Les redirections ouvertes, une faiblesse classique trouvée dans de nombreux sites Web parmi les plus importants au monde, seraient utilisées pour voler les identifiants de connexion (s'ouvre dans un nouvel onglet) pour les comptes Microsoft 365.
Selon les experts de la société de sécurité Inky, la méthode a été utilisée pour envoyer plus de 6.800 2000 e-mails de phishing depuis Google Workspace, se faisant passer pour Snapchat, au cours des deux derniers mois et demi. Quant à American Express, l'équipe a identifié plus de XNUMX XNUMX e-mails de phishing.
L'usurpation d'identité (ouvre un nouvel onglet) est l'une des activités cybercriminelles les plus populaires, car les données peuvent être exploitées avec succès pour d'autres formes de fraude.
AmEx va vite, Snapchat est à la traîne
Les redirections ouvertes permettent aux acteurs de la menace d'utiliser les domaines et les sites Web d'autres personnes comme pages de destination temporaires, avant d'envoyer les victimes vers la page de phishing. Ainsi, lorsque l'attaquant envoie un e-mail de phishing, le lien dans le corps de l'e-mail peut sembler légitime, ce qui encourage davantage les internautes à cliquer.
"Étant donné que le premier nom de domaine dans le lien construit est en fait celui du site d'origine, le lien peut sembler sûr à l'observateur occasionnel", déclare Inky. "Le domaine de confiance (par exemple American Express, Snapchat) agit comme une page de destination temporaire avant que l'utilisateur ne soit redirigé vers un site malveillant."
Après avoir appris la faille, il n'a fallu que quelques jours à American Express pour réparer les choses, tandis que Snapchat, bien qu'il ait été notifié par des chercheurs il y a plus d'un an, n'a pas encore résolu le problème.
"Dans les exploits Snapchat et American Express, les chapeaux noirs ont inséré des informations personnellement identifiables (PII) dans l'URL afin que les pages de destination malveillantes puissent être personnalisées à la volée pour les victimes individuelles", a ajouté Inky. . "Et dans les deux, cet insert a été déguisé en le convertissant en Base 64 pour le faire ressembler à un tas de caractères aléatoires."
Bien que les liens puissent sembler légitimes, il existe un moyen de détecter la fraude, explique Inky. Lorsqu'un utilisateur reçoit un tel e-mail, il doit inspecter le lien hypertexte à la recherche d'éléments tels que "url=", "redirect=", "lien externe" ou "proxy" ou plusieurs occurrences de "HTTP" car ils montreront probablement qu'il s'agit d'une redirection
Les propriétaires de sites Web doivent également mettre en place des avertissements de redirection, obligeant les utilisateurs à cliquer avant d'être redirigés vers des sites externes.
Via : BleepingComputer (Ouvre dans un nouvel onglet)