L’uso di re-indirizzamenti aperti nelle comunicazioni e-mail è comune nelle aziende. Per fare un esempio, le campagne di marketing utilizzano questa funzione per indirizzare i clienti a una pagina Web di destinazione desiderata e tenere traccia delle percentuali di clic e di altre metriche. Anche gli attaccanti potrebbero abusare dei re-indirizzamenti aperti per collegarsi a un URL in un dominio attendibile e incorporare l’eventuale URL dannoso finale come parametro. Tale abuso può impedire agli utenti e alle soluzioni di sicurezza di riconoscere rapidamente possibili intenti dannosi.

Ad esempio, gli utenti possono essere ingannati da un dominio di cui si fidano e quindi fare clic su di esso. Allo stesso modo, le tradizionali soluzioni gateway di posta elettronica possono inavvertitamente consentire il passaggio delle e-mail di questa campagna perché riconoscono l’URL principale ma non controllano i parametri successivi, in questo caso dannosi.

L’ATTACCO

Il phishing continua a crescere, e rappresenta la tecnica dominante utilizzata dai criminali per ottenere le credenziali degli utenti.

Come recentemente riportato da Microsoft, sono state identificate delle campagne in cui le e-mail sembravano seguire uno schema generale che mostrava tutto il contenuto dell’e-mail in una casella con un pulsante grande che porta alle pagine di raccolta delle credenziali. Le righe dell’oggetto delle e-mail variavano a seconda dello strumento che rappresentavano. In generale, è stato visto che le righe dell’oggetto contenevano il dominio del destinatario e un timestamp come mostrato negli esempi seguenti:

Figura 1. Esempio di e-mail di phishing mascherata da notifica di Office 365

Una volta che i destinatari posizionano il cursore sul collegamento o sul pulsante nell’e-mail, viene mostrato l’URL completo. Tuttavia, poiché gli attaccanti impostano collegamenti di reindirizzamento aperti utilizzando un servizio legittimo, gli utenti vedono un nome di dominio legittimo che è probabilmente associato a un’azienda che conoscono e di cui si fidano.

Figura 2. Suggerimento al passaggio del mouse che mostra un collegamento di reindirizzamento aperto con un dominio legittimo e un collegamento di phishing nei parametri URL

I domini finali utilizzati in questo tipo di campagne, seguono un pattern domain-generation algorithm (DGA) e utilizzano .xyz, .club, .shop e .online. Il pulsante “Rivedi invito” nella Figura 2 punta a un URL con un dominio attendibile seguito da parametri, con il dominio controllato dall’attore (c-hi[.]xyz) evidenziato.

Questi URL sono resi possibili dai servizi di reindirizzamento attualmente in uso da servizi affidabili. Tali servizi in genere consentono alle organizzazioni di inviare e-mail di campagne con collegamenti che reindirizzano a domini secondari. Ad esempio, un hotel potrebbe utilizzare reindirizzamenti aperti per indirizzare i destinatari dell’e-mail a un sito Web di prenotazione di terze parti, pur continuando a utilizzare il proprio dominio principale nei collegamenti incorporati nelle e-mail della campagna.

Gli attaccanti abusano di questa funzionalità reindirizzando alla propria infrastruttura offensiva, pur mantenendo il dominio legittimo nell’URL completo. Le organizzazioni i cui reindirizzamenti aperti vengono abusati probabilmente non sono consapevoli che ciò sta accadendo.