Se informa que los redireccionamientos abiertos, una debilidad clásica que se encuentra en muchas de las páginas web más grandes del mundo, se utilizan para robar credenciales de inicio de sesión. (se abre en una pestaña nueva) para cuentas de Microsoft 365.
Según expertos de la firma de seguridad Inky, el método se utilizó para enviar más de 6.800 correos electrónicos de phishing desde Google Workspace, haciéndose pasar por Snapchat, en los últimos dos meses y medio. En cuanto a American Express, el equipo identificó más de 2000 correos electrónicos de phishing.
El robo de identidad (se abre en una pestaña nueva) es una de las actividades cibercriminales más populares, ya que los datos se pueden aprovechar con éxito para otras formas de fraude.
AmEx se mueve rápido, Snapchat se retrasa
Los redireccionamientos abiertos permiten a los actores de amenazas usar los dominios y sitios web de otras personas como páginas de destino temporales, antes de enviar a las víctimas a la página de phishing. De esa manera, cuando el atacante envía un correo electrónico de phishing, el enlace en el cuerpo del correo electrónico puede parecer legítimo, lo que anima aún más a las personas a hacer clic.
«Dado que el primer nombre de dominio en el enlace manipulado es, de hecho, el del sitio original, el enlace puede parecer seguro para el observador casual», dice Inky. «El dominio de confianza (por ejemplo, American Express, Snapchat) actúa como una página de inicio temporal antes de que el navegante sea redirigido a un sitio malicioso».
Después de enterarse de la falla, American Express tardó solo unos días en arreglar las cosas, mientras que Snapchat, aunque los investigadores lo notificaron hace más de un año, aún no ha solucionado el problema.
«Tanto en los exploits de Snapchat como en American Express, los black hats insertaron información de identificación personal (PII) en la URL para que las páginas de destino maliciosas pudieran personalizarse sobre la marcha para las víctimas individuales», agregó Inky. «Y en ambos, esta inserción se disfrazó convirtiéndola a Base 64 para que pareciera un montón de caracteres aleatorios».
Si bien los enlaces pueden parecer legítimos, hay una forma de detectar el fraude, explica Inky. Cuando un usuario recibe un correo electrónico de este tipo, debe inspeccionar el hipervínculo en busca de elementos como «url=», «redirect=», «external-link» o cadenas «proxy» o varias apariciones de «HTTP», ya que es probable que mostrar que es una redirección.
Los propietarios de sitios web también deben configurar descargos de responsabilidad de redirección, obligando a los usuarios a hacer clic antes de ser redirigidos a sitios externos.
Vía: BleepingComputer (se abre en una pestaña nueva)