{"id":3107,"date":"2021-08-30T14:10:49","date_gmt":"2021-08-30T12:10:49","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3107"},"modified":"2023-09-16T11:05:48","modified_gmt":"2023-09-16T11:05:48","slug":"diffusa-campagna-phishing-abusa-i-link-di-redirect-aperti","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/diffusa-campagna-phishing-abusa-i-link-di-redirect-aperti\/","title":{"rendered":"Diffusa campagna Phishing abusa i link di redirect aperti"},"content":{"rendered":"\n

L’uso di re-indirizzamenti aperti<\/strong> nelle comunicazioni e-mail \u00e8 comune nelle aziende. Per fare un esempio, le campagne di marketing<\/strong> utilizzano questa funzione per indirizzare i clienti a una pagina Web di destinazione desiderata e tenere traccia delle percentuali di clic e di altre metriche. Anche gli attaccanti potrebbero abusare dei re-indirizzamenti aperti per collegarsi a un URL in un dominio attendibile e incorporare l’eventuale URL dannoso finale come parametro. Tale abuso pu\u00f2 impedire agli utenti e alle soluzioni di sicurezza di riconoscere rapidamente possibili intenti dannosi.<\/p>\n\n\n\n

Ad esempio, gli utenti possono essere ingannati da un dominio di cui si fidano e quindi fare clic su di esso. Allo stesso modo, le tradizionali soluzioni gateway di posta elettronica possono inavvertitamente consentire il passaggio delle e-mail di questa campagna perch\u00e9 riconoscono l’URL principale ma non controllano i parametri successivi, in questo caso dannosi.<\/p>\n\n\n\n

L’ATTACCO<\/h2>\n\n\n\n

Il phishing<\/strong> continua a crescere, e rappresenta la tecnica dominante utilizzata dai criminali per ottenere le credenziali degli utenti.<\/p>\n

Come recentemente riportato da Microsoft<\/a>, sono state identificate delle campagne in cui le e-mail sembravano seguire uno schema generale che mostrava tutto il contenuto dell’e-mail in una casella con un pulsante grande che porta alle pagine di raccolta delle credenziali. Le righe dell’oggetto delle e-mail variavano a seconda dello strumento che rappresentavano. In generale, \u00e8 stato visto che le righe dell’oggetto contenevano il dominio del destinatario e un timestamp come mostrato negli esempi seguenti:<\/p>\n\n\n\n

\"\"
Figura 1. Esempio di e-mail di phishing mascherata da notifica di Office 365<\/figcaption><\/figure>\n\n\n\n

Una volta che i destinatari posizionano il cursore sul collegamento o sul pulsante nell’e-mail, viene mostrato l’URL completo. Tuttavia, poich\u00e9 gli attaccanti impostano collegamenti di reindirizzamento aperti utilizzando un servizio legittimo, gli utenti vedono un nome di dominio legittimo che \u00e8 probabilmente associato a un’azienda che conoscono e di cui si fidano.<\/p>\n\n\n\n

\"\"
Figura 2. Suggerimento al passaggio del mouse che mostra un collegamento di reindirizzamento aperto con un dominio legittimo e un collegamento di phishing nei parametri URL<\/figcaption><\/figure>\n\n\n\n

I domini finali utilizzati in questo tipo di campagne, seguono un pattern domain-generation algorithm <\/em><\/strong>(DGA<\/strong>) e utilizzano .xyz<\/strong>, .club<\/strong>, .shop<\/strong> e .online<\/strong>. Il pulsante “Rivedi invito<\/em>” nella Figura 2 punta a un URL con un dominio attendibile seguito da parametri, con il dominio controllato dall’attore (c-hi[.]xyz) evidenziato.<\/p>\n

Questi URL sono resi possibili dai servizi di reindirizzamento attualmente in uso da servizi affidabili. Tali servizi in genere consentono alle organizzazioni di inviare e-mail di campagne con collegamenti che reindirizzano a domini secondari. Ad esempio, un hotel potrebbe utilizzare reindirizzamenti aperti per indirizzare i destinatari dell’e-mail a un sito Web di prenotazione di terze parti, pur continuando a utilizzare il proprio dominio principale nei collegamenti incorporati nelle e-mail della campagna.<\/p>\n

Gli attaccanti abusano di questa funzionalit\u00e0 reindirizzando alla propria infrastruttura offensiva, pur mantenendo il dominio legittimo nell’URL completo. Le organizzazioni i cui reindirizzamenti aperti vengono abusati probabilmente non sono consapevoli che ci\u00f2 sta accadendo.<\/p>\n","protected":false},"excerpt":{"rendered":"

L’ATTACCO<\/p>\n","protected":false},"author":1,"featured_media":3133,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1669,1671,1441],"class_list":["post-3107","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-microsoft-it","tag-open-redirect-it","tag-phishing-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3107","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3107"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3107\/revisions"}],"predecessor-version":[{"id":6941,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3107\/revisions\/6941"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3107"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3107"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3107"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}