Les redirections ouvertes, une faiblesse classique que l’on trouve dans de nombreuses pages Web parmi les plus importantes au monde, seraient utilisées pour voler les identifiants de connexion. (s’ouvre dans un nouvel onglet) pour les comptes Microsoft 365.
Selon les experts de la société de sécurité Inky, la méthode a été utilisée pour envoyer plus de 6 800 e-mails de phishing depuis Google Workspace, se faisant passer pour Snapchat, au cours des deux derniers mois et demi. Quant à American Express, l’équipe a identifié plus de 2 000 e-mails de phishing.
Vol d’identité (s’ouvre dans un nouvel onglet) est l’une des activités cybercriminelles les plus populaires, car les données peuvent être exploitées avec succès pour d’autres formes de fraude.
AmEx bouge vite, Snapchat est à la traîne
Les redirections ouvertes permettent aux acteurs de la menace d’utiliser les domaines et les sites Web d’autres personnes comme pages de destination temporaires, avant d’envoyer les victimes vers la page de phishing. Ainsi, lorsque l’attaquant envoie un e-mail de phishing, le lien dans le corps de l’e-mail peut sembler légitime, ce qui encourage davantage les internautes à cliquer.
« Étant donné que le premier nom de domaine dans le lien manipulé est en fait celui du site d’origine, le lien peut sembler sûr à l’observateur occasionnel », déclare Inky. « Le domaine de confiance (par exemple, American Express, Snapchat) agit comme une page de destination temporaire avant que l’internaute ne soit redirigé vers un site malveillant. »
Après avoir pris connaissance de la faille, American Express n’a mis que quelques jours pour réparer les choses, tandis que Snapchat, bien que notifié par les chercheurs il y a plus d’un an, n’a pas encore résolu le problème.
« Dans les exploits de Snapchat et d’American Express, les black hats ont inséré des informations personnellement identifiables (PII) dans l’URL afin que les pages de destination malveillantes puissent être personnalisées à la volée pour les victimes individuelles », a ajouté Inky. « Et dans les deux, cette insertion a été déguisée en la convertissant en Base 64 pour la faire ressembler à un tas de caractères aléatoires. »
Bien que les liens puissent sembler légitimes, il existe un moyen de repérer la fraude, explique Inky. Lorsqu’un utilisateur reçoit un tel e-mail, il doit inspecter le lien hypertexte pour des éléments tels que « url = », « redirect = », « external-link » ou « proxy » ou plusieurs occurrences de « HTTP », car ceux-ci seront probablement montrer qu’il s’agit d’une redirection.
Les propriétaires de sites Web doivent également mettre en place des avertissements de redirection, obligeant les utilisateurs à cliquer avant d’être redirigés vers des sites externes.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)