Os invasores estão empregando uma vulnerabilidade de encaminhamento amplamente conhecida para acessar as senhas e dados de identificação pessoal (PII) usando os domínios da American Express e Snapchat, de acordo com a descoberta de pesquisadores.
Os atores ameaçaram a Microsoft e a FedEx entre outras marcas em duas campanhas diferentes, que pesquisadores da INKY observaram de meados de maio até o final de julho, disseram em um post publicado online. Os atacantes aproveitaram-se de redirecionar vulnerabilidades que afetam os domínios American Express e Snapchat, o primeiro dos quais eventualmente foi corrigido enquanto o último ainda não é, os pesquisadores disseram. O redirecionamento aberto é uma vulnerabilidade de segurança que ocorre quando um site não valida a entrada do usuário, o que permite que os maus atores manipulem as URLs de domínios de entidades legítimas com boas reputaçãos para redirecionar as vítimas para sites maliciosos, disse os pesquisadores. A vulnerabilidade é bem conhecida e rastreada como CWE-601: URL Redirection to Untrusted Site (‘Open Redirect’).
Roger Kay do INKY afirmou em seu post que, apesar de o primeiro nome de domínio no link manipulado ser do site original, isso pode ser enganoso para o observador casual.
Um exemplo de redirecionamento malicioso é: http://safe.com/redirect?url=http://malicious.com. Neste caso, um domínio confiável, como American Express ou Snapchat, é usado como uma página de destino temporária antes que a presa da campanha seja desviada para um local perigoso.
Durante o lapso de dois meses e meio das campanhas em análise, os pesquisadores encontraram a vulnerabilidade de redirecionamento aberto em snapchat[.]com nos 6.812 e-mails de phishing provenientes de muitas contas comprometidas, reportaram. Por outro lado, durante dois dias no final de julho, eles verificaram a vulnerabilidade de redirecionamento aberto em americanexpress[.]com nos 2.029 e-mails de phishing que se originaram de domínios recém-criados.
Ataques similares acontecem quando vários indivíduos ou grupos utilizam táticas similares para atingir um objetivo comum.
As duas campanhas começaram com e-mails de phishing empregando técnicas de engenharia social para tentar ludibriar usuários a clicarem em hiperlinks mal-intencionados ou anexos, informaram os estudiosos.
As duas campanhas também se aproveitaram de explorações, nas quais os infratores inseriram informações pessoais identificáveis na URL de aparência verdadeira para que as páginas de destino maliciosas pudessem ser personalizadas para cada vítima de forma imediata, disse.
Kay revelou que eles disfarçaram a inserção codificando-a em Base 64 na tentativa de que parecesse um grande conjunto de caracteres aleatórios. Para evitar que uma verificação casual identificasse as cadeias PII (Informação Pessoal Identificável), eles adicionaram caracteres aleatórios a elas.
Ao ser direcionado para outro endereço da web, as vítimas acreditariam que o link estaria levando-as a um local seguro; inesperadamente, no entanto, os domínios aos quais eram redirecionadas eram sites de má intenção, com o intuito de obter suas informações de acesso ou infectá-las com vírus, de acordo com o que os pesquisadores reportaram.
Aspectos peculiares da campanha de marketing
Embora existissem algumas características similares entre as campanhas, os pesquisadores afirmaram que cada uma possuía táticas específicas.
Os especialistas observaram que mensagens de phishing no grupo de redirecionamento aberto do Snapchat se passavam por DocuSign, FedEx e Microsoft, e todos apontavam para sites de recolhimento de credenciais da Microsoft, segundo eles.
Uma falha de redirecionamento aberto no domínio do Snapchat não foi explorada quando a campanha começou, e continua assim mesmo, apesar de o Open Bug Bounty ter alertado a empresa em 4 de agosto de 2021, como observou Kay.
O erro de encaminhamento aberto no domínio da American Express também foi inicialmente inabalável, disse ele. Quando a campanha de phishing iniciou, o link de redirecionamento aberto foi para sites de coleta de dados da Microsoft, notaram os pesquisadores. No entanto, em seguida, a American Express corrigiu o problema, informou Kay.
Dizendo que, quando os usuários clicam no link, eles encontram uma página de erro do American Express.
A melhor solução para o problema é reduzi-lo mediante uma mitigação simples e preveni-lo com precaução.
Para além de detectar e corrigir erros diretos nos seus sites, os proprietários de web frequentemente não dão às vulnerabilidades a devida atenção, geralmente “porquê não querem que os atacantes arruíne ou roubem dados deles”, observou Kay.
O operador do site pode sofrer um dano à reputação, essa é a única preocupação que ele tem, afirmou.
Kay apontou que os proprietários de domínio podem tomar medidas simples para reduzir os riscos de ataques usando redirecionamento aberto. Uma solução é evitar a implementação desse recurso em sua arquitetura de sites, mas, se for essencial para fins comerciais, uma lista de links aprovados seguros pode ser configurada para reduzir o abuso direto.
Os donos de domínio podem mostrar aos usuários uma notificação de encaminhamento externo que necessita a confirmação dos usuários antes de redirecionar para sites externos, como um complemento.
As pessoas que são vítimas destas campanhas são aqueles que realmente sofrem com as consequências, com a possibilidade de perderem suas credenciais, informações pessoais e até dinheiro. Para se protegerem, é necessário que eles façam alguns passos, disse ele.
Ao navegar online, as pessoas precisam ter cautela ao examinar links. URLs que contenham “URL=”, “redirecionar=”, “Link externo” ou “proxy” podem significar que um domínio confiável pode direcionar para outro site, de acordo com Kay.
Os que recebem e-mails contendo links devem examiná-los com cuidado para identificar eventuais ocorrências de “http” na URL, que pode ser outro sinal de redirecionamento, segundo sua orientação.
Por favor, divulgue este artigo.
- Por gentileza, gostaria de te fazer um pedido.
- Vulnerabilidades de segurança são brechas na segurança que podem ser usadas por invasores para invadir o sistema.
- A segurança na Web é uma questão relevante para todos os usuários da Internet. É necessário que todos tomem as providências necessárias para assegurar que seus dados pessoais e informações sejam preservados de forma segura.
