idNSA.id - Penyerang menyalahgunakan pengalihan terbuka di
situs web Snapchat dan American Express sebagai bagian dari kampanye phishing
yang menargetkan pengguna Microsoft 365.
Istilah Open redirect URL, Open Redirect mengacu pada masalah
keamanan yang memudahkan penyerang untuk mengarahkan pengguna ke sumber daya
berbahaya di bawah kendali penyerang.
Open Redirect terjadi ketika situs web gagal memvalidasi
input pengguna, memungkinkan penyerang memanipulasi URL domain reputasi tinggi
untuk mengalihkan korban ke situs berbahaya. Korban akan mempercayai link
tersebut karena nama domain pertama dalam link yang dimanipulasi adalah domain
terpercaya seperti American Express dan Snapchat.
"Domain tepercaya (misalnya, American Express, Snapchat)
bertindak sebagai halaman arahan sementara sebelum peselancar dialihkan ke
situs berbahaya." membaca posting yang diterbitkan oleh Inky.
“Contoh berikut menunjukkan tautan Open Redirect. Seorang
peselancar melihat tautan menuju situs yang aman (safe.com) tetapi mungkin
tidak menyadari bahwa domain ini akan mengarahkan mereka ke situs jahat
(malicious.com), yang dapat mengumpulkan kredensial atau mendistribusikan
malware.
http://safe.com/redirect?url=http://malicious.com “
Selama dua bulan, peneliti INKY mengamati serangan phishing
yang memanfaatkan Open Redirect snapchat[.]com. Para penyerang mengirim 6.812
email phishing yang berasal dari berbagai akun yang dibajak. Di bawah ini
adalah tautan Snapchat yang dimanipulasi untuk mengarahkan ulang ke situs yang
salah:
https://click.snapchat[.]com/aVHG?=http://29781.google.com&af_web_dp=http://qx.oyhob.acrssd[.]org.#bHR0cHME6Ly9zdG9yYWdlYXBpLmZsZWVrLmNvLzI0MjY4ZTMyLTE2MEmQtNDUxYi1hNTc4LWZhNzg0OTdiZjM4NC1idWWNrZXQvbYZmaWNlMzb
Pesan phishing yang mengeksploitasi Open Redirect Snapchat
meniru DocuSign, FedEx, dan Microsoft dan mengarah ke situs pendaratan yang
dirancang untuk memanen kredensial Microsoft.
Para ahli melaporkan kerentanan Snapchat kepada perusahaan
melalui platform Open Bug Bounty pada 4 Agustus 2021, tetapi masalah ini belum
ditangani. Tidak seperti Snapchat, American Express dengan cepat memperbaiki
masalah yang dieksploitasi pada akhir Juli.
“Saat memeriksa tautan, peselancar harus memperhatikan URL
yang menyertakan, misalnya, “url=”, “redirect=”, “external-link”, atau “proxy”.
String ini mungkin menunjukkan bahwa domain tepercaya dapat mengalihkan ke
situs lain.” menyimpulkan laporan. “Penerima email dengan tautan juga harus
memeriksanya untuk beberapa kemunculan “http” di URL, indikasi potensial
pengalihan lainnya. Pemilik domain dapat mencegah penyalahgunaan ini dengan
menghindari penerapan pengalihan dalam arsitektur situs.”
Jika pengalihan diperlukan untuk alasan komersial, pemilik
domain harus memberikan pengalihan eksternal kepada pengguna yang memerlukan
klik pengguna sebelum mengalihkan ke situs eksternal.
