Pengguna Snapchat dan American Express mengalami kesulitan

Cacat pengalihan terbuka yang dieksploitasi untuk tujuan phishing

Email yang digunakan untuk mengirimkan tautan berbahaya yang mengeksploitasi kelemahan domain

Para peneliti telah menemukan bahwa penyerang mengeksploitasi cacat pengalihan terbuka[1] untuk mencuri kredensial orang dan informasi pengenal pribadi[2] menggunakan domain American Express dan Snapchat. Penjahat dunia maya menyamar sebagai beberapa perusahaan terkenal, termasuk Microsoft, dan FedEx.

Cacat pengalihan terbuka memungkinkan pelaku ancaman untuk memanipulasi URL domain yang sah untuk mengarahkan pengguna ke situs berbahaya. Kerentanan ini dikenal sebagai CWE-601: URL Redirection to Untrusted Site (‘Open Redirect’).[3] Para peneliti mengamati kampanye jahat selama dua bulan dan mendeteksi berapa banyak email yang digunakan kerentanan.

snapchatnya[.]com open redirect cacat ditemukan di 6.812 email phishing[4] yang dikirim dari berbagai akun yang dibajak. American Express[.]Kerentanan pengalihan terbuka com terdeteksi di 2.029 email phishing yang berasal dari domain yang baru dibuat.

Perkembangan serangan

Pada awalnya, kedua kampanye dimulai dengan metode rekayasa sosial yang biasa[5] di mana penjahat akan mencoba mengelabui pengguna agar mengklik tautan berbahaya atau membuka lampiran yang terinfeksi. Mereka juga menggunakan eksploitasi di mana penyerang memasukkan informasi identitas pribadi sehingga halaman arahan berbahaya akan disesuaikan untuk pengguna individu.

Korban akan berpikir bahwa mereka sedang diarahkan ke situs yang aman. Namun, mereka akan berakhir di halaman berbahaya yang mencuri kredensial mereka atau menginfeksi mereka dengan malware. Dalam email phishing Snapchat, penjahat meniru DocuSign, FedEx, dan Microsoft. Semua email yang disertakan memiliki pengalihan terbuka Snapchat yang mengarah ke situs pengumpulan kredensial Microsoft.

Kerentanan domain Snapchat belum ditambal pada saat kampanye. Cacat pengalihan terbuka American Express juga belum ditambal. Namun, segera setelah kampanye jahat dimulai, American Express menambal kerentanan. Jika pengguna mengklik tautan berbahaya di email phishing sekarang, mereka akan dibawa ke halaman kesalahan American Express yang sebenarnya.

Pengguna harus lebih waspada terhadap taktik jahat

Kerentanan domain jarang dianggap serius oleh pemilik situs web hanya karena mereka tidak mengizinkan penyerang mencuri data dari situs itu sendiri. Satu-satunya hal yang mungkin mereka lakukan adalah merusak reputasi situs web. Solusi sederhana adalah menerapkan daftar tautan aman yang disetujui untuk menghentikan penyalahgunaan pengalihan terbuka.

Korban sebenarnya dari serangan ini adalah pengguna biasa. Data pribadi, detail login, dan bahkan uang mereka dapat dicuri. Itulah mengapa setiap orang harus mengambil langkah-langkah untuk melindungi privasi dan keamanan mereka sendiri. Menurut pakar keamanan, orang harus menjauhi URL yang menyertakan:

  • url=
  • pengalihan=
  • tautan eksternal
  • proxy

String ini menunjukkan bahwa domain tepercaya mungkin mengalihkan ke situs lain. Mereka yang menerima email dengan tautan juga harus memeriksa apakah mereka menyertakan “http” di URL, yang merupakan indikasi potensial lain dari pengalihan. Selain itu, tautan yang dimulai dengan “http” menunjukkan bahwa situs web tidak menggunakan enkripsi ujung ke ujung. Artinya, setiap informasi yang masuk ke halaman tersebut dapat diakses oleh pelaku ancaman.

Spyware dan Virus