شرکت امنیتی INKY Security مستقر در مریلند، فعالیت حملات مرتبط با این آسیبپذیری را از اواسط می تا اواسط ژوئیه ردیابی کرد. حمله فیشینگ به یک آسیبپذیری تغییر مسیر باز شناخته شده (CWE-601) و شناسایی برند محبوب برای فریب دادن و جمعآوری اعتبار از کاربران ناآگاه Google Workspace و Microsoft 365 متکی است.
این حمله فیشینگ خاص از سه تکنیک اصلی استفاده میکند: جعل هویت برند، جمعآوری اعتبار و حسابهای ربوده شده. تشخیص نام تجاری متکی بر لوگوها و علائم تجاری قابل تشخیص است تا حس اعتماد را با قربانی احتمالی ایجاد کند که منجر به ورود اعتبار کاربر و برداشت از آن سایت تقلبی می شود. پس از جمع آوری، هکرها می توانند اطلاعات سرقت شده را برای سودجویی به مجرمان دیگر بفروشند یا از اطلاعات برای دسترسی و به دست آوردن اطلاعات شخصی و مالی قربانی استفاده کنند.
به نظر می رسد امریکن اکسپرس این آسیب پذیری را اصلاح کرده است، که کاربران را به صفحه ورود به سیستم O365 مشابه صفحه ای که حملات مبتنی بر اسنپ چت استفاده می کرد هدایت می کرد.
– INKY (@InkyPhishFence) 4 آگوست 2022
آسیبپذیریهای تغییر مسیر باز تمایلی به دریافت همان سطح مراقبت و توجه مانند سایر اکسپلویتهای شناساییشده ندارند. علاوه بر این، بیشتر در معرض خطر قرار گرفتن بر عهده کاربر است تا مالک سایت. پست وبلاگ پیش زمینه و راهنمایی بیشتری را برای کمک به کاربران در ایمن ماندن و دور نگه داشتن داده های خود از دست افراد اشتباه ارائه می دهد. این نکات به کاربران کمک میکند تا عبارات و نویسههای کلیدی را شناسایی کنند که ممکن است نشاندهنده انجام تغییر مسیر از یک دامنه قابل اعتماد باشد.
این حملات سایت های ناامن اسنپ چت و امریکن اکسپرس را هدف قرار دادند. حملات مبتنی بر اسنپ چت منجر به بیش از 6800 حمله در یک دوره دو و نیم ماهه شد. حملات مبتنی بر امریکن اکسپرس بسیار مؤثرتر بودند و تنها در دو روز بیش از 2000 کاربر را تحت تأثیر قرار دادند.
ایمیلهای مبتنی بر اسنپچت، کاربران را به سمت سایتهای DocuSign، FedEx و مایکروسافت متقلبانه سوق داد تا اعتبار کاربران را جمعآوری کنند. آسیب پذیری تغییر مسیر باز اسنپ چت در ابتدا توسط openbugbounty بیش از یک سال پیش شناسایی شد. متأسفانه، به نظر می رسد که این سوء استفاده هنوز خطاب نشده است.
چرا مهم است: یک شرکت امنیتی متمرکز بر ایمیل، یک پست وبلاگی منتشر کرد که جزئیات یک حمله فیشینگ را که سایتهای American Express و Snapchat ناامن را هدف قرار میداد، منتشر کرد. اکسپلویت شناساییشده از یک آسیبپذیری تغییر مسیر باز شناخته شده استفاده میکند که به عوامل تهدید اجازه میدهد URL تغییر مسیر را مشخص کنند و ترافیک را به سمت سایتهای کلاهبرداری هدایت کند که برای سرقت اطلاعات کاربر طراحی شدهاند.
اعتبار تصویر: INKY Security