【安全圈】黑客利用域名开放重导向漏洞，发送骗取M365凭证的信件

安全圈 2022-08-11 16:00

关键词

open redirect

安全厂商发现，黑客利用美国运通（American Express）及Snapchat域名的开放重导向（open redirect）漏洞，发送以骗取用户帐密为目的的钓鱼信件。

重导向（redirect）是将用户从其目的地网站引导到另一网站。最主要用途是利用广告将网络用户导向广告主的网站以诱使其购物。重导向做法中的开放重引导，则是某一网站允许任何人都能指定任意URL为重导向的目的地，就可能成为歹徒的犯罪工具。

今年5月到7月，Inky Security侦测到攻击者利用知名品牌公司，包括美国运通和Snapchat网站上的开放重导向漏洞发送数千封钓鱼信件，将用户导向窃取用户帐密及凭证资讯的恶意网站。

这些域名的开放重导向漏洞未能验证用户输入指令，致攻击者可修改域名URL，而将用户流量导向第三方恶意网站。

安全研究人员分别侦测到，Snapchat网站发出的近7,000封钓鱼信件，将用户导向假的DocuSign、FedEx及微软网页，而美国运通域名发送的2,000多封钓鱼信件，则皆导向钓鱼微软网页。两波攻击都是通过以假乱真的钓鱼页面，骗取用户的Microsoft 365帐密。

在这两波攻击中，黑客在变造的URL插入可识其他人信息（personally identifiable information，PII），使恶意登陆页（landing pages）可依不同人随时变化。此外，攻击者都使用Base 64编码器将插入的PII转为随机符号，大部分用户往往无法识别。

Snapchat的漏洞去年8月初就有人通报过，但Snapchat一直未修补直到安全厂商的通知，致其发送的钓鱼信件数量奇高。美国运通则是在钓鱼信件发出后很快就修补，现在点入恶意信件的连接，就会导向正牌American Express的错误页。

为防范此类邮件攻击，研究人员提醒用户要小心URL中的“url=”、“redirect=”、“external-link”或“proxy”，另一个特征是，这些邮件URL会多次使用“http”。

至于网站管理员，研究人员建议尽量不要实例重导向，若是一定要实例的话，也应实例核准的安全连接清单（即白名单）以防被黑客上下其手。

END

阅读推荐

安全圈

←扫码关注我们

网罗圈内热点专注网络安全

实时资讯一手掌握！

好看你就分享有用就点个赞

支持「安全圈」就点个三连吧！

近期文章