Falha de Redirecionamento Aberto Compromete Dados de Usuários do Amex e Snapchat

Os criminosos estão aproveitando uma vulnerabilidade de redirecionamento aberto bem conhecida para obter as credenciais e informações pessoais identificáveis (PII) das pessoas, utilizando os domínios American Express e Snapchat, conforme revelado por pesquisadores.

Os atores ameaçaram empresas como Microsoft e FedEx em duas campanhas distintas, conforme identificado por pesquisadores da INKY entre meados de maio e o final de julho. Eles exploraram vulnerabilidades de redirecionamento que afetam os domínios da American Express e Snapchat. O domínio da American Express foi corrigido, mas o do Snapchat ainda não. Essa vulnerabilidade de redirecionamento aberto ocorre quando um site não verifica a entrada do usuário, permitindo que os atacantes manipulem URLs de domínios confiáveis para redirecionar as vítimas para sites maliciosos. Essa vulnerabilidade é conhecida como CWE-601: Redirecionamento de URL para Site Não Confiável (‘Redirecionamento Aberto’).

Infosec Insiders Newsletter
Imagem: wal_172619/GettyImages

Roger Kay, do INKY, explicou que, como o nome de domínio inicial no link modificado pertence ao site original, o link pode parecer seguro para quem o vê de forma desatenta.

Um caso de redirecionamento malicioso ocorre quando um site confiável, como American Express ou Snapchat, é utilizado como uma página inicial temporária antes de direcionar a vítima para um site malicioso, como exemplificado por http[://]safe[.]com/redirect?[url=http:]//malicious[.]com.

Durante um período de dois meses e meio, os pesquisadores identificaram a vulnerabilidade de redirecionamento aberto do site snapchat[.]com em 6.812 e-mails de phishing provenientes de várias contas comprometidas. Em contrapartida, em apenas dois dias no final de julho, observaram a mesma vulnerabilidade no site americanexpress[.]com em 2.029 e-mails de phishing provenientes de domínios recém-criados.

Similaridades na forma de atacar.

Ambas as iniciativas foram iniciadas com e-mails de phishing que empregavam estratégias comuns de manipulação psicológica para tentar ludibriar os usuários a acessar links maliciosos ou arquivos anexados, conforme relatado pelos pesquisadores.

Relacionado:   Cato incorpora tecnologia XDR com foco em inteligência artificial ao SASE para minimizar problemas na rede.

Ambas as campanhas também empregaram técnicas de exploração, nas quais os invasores incluíram informações pessoais identificáveis na URL que parecia legítima, permitindo assim que as páginas de destino maliciosas fossem adaptadas em tempo real para cada vítima individualmente, afirmou.

“Kay mencionou que a inserção foi camuflada ao ser transformada em Base 64, dando a impressão de ser uma sequência de caracteres aleatórios. Ele explicou que acrescentaram caracteres aleatórios às cadeias de caracteres para impedir que alguém pudesse decifrar as informações pessoais nelas contidas.”

Continua após a publicidade..

Quando eram redirecionadas para outro site, as vítimas acreditavam estar sendo levadas a um local seguro, sem saber que na verdade estavam sendo direcionadas para domínios maliciosos, onde poderiam ter suas credenciais roubadas ou serem expostas a malware, conforme relatado pelos pesquisadores.

Atributos particulares da campanha.

Os pesquisadores afirmaram que, apesar de existirem semelhanças entre as duas campanhas, também havia estratégias distintas para cada uma delas.

Os pesquisadores afirmaram que e-mails de phishing no grupo de redirecionamento aberto do Snapchat utilizaram falsas identidades de DocuSign, FedEx e Microsoft, levando os usuários a sites de coleta de informações confidenciais da Microsoft por meio de redirecionamentos abertos do Snapchat.

Continua após a publicidade..

A vulnerabilidade de redirecionamento aberto no domínio do Snapchat não foi explorada durante a campanha e ainda não foi corrigida, apesar de ter sido reportada à empresa em 4 de agosto de 2021 pelo Open Bug Bounty, de acordo com as observações de Kay.

Segundo Kay, o bug de redirecionamento aberto no domínio American Express permaneceu inabalável no início. Durante o início da campanha de phishing, o link de redirecionamento aberto direcionava para sites que coletavam credenciais da Microsoft. No entanto, o American Express logo corrigiu essa vulnerabilidade.

Relacionado:   Fortinet inclui funcionalidades de gerenciamento e inteligência artificial à sua plataforma de segurança de rede.

Agora, as pessoas que clicam no link são redirecionadas para uma página de erro do American Express.

Redução fácil e antecipação.

Além de resolver problemas diretos em seus próprios sites, os donos geralmente não dedicam a devida importância às vulnerabilidades existentes, possivelmente por não permitirem que invasores causem danos ou roubem informações do site, conforme apontado por Kay.

Segundo o autor, o único prejuízo que o operador do site pode sofrer é danos à reputação do site.

Se os donos de domínio desejam reduzir os ataques usando redirecionamento aberto, podem seguir algumas medidas simples, de acordo com Kay. Uma opção clara é evitar completamente o redirecionamento na estrutura do site. No entanto, se for imprescindível por motivos comerciais, os donos de domínio podem criar uma lista de links seguros aprovados para evitar abusos diretos.

Os donos de domínio têm a opção de exibir aos usuários um aviso de redirecionamento externo, que necessita que o usuário clique antes de ser redirecionado para sites externos, explicou Kay.

“As pessoas que são alvo dessas campanhas são as que mais sofrem, pois correm o risco de perder informações pessoais, dados e até mesmo dinheiro. Por isso, também devem tomar medidas para se protegerem”, afirmou ele.

Enquanto navegamos na internet e examinamos os links, é importante ficar atento a certos termos nas URLs, como “url=”, “redirect=”, “Link externo” ou “proxy”, que podem sugerir redirecionamentos para outros sites, de acordo com as observações de Kay.

As pessoas que recebem e-mails com links também devem verificar os links para ver se há várias ocorrências de “http” na URL, o que pode indicar redirecionamento, explicou ele.

Relacionado:   Denunciante do Twitter divulga documento sobre monitoramento das políticas de segurança e privacidade da empresa.

Divulgue este artigo.

  • Puedo ayudarte a parafrasear el texto sobre “Cortes”. Por favor, proporciona más detalles o comparte el texto original para que pueda ayudarte de manera más efectiva.
  • Fragilidades ou pontos fracos.
  • Proteção online