Saldırganlar, Microsoft 365 kimlik bilgilerini çalmak için bir dizi kimlik avı saldırısında Snapchat ve American Express web sitelerinde açık yönlendirmeleri istismar etti.
Açık yönlendirmeler, tehdit aktörlerinin kimlik avı saldırılarını basitleştirmek için güvenilir kuruluşların ve web sitelerinin alanlarını geçici açılış sayfaları olarak kullanmalarına izin veren web uygulaması zayıf yönleridir.
Hedefleri kötü amaçlı yazılımlarla enfekte edecek veya hassas bilgileri (örneğin kimlik bilgileri, finansal bilgiler, kişisel bilgiler) teslim etmeye kandıracak kötü amaçlı sitelere yönlendirmek için saldırılarda kullanılırlar.
Saldırıları gözlemleyen e -posta güvenlik firması Inky, "Manipüle edilmiş bağlantıdaki ilk alan adı aslında orijinal sitenin olduğu için, bağlantı gündelik gözlemciye güvenli görünebilir."
"Güvenilir etki alanı (örneğin, American Express, Snapchat), sörfçü kötü niyetli bir siteye yönlendirilmeden önce geçici bir açılış sayfası görevi görür."
Inky araştırmacılarına göre, Snapchat Open Rehirect Google Workspace'den gönderilen 6.812 kimlik avı e -postasında ve Microsoft 365'in iki buçuk ay boyunca kaçırılması kullanıldı.
Bu e -postalar Microsoft, DocUSIGN ve FedEx'i taklit etti ve alıcıları Microsoft kimlik bilgilerini toplamak için tasarlanmış açılış sayfalarına yönlendirdi.
Snapchat güvenlik açığı bir yıl önce Open Bug Bounty platformu aracılığıyla şirkete rapor edilirken, 4 Ağustos 2021'de açık yönlendirme henüz yamalanmadı.
Öte yandan, American Express Açık yönlendirme, Temmuz ayı sonlarında birkaç gün kullanıldıktan sonra hızla yamalandı. Bunu kötüye kullanmaya yönelik yeni girişimler şimdi bir American Express Hata Page.0
Ele alınmadan önce, AMEX Open Rehirect, yakın zamanda kayıtlı alanlardan gönderilen ve potansiyel kurbanları Microsoft kimlik bilgisi hasat sitelerine yönlendirmek için tasarlanan Microsoft Office 365 Baits kullanılarak 2.029 kimlik avı e -postasında kullanıldı.
Inky, "Hem Snapchat hem de American Express istismarlarında, siyah şapkalar, kötü niyetli açılış sayfalarının bireysel kurbanlar için anında özelleştirilebilmesi için URL'ye kişisel olarak tanımlanabilir bilgileri (PII) ekledi."
Diyerek şöyle devam etti: "Ve her ikisinde de, bu ekleme, bir grup rastgele karakter gibi görünmesi için taban 64'e dönüştürülerek gizlendi."
Bu tür saldırılara karşı savunmak için Inky, e-posta alıcılarına "url =", "yeniden yönetme =," harici bağlantı "veya" proxy "ipleri veya" HTTP "nin" HTTP "nin muhtemelen bir gösterge gösteren URL'lerde kontrol edilmesini tavsiye etti. yeniden yönlendirme.
Web sitesi sahiplerinin, kullanıcıların harici sitelere yönlendirilmeden önce tıklamalarını isteyen harici yeniden yönlendirme feragatnameleri uygulamaları önerilir.
Microsoft 365 Yeni Sahte Sesli Posta Kampanyasında Hedeflenen Kimlik Bilgileri
Bu 59,99 $ 'lık Anlaşmada Anahtar Microsoft Ürünlerinde 17 Kurs Alın
Yeni MFA-Bypassing kimlik avı kiti ile hedeflenen Microsoft hesapları
Microsoft Outlook, Uber makbuzu e -postalarını okurken çöküyor
Mobil mağaza sahibi, telefonların kilidini açmak için T-Mobile çalışanlarını hackledi
Kaynak: Bleeping Computer