Il redirecting (reindirizzamento) viene usato per diversi scopi legittimi, come il passaggio dal vecchio al nuovo indirizzo di un sito web. Ignoti cybercriminali hanno invece utilizzato la tecnica per effettuare attacchi di phishing contro gli utenti di Microsoft 365, sfruttando una vulnerabilità dei domini di Snapchat e American Express (Amex).
Phishing con open redirect
Open redirect è una vulnerabilità presente nei siti che non verificano l’input dell’utente, consentendo ai malintenzionati di manipolare l’URL di noti domini per reindirizzare le vittime verso siti di phishing. Il dominio legittimo (in questo caso di Snapchat e American Express) viene utilizzato come pagina temporanea prima di visualizzare il sito infetto (ad esempio http://sitosicuro.com/redirect?url=http://sitoinfetto.com
).
Gli esperti di Inky hanno rilevato oltre 6.812 email di phishing con dominio Snapchat inviate agli utenti di Microsoft 365. Lo scopo è ovviamente rubare le credenziali di accesso al servizio di Microsoft. La vulnerabilità è stata segnalata a Snapchat oltre un anno fa (4 agosto 2021), ma ad oggi non è stata risolta.
Le email di phishing che sfruttano il dominio di American Express sono invece 2.029. L’azienda statunitense ha prontamente corretto il bug, quindi il reindirizzamento non funziona più (viene mostrato un messaggio di errore).
Questo tipo di phishing può essere facilmente individuato leggendo attentamente l’indirizzo. Se ci sono stringhe come “url=
”, “redirect=
”, “external-link
” o “proxy
” e multiple occorrenze di “http
” si tratta sicuramente di reindirizzamento, quindi bisognerebbe verificare il sito di destinazione. I proprietari dei domini dovrebbero implementare una whitelist e mostrare un warning. Gli utenti possono rilevare i siti pericolosi con Bitdefender Total Security.