Uma empresa de segurança focada em e-mail divulgou uma postagem no blog detalhando uma sequencia de ataques de hackers (phishing), que atacam sites não seguros da American Express e Snapchat. A exploração identificada usa uma vulnerabilidade conhecida de redirecionamento aberto que permite que os agentes de ameaças especifiquem um URL de redirecionamento, direcionando o tráfego para sites fraudulentos projetados para roubar informações do usuário.
Hackers Atacam Snapchat e Amex
A empresa de segurança Inky Security, com sede em Maryland, rastreou a atividade de ataque relacionada à vulnerabilidade de meados de maio a meados de julho. O ataque de phishing depende de uma vulnerabilidade conhecida de redirecionamento aberto (CWE-601) e reconhecimento de marca popular para enganar e coletar credenciais de usuários desavisados do Google Workspace e do Microsoft 365.
Os ataques tiveram como alvo sites não seguros do Snapchat e American Express. Os ataques baseados no Snapchat resultaram em mais de 6.800 ataques em um período de dois meses e meio. Os ataques baseados no American Express foram muito mais eficazes, afetando mais de 2.000 usuários em apenas dois dias.
Os e-mails baseados no Snapchat levaram os usuários a sites fraudulentos da DocuSign, FedEx e Microsoft para coletar credenciais do usuário. A vulnerabilidade de redirecionamento aberto do Snapchat foi inicialmente identificada pelo openbugbounty há mais de um ano. Infelizmente, a exploração ainda parece não ter sido abordada.
A American Express parece ter remediado a vulnerabilidade, que redirecionou os usuários para uma página de login do O365 semelhante à que os ataques baseados no Snapchat usaram.
Esse ataque de phishing específico usa três técnicas principais: personificação de marca, coleta de credenciais e contas invadidas. O reconhecimento da marca depende de logotipos e marcas registradas reconhecíveis para criar uma sensação de confiança com a vítima em potencial, levando à inserção e coleta de credenciais do usuário no site fraudulento.
Uma vez coletadas, os hackers podem vender as informações roubadas para outros criminosos com fins lucrativos ou usar as informações para acessar e obter informações pessoais e financeiras da vítima.
As vulnerabilidades de redirecionamento aberto não tendem a receber o mesmo nível de cuidado e atenção que outras explorações identificadas. Além disso, a maior parte da exposição ao risco está no usuário e não no proprietário do site.
A postagem do blog fornece informações e orientações adicionais para ajudar os usuários a se manterem seguros e manter seus dados fora das mãos erradas. Essas dicas ajudam os usuários a identificar os principais termos e caracteres que podem indicar se um redirecionamento está ocorrendo em um domínio confiável.