Les attaquants exploitent un bien connu faille de redirection ouverte pour hameçonner les informations d'identification des personnes et les informations personnellement identifiables (PII) en utilisant les domaines American Express et Snapchat, ont découvert des chercheurs.

Acteurs de la menace usurpés Microsoft et FedEx parmi d'autres marques dans deux campagnes différentes, que les chercheurs d'INKY ont observées de la mi-mai à la fin juillet, ont-ils déclaré dans un billet de blog publié en ligne. Les attaquants ont profité des vulnérabilités de redirection affectant les domaines American Express et Snapchat, dont le premier a finalement été corrigé alors que le second ne l'est toujours pas, ont déclaré les chercheurs. Ouvrir la redirection est une vulnérabilité de sécurité qui se produit lorsqu'un site Web ne parvient pas à valider l'entrée de l'utilisateur, ce qui permet à des acteurs malveillants de manipuler les URL de domaines d'entités légitimes jouissant d'une bonne réputation pour rediriger les victimes vers des sites malveillants, ont déclaré des chercheurs. La vulnérabilité est bien connue et suivie comme CWE-601 : Redirection d'URL vers un site non approuvé ("Open Redirect").

"Étant donné que le premier nom de domaine dans le lien manipulé est en fait celui du site d'origine, le lien peut sembler sûr à l'observateur occasionnel", a expliqué Roger Kay d'INKY dans le message.

Un exemple de domaine de redirection malveillant est : http[://]safe[.]com/redirect ?[url=http:]//malveillant[.]com. Le domaine de confiance, alors - dans ce cas, American Express ou Snapchat - est utilisé comme page de destination temporaire avant que la victime de la campagne ne soit redirigée vers un site malveillant.

Au cours de la période de deux mois et demi au cours de laquelle les campagnes ont été observées, les chercheurs ont détecté la vulnérabilité de redirection ouverte de snapchat[.]com dans 6,812 2,029 e-mails de phishing provenant de divers comptes piratés, ont-ils déclaré. Pendant ce temps, en seulement deux jours fin juillet, ils ont observé la vulnérabilité de redirection ouverte americanexpress[.]com dans XNUMX XNUMX e-mails de phishing provenant de domaines nouvellement créés.

Similitudes d'attaque

Les deux campagnes ont commencé par courriels de phishing en utilisant des tactiques typiques d'ingénierie sociale pour essayer d'inciter les utilisateurs à cliquer sur des liens ou des pièces jointes malveillants, ont déclaré les chercheurs.

Les deux campagnes ont également utilisé des exploits dans lesquels les attaquants ont inséré des PII dans l'URL apparemment légitime afin que les pages de destination malveillantes puissent être personnalisées à la volée pour les victimes individuelles, ont-ils déclaré.

"Cette insertion a été déguisée en la convertissant en Base de 64 pour le faire ressembler à un tas de personnages aléatoires », a écrit Kay. "Nous avons inséré nos propres caractères aléatoires dans ces chaînes afin que l'observateur occasionnel ne puisse pas rétroconcevoir les chaînes PII."

Lorsqu'elles étaient redirigées vers un autre site, les victimes pensaient que le lien se dirigeait vers un endroit sûr ; Cependant, à leur insu, les domaines vers lesquels ils étaient redirigés étaient des sites malveillants pour récolter leurs informations d'identification ou les exposer à des logiciels malveillants, ont déclaré des chercheurs.

Caractéristiques spécifiques de la campagne

Bien qu'il y ait des similitudes entre les deux campagnes, il y avait aussi des tactiques spécifiques à chacune, ont déclaré les chercheurs.

Les e-mails de phishing dans le groupe de redirection ouvert de Snapchat se sont fait passer pour DocuSign, FedEx et Microsoft, et tous avaient des redirections ouvertes de Snapchat qui ont conduit à des sites de collecte d'informations d'identification de Microsoft, ont déclaré des chercheurs.

La vulnérabilité de redirection ouverte sur le domaine Snapchat n'a pas été corrigée au moment de la campagne et le reste, bien que Open Bug Bounty rapporté à l'entreprise le 4 août 2021, a noté Kay.

Le bogue de redirection ouvert sur le domaine American Express est également apparu non corrigé au début, a-t-il déclaré. Lorsque la campagne de phishing l'utilisant a commencé, le lien de redirection ouvert est allé vers les sites de collecte d'informations d'identification de Microsoft, ont observé les chercheurs. Cependant, peu de temps après, American Express a corrigé la vulnérabilité, a déclaré Kay.

"Désormais, les utilisateurs qui cliquent sur le lien se retrouvent sur une véritable page d'erreur d'American Express", a-t-il écrit.

Atténuation et prévention simples

Au-delà de la correction des failles de redirection ouverte sur leurs domaines, les propriétaires de sites Web n'accordent généralement pas à ces vulnérabilités l'attention qu'elles méritent, probablement "parce qu'ils ne permettent pas aux attaquants de nuire ou de voler des données du site", a noté Kay.

"Du point de vue de l'opérateur du site Web, le seul dommage susceptible de se produire est une atteinte à la réputation du site", a-t-il écrit.

Si les propriétaires de domaine souhaitent atténuer davantage les attaques à l'aide de la redirection ouverte, ils peuvent prendre quelques mesures simples, a noté Kay. L'un est assez évident : évitez complètement la mise en œuvre de la redirection dans l'architecture du site, a-t-il déclaré. Cependant, si cela est nécessaire pour des raisons commerciales, les propriétaires de domaine peuvent mettre en place une liste d'autorisation de liens sécurisés approuvés pour atténuer les abus de redirection ouverte.

Les propriétaires de domaine peuvent également présenter aux utilisateurs une clause de non-responsabilité de redirection externe qui nécessite des clics de l'utilisateur avant de rediriger vers des sites externes, a ajouté Kay.

Comme ce sont les victimes de ces campagnes qui sont les vrais perdants - avec le potentiel d'être débarrassées des informations d'identification, des données et peut-être même de l'argent - elles devraient également prendre des mesures pour se protéger, a-t-il déclaré.

Lors de l'examen des liens lorsqu'ils naviguent sur des sites en ligne, les utilisateurs doivent garder un œil sur les URL qui incluent, par exemple, "url =", "redirect =", "lien externe" ou "proxy". Ces chaînes pourraient indiquer qu'un domaine de confiance pourrait rediriger vers un autre site, a noté Kay.

Les destinataires d'e-mails contenant des liens doivent également vérifier qu'il n'y a pas plusieurs occurrences de "http" dans l'URL, une autre indication potentielle de redirection, a-t-il déclaré.