Posté le août 8, 2022 à 8:17
DES ATTAQUES DE PHISHING CONTRE MICROSOFT 365 LANCÉES À PARTIR D’AMEX ET DE SNAPCHAT
Une série d’attaques de phishing a été signalée, utilisant des redirections ouvertes sur les sites Web d’American Express et de Snapchat. Les acteurs de la menace ont utilisé les attaques de phishing pour voler les informations d’identification de Microsoft 365.
Les redirections ouvertes sont des vulnérabilités web qui permettent aux acteurs de la menace d’accéder à des domaines de sites web et d’organisations authentiques comme page de destination temporaire pour leur attaque de phishing. Elles sont généralement déployées par les acteurs de menaces pour rediriger les cibles vers des sites malveillants.
Une fois qu’ils y ont accédé, ils peuvent être amenés à communiquer des informations sensibles ou être infectés par des logiciels malveillants. Les acteurs de la menace ont généralement pour objectif de voler des informations personnelles, des informations financières et des informations d’identification à la victime.
La redirection ouverte de Snapchat a été exploitée pour cibler des milliers de victimes
La société de sécurité de messagerie Inky, qui a découvert les attaques, a déclaré qu’un simple utilisateur peut croire que le lien est sûr puisque le premier nom de domaine du lien obstrué appartient au site principal.
Les noms de domaine originaux, comme ceux de Snapchat et d’American Express, sont utilisés comme pages de destination temporaires avant que l’utilisateur ne soit redirigé vers le faux site.
Les chercheurs d’Inky ont déclaré que la redirection ouverte de Snapchat a été utilisée de manière abusive dans plus de 6 500 e-mails de phishing provenant de Microsoft 365 et de Google Workspace pendant deux mois et demi.
Les e-mails étaient conçus pour se faire passer pour FedEx, DocuSign et Microsoft, ce qui envoyait les destinataires vers des pages de destination destinées à voler les informations d’identification de Microsoft.
Le bug n’a pas été corrigé sur Snapchat
Le rapport révèle également que la faille de Snatchap a été signalée à l’entreprise via le programme Open Bug Bounty il y a plus d’un an. Cependant, ladite vulnérabilité n’a pas encore été corrigée.
Cette attaque spécifique utilise trois techniques principales : la collecte d’informations d’identification, l’usurpation de marque et le détournement de comptes. Les attaquants utilisent l’usurpation de marque pour faire croire aux utilisateurs qu’ils sont sur la page d’un site Web authentique. Ils créent des logos ou copient les logos du site original, ce qui peut tromper un visiteur qui n’est pas assez attentif.
Une fois que l’utilisateur a saisi les informations demandées par l’acteur de la menace, le logiciel de collecte d’informations d’identification entre en action. Une fois les informations récoltées, les acteurs de la menace peuvent transférer les données sur le dark net et les vendre à d’autres cybercriminels pour en tirer profit. Ils peuvent également décider d’utiliser les données pour recueillir d’autres informations sensibles auprès de l’utilisateur, telles que ses informations personnelles et financières.
Mais le bug de redirection ouverte d’American Express a été immédiatement corrigé après avoir été exploité pendant plusieurs jours en juillet de l’année dernière. De nouvelles tentatives d’exploitation de la vulnérabilité ont eu lieu, mais elles aboutissent toutes à la page d’erreur d’AMEX.
Avant que la vulnérabilité ne soit corrigée, elle était utilisée dans plus de 2 000 e-mails de phishing qui utilisaient Microsoft Office 365 pour attirer les victimes. Les attaquants utilisaient des domaines récemment enregistrés qui étaient conçus pour diriger les cibles vers des sites de vol d’identifiants Microsoft.
Le rapport révèle également que les acteurs de la menace ont inséré des informations personnelles identifiables (PII) dans l’URL des exploits d’Amex et de Snapchat. Cela a permis aux hackers de personnaliser les pages de destination malveillantes pour cibler des victimes spécifiques. Cela a permis aux acteurs de la menace de se concentrer un peu plus sur leurs cibles.
Les chercheurs ont noté que dans les deux attaques, les hackers ont converti l’insertion à sa base 64 pour les faire ressembler à un tas de caractères aléatoires.
La vulnérabilité et l’exploit affectent directement les utilisateurs
Les chercheurs d’Inky ont également indiqué comment les utilisateurs peuvent se défendre contre l’attaque. Selon Inky, les destinataires d’e-mails doivent vérifier la présence de plusieurs occurrences de « HTTP » dans les URL ou les chaînes « proxy » jointes aux e-mails, ce qui indique une redirection.
En outre, il a été conseillé aux propriétaires de sites Web de mettre en place des clauses de non-responsabilité en matière de redirection externe, qui obligeront les utilisateurs à cliquer sur un lien avant d’être envoyés vers un site externe. La sécurité des systèmes des utilisateurs sera ainsi assurée, car la page web malveillante ne s’affichera pas à moins que l’utilisateur ne fasse quelque chose.
Contrairement à d’autres types de vulnérabilités, les bugs de redirection ouverte ne bénéficient pas d’une attention suffisante. En outre, la plupart des risques ne sont généralement pas le fait des propriétaires de sites, mais des utilisateurs. L’article de blog a fourni plus de détails sur les conseils supplémentaires qui permettront aux utilisateurs de rester en sécurité et d’éviter que leurs données ne tombent entre de mauvaises mains.
Il contient des informations supplémentaires et des mesures spécifiques qu’ils doivent prendre pour faire face à ce type d’attaque ainsi qu’à d’autres formes d’attaques. Les conseils permettent à l’utilisateur de découvrir rapidement les signes et les termes importants qui peuvent indiquer qu’une redirection a eu lieu sur un domaine de confiance.
