Hackers estão explorando redirecionamentos abertos nos sites do Snapchat e American Express em uma série de ataques de phishing para roubar credenciais do Office 365. Redirecionamentos abertos são pontos fracos de aplicativos da web que permitem que operadores de ameaças usem os domínios de organizações e sites confiáveis como páginas de destino temporárias para simplificar os ataques de phishing.
Eles são usados em ataques para redirecionar alvos para sites maliciosos que irão infectá-los com malware ou induzi-los a entregar informações confidenciais — por exemplo, credenciais, informações financeiras, informações pessoais.
“Como o primeiro nome de domínio no link manipulado é de fato o do site original, o link pode parecer seguro para o observador casual”, explica a empresa de segurança de e-mail Inky, que constatou os ataques. “O domínio confiável [por exemplo, American Express, Snapchat] atua como uma página de destino temporária antes que o surfista seja redirecionado para um site malicioso.”
De acordo com os pesquisadores da Inky, o redirecionamento aberto do Snapchat foi usado em 6.812 e-mails de phishing enviados do Google Workspace e do Office 365, sequestrados ao longo de dois meses e meio. Esses e-mails representavam a Microsoft, DocuSign e FedEx e redirecionavam os destinatários para páginas de destino projetadas para coletar credenciais da Microsoft.
Embora a vulnerabilidade do Snapchat tenha sido relatada à empresa por meio da plataforma Open Bug Bounty em 4 de agosto de 2021, o redirecionamento aberto ainda não foi corrigido. Por outro lado, o redirecionamento aberto da American Express foi rapidamente corrigido após ser explorado por alguns dias no final de julho. Novas tentativas de exploração agora chegam a uma página de erro da American Express.
Antes de ser abordado, o redirecionamento aberto da Amex foi usado em 2.029 e-mails de phishing utilizando iscas do Office 365, enviadas de domínios registrados recentemente e projetadas para canalizar vítimas em potencial para sites de coleta de credenciais da Microsoft.
Veja isso
Office 365 pode dar acesso ao SharePoint e OneDrive
Novos kits de phishing são voltados a usuários do PayPal e Amex
“Nas explorações do Snapchat e da American Express, os black hats inseriram informações de identificação pessoal na URL para que as páginas de destino maliciosas pudessem ser personalizadas rapidamente para as vítimas individuais”, explica a Inky. “E em ambos, essa inserção foi disfarçada convertendo-a em Base 64 para parecer um monte de caracteres aleatórios.”
Para se defender contra esses ataques, a Inky aconselha os destinatários de e-mail a verificar se há strings “url=””, “redirect=”, “external-link” ou “proxy” ou várias ocorrências de “HTTP” em URLs incorporados em e-mails que provavelmente mostram uma indicação de redirecionamento.Aos proprietários de sites também são recomendados a implementar isenções de responsabilidade de redirecionamento externo que solicitam que os usuários cliquem antes de serem redirecionados para sites externos.
