L’uso di re-indirizzamenti aperti nelle comunicazioni e-mail è comune nelle aziende. Per fare un esempio, le campagne di marketing utilizzano questa funzione per indirizzare i clienti a una pagina Web di destinazione desiderata e tenere traccia delle percentuali di clic e di altre metriche. Anche gli attaccanti potrebbero abusare dei re-indirizzamenti aperti per collegarsi a un URL in un dominio attendibile e incorporare l’eventuale URL dannoso finale come parametro. Tale abuso può impedire agli utenti e alle soluzioni di sicurezza di riconoscere rapidamente possibili intenti dannosi.

Ad esempio, gli utenti possono essere ingannati da un dominio di cui si fidano e quindi fare clic su di esso. Allo stesso modo, le tradizionali soluzioni gateway di posta elettronica possono inavvertitamente consentire il passaggio delle e-mail di questa campagna perché riconoscono l’URL principale ma non controllano i parametri successivi, in questo caso dannosi.

L’ATTACCO

Il phishing continua a crescere, e rappresenta la tecnica dominante utilizzata dai criminali per ottenere le credenziali degli utenti.

Come recentemente riportato da Microsoft, sono state identificate delle campagne in cui le e-mail sembravano seguire uno schema generale che mostrava tutto il contenuto dell’e-mail in una casella con un pulsante grande che porta alle pagine di raccolta delle credenziali. Le righe dell’oggetto delle e-mail variavano a seconda dello strumento che rappresentavano. In generale, è stato visto che le righe dell’oggetto contenevano il dominio del destinatario e un timestamp come mostrato negli esempi seguenti:

Figura 1. Esempio di e-mail di phishing mascherata da notifica di Office 365

Una volta che i destinatari posizionano il cursore sul collegamento o sul pulsante nell’e-mail, viene mostrato l’URL completo. Tuttavia, poiché gli attaccanti impostano collegamenti di reindirizzamento aperti utilizzando un servizio legittimo, gli utenti vedono un nome di dominio legittimo che è probabilmente associato a un’azienda che conoscono e di cui si fidano.

Figura 2. Suggerimento al passaggio del mouse che mostra un collegamento di reindirizzamento aperto con un dominio legittimo e un collegamento di phishing nei parametri URL

I domini finali utilizzati in questo tipo di campagne, seguono un pattern domain-generation algorithm (DGA) e utilizzano .xyz, .club, .shop e .online. Il pulsante “Rivedi invito” nella Figura 2 punta a un URL con un dominio attendibile seguito da parametri, con il dominio controllato dall’attore (c-hi[.]xyz) evidenziato.

Questi URL sono resi possibili dai servizi di reindirizzamento attualmente in uso da servizi affidabili. Tali servizi in genere consentono alle organizzazioni di inviare e-mail di campagne con collegamenti che reindirizzano a domini secondari. Ad esempio, un hotel potrebbe utilizzare reindirizzamenti aperti per indirizzare i destinatari dell’e-mail a un sito Web di prenotazione di terze parti, pur continuando a utilizzare il proprio dominio principale nei collegamenti incorporati nelle e-mail della campagna.

Gli attaccanti abusano di questa funzionalità reindirizzando alla propria infrastruttura offensiva, pur mantenendo il dominio legittimo nell’URL completo. Le organizzazioni i cui reindirizzamenti aperti vengono abusati probabilmente non sono consapevoli che ciò sta accadendo.

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]