研究人員發現，攻擊者正在利用一個眾所周知的開放重定向漏洞，利用美國運通和 Snapchat 域對人們的憑據和個人身份信息 (PII) 進行網絡釣魚。

他們在網上發表的一篇博客文章中說，威脅行為者在兩個不同的活動中冒充微軟和聯邦快遞等品牌，INKY 的研究人員從 5 月中旬到 7 月下旬觀察到了這些活動。研究人員表示，攻擊者利用了影響美國運通和 Snapchat 域的重定向漏洞，前者最終得到了修補，而后者仍然沒有。研究人員表示，開放重定向是一個安全漏洞，當網站無法驗證用戶輸入時發生，它允許不良行為者操縱來自具有良好聲譽的合法實體的域的 URL，從而將受害者重定向到惡意網站。該漏洞眾所周知并被跟蹤為 CWE-601：URL 重定向到不受信任的站點（“打開重定向”）。

“由于操縱鏈接中的第一個域名實際上是原始站點的域名，因此對于不經意的觀察者來說，該鏈接可能看起來是安全的，”INKY 的 Roger Kay 在帖子中解釋道。

惡意重定向域的一個示例是：http[://]safe[.]com/redirect?[url=http:]//malicious[.]com。然后，受信任的域（在本例中為 American Express 或 Snapchat）用作臨時登錄頁面，然后將活動的受害者重定向到惡意站點。

他們說，在觀察這些活動的兩個半月期間，研究人員在來自各種被劫持賬戶的 6,812 封網絡釣魚電子郵件中檢測到 snapchat[.]com 開放重定向漏洞。與此同時，在 7 月下旬的短短兩天內，他們在來自新創建的域的 2,029 封網絡釣魚電子郵件中觀察到了美國運通 [.]com 開放重定向漏洞。

攻擊相似性

研究人員表示，這兩個活動都從使用典型的社會工程策略的網絡釣魚電子郵件開始，試圖誘騙用戶點擊惡意鏈接或附件。

他們說，這兩個活動還都使用了攻擊者在看似合法的 URL 中插入 PII 的漏洞，以便可以為個別受害者動態定制惡意登錄頁面。

“這種插入是通過將其轉換為Base 64來偽裝的，使其看起來像一堆隨機字符，”凱寫道。“我們將自己的隨機字符插入到這些字符串中，這樣不經意的觀察者就無法對 PII 字符串進行逆向工程。”

當被重定向到另一個站點時，受害者會認為鏈接指向安全的地方；研究人員表示，無論他們不知道的是，他們被重定向到的域是惡意站點，以獲取他們的憑據或將其暴露給惡意軟件。

具體的活動特征

研究人員說，盡管這兩個運動之間有相似之處，但也有針對每個運動的特定策略。

研究人員表示，Snapchat 開放重定向組中的網絡釣魚電子郵件冒充了 DocuSign、FedEx 和微軟，并且都具有導致微軟憑證收集網站的 snapchat 開放重定向。

Kay 指出，盡管 Open Bug Bounty 于 2021 年 8 月 4 日向該公司報告了該漏洞，但 Snapchat 域上的開放重定向漏洞在活動期間尚未修補，并且仍然如此。

他說，美國運通域名上的開放重定向漏洞最初也似乎未修補。研究人員觀察到，當使用它的網絡釣魚活動首次開始時，開放的重定向鏈接會進入微軟的憑據收集站點。然而，在此之后不久，美國運通就修補了這個漏洞，Kay 說。

“現在，點擊鏈接的用戶最終會進入真正的美國運通錯誤頁面，”他寫道。

簡單的緩解和預防

除了修補其域上的開放重定向漏洞外，網站所有者通常不會給予這些漏洞應有的關注，可能“因為他們不允許攻擊者破壞或竊取網站的數據，”Kay 指出。

“從網站運營商的角度來看，唯一可能發生的損害是對網站聲譽的損害，”他寫道。

Kay 指出，如果域所有者希望進一步使用開放重定向來減輕攻擊，他們可以采取一些簡單的步驟。一個很明顯：完全避免在站點架構中實現重定向，他說。但是，如果出于商業原因有必要，域所有者可以實施批準的安全鏈接的允許列表，以減少開放重定向濫用。

Kay 補充說，域所有者還可以向用戶提供外部重定向免責聲明，要求用戶在重定向到外部站點之前點擊。

他說，由于這些活動的受害者才是真正的輸家——有可能被剝奪憑證、數據甚至金錢——他們也應該采取一些措施來保護自己。

當他們在網上瀏覽網站時檢查鏈接時，人們應該留意包含例如“url=”、“redirect=”、“external-link”或“proxy”的 URL。Kay 指出，這些字符串可能表明受信任的域可以重定向到另一個站點。

他說，帶有鏈接的電子郵件的收件人還應該檢查它們在 URL 中是否多次出現“http”，這是重定向的另一個潛在跡象。