Vulnerabilidades de redirección abierta de American Express y Snapchat explotadas en esquema de phishing



Los actores malintencionados se han aprovechado de las vulnerabilidades de redirección abierta que afectan a los dominios de American Express y Snapchat para enviar correos electrónicos de phishing dirigidos a los usuarios de Google Workspace y Microsoft 365.

La investigación publicada por INKY revela que en ambos casos los phishers incluyeron información de identificación personal (PII) en la URL. Esto permite a los actores personalizar rápidamente las páginas de destino maliciosas para víctimas individuales y disfrazar la PII convirtiéndola a Base 64, convirtiendo la información en una secuencia de caracteres aleatorios.

Los correos electrónicos de phishing en el grupo de Snapchat utilizaron señuelos de DocuSign, FedEx y Microsoft, lo que condujo a los sitios de recopilación de credenciales de Microsoft.

Los ingenieros de INKY detectaron más de 6.800 correos electrónicos de phishing de Snapchat que contenían la vulnerabilidad de redirección abierta durante un período de dos meses y medio. A pesar de que Open Bug Bounty informó previamente a Snaptchat hace casi un año, la vulnerabilidad sigue sin parches, según el informe.

El problema fue aún peor con la vulnerabilidad de redirección abierta de American Convey, que se descubrió en más de 2000 correos electrónicos de phishing durante el transcurso de solo dos días en julio.

Sin embargo, señala el informe, American Specific ha reparado la vulnerabilidad desde entonces, y cualquier usuario que haga clic en el enlace ahora es redirigido a una página de error en el sitio net serious de la compañía.

Las vulnerabilidades de redirección surgen cuando los dominios aceptan entradas que no son de confianza que podrían hacer que el sitio redirija a los usuarios a otra URL. Al modificar la URL de estos sitios, por ejemplo, agregando un enlace a otro destino al last de la URL unique, un atacante puede redirigir fácilmente a los usuarios a los sitios web de su elección.

«Quizás los sitios world wide web no le dan a las vulnerabilidades de redirección abierta la atención que merecen porque no permiten que los atacantes dañen o roben datos del sitio». notas del informe de hoy. «Desde la perspectiva del operador del sitio web, el único daño que potencialmente ocurre es el daño a la reputación del sitio. Sin embargo, las víctimas pueden perder credenciales, datos y posiblemente dinero».

Examinar enlaces, presentar usuarios con renuncias

El informe recomendó que al examinar los enlaces, los navegantes deberían estar atentos a las URL que incluyen «url=», «redirect=», «enlace externo» o «proxy», cadenas que pueden indicar que un dominio de confianza podría redirigir a otro sitio. .

Otro signo revelador que indica la redirección son los enlaces con múltiples apariciones de «http» en la URL.

«Los propietarios de dominios pueden prevenir este abuso al evitar la implementación de la redirección en la arquitectura del sitio y también pueden presentar a los usuarios un descargo de responsabilidad de redirección externa que requiere que el usuario haga clic antes de redirigir a sitios externos», según el informe. «Si la redirección es necesaria por razones comerciales, la implementación de una lista de permitidos de enlaces seguros aprobados evita que los malos actores ingresen enlaces maliciosos».

La estafa que informó INKY es la última de una larga lista de estafas de phishing que perturban el panorama de la seguridad de TI: a principios de esta semana, los investigadores de ThreatLabz emitieron una advertencia sobre una campaña de phishing a gran escala dirigida a los usuarios de los servicios de correo electrónico de Microsoft Outlook.



Enlace a la noticia authentic