黑客利用域名开放重导向漏洞,发送骗取M365凭证的信件

  • 卡拉羊小学生书包男孩儿童女童一到三到六年级超轻大容量大嘴
  • CA梳子女士专用长发家用塑料梳子女孩气囊气垫梳按摩头皮儿童马尾
  • 东鹏特饮补水啦电解质水西柚味1L*12瓶整箱特价大瓶运动健身饮料
  • 佳帮手马桶刷家用无死角一次性2024新款壁挂卫生间洗厕所清洁刷子
  • 衣架收纳架免打孔阳台整理架多功能晾衣服架多夹子收纳神器家用
  • 柜门合页修复固定板衣柜铰链修复神器合页安装板垫板不锈钢修复片

安全厂商发现,黑客利用美国运通(American Express)及Snapchat域名的开放重导向(open redirect)漏洞,发送以骗取用户帐密为目的的钓鱼信件。

重导向(redirect)是将用户从其目的地网站引导到另一网站。最主要用途是利用广告将网络用户导向广告主的网站以诱使其购物。重导向做法中的开放重引导,则是某一网站允许任何人都能指定任意URL为重导向的目的地,就可能成为歹徒的犯罪工具。

今年5月到7月,Inky Security侦测到攻击者利用知名品牌公司,包括美国运通和Snapchat网站上的开放重导向漏洞发送数千封钓鱼信件,将用户导向窃取用户帐密及凭证资讯的恶意网站。

这些域名的开放重导向漏洞未能验证用户输入指令,致攻击者可修改域名URL,而将用户流量导向第三方恶意网站。

安全研究人员分别侦测到,Snapchat网站发出的近7,000封钓鱼信件,将用户导向假的DocuSign、FedEx及微软网页,而美国运通域名发送的2,000多封钓鱼信件,则皆导向钓鱼微软网页。两波攻击都是通过以假乱真的钓鱼页面,骗取用户的Microsoft 365帐密。

图片来源/Inky Security

在这两波攻击中,黑客在变造的URL插入可识其他人信息(personally identifiable information,PII),使恶意登陆页(landing pages)可依不同人随时变化。此外,攻击者都使用Base 64编码器将插入的PII转为随机符号,大部分用户往往无法识别。

Snapchat的漏洞去年8月初就有人通报过,但Snapchat一直未修补直到安全厂商的通知,致其发送的钓鱼信件数量奇高。美国运通则是在钓鱼信件发出后很快就修补,现在点入恶意信件的连接,就会导向正牌American Express的错误页。

为防范此类邮件攻击,研究人员提醒用户要小心URL中的“url=”、“redirect=”、“external-link”或“proxy”,另一个特征是,这些邮件URL会多次使用“http”。

至于网站管理员,研究人员建议尽量不要实例重导向,若是一定要实例的话,也应实例核准的安全连接清单(即白名单)以防被黑客上下其手。