駭客利用美國運通、Snapchat網域開放重導向漏洞，發送騙取M365憑證的信件

安全廠商發現，駭客利用美國運通（American Express）及Snapchat網域的開放重導向（open redirect）漏洞，發送以騙取用戶帳密為目的的釣魚信件。

重導向（redirect）是將用戶從其目的地網站導引到另一網站。最主要用途是利用廣告將網路用戶導向廣告主的網站以誘使其購物。重導向作法中的開放重導引，則是某一網站允許任何人都能指定任意URL為重導向的目的地，就可能成為歹徒的犯罪工具。

今年5月到7月，Inky Security偵測到攻擊者利用知名品牌公司，包括美國運通和Snapchat網站上的開放重導向漏洞寄送數千封釣魚信件，將用戶導向竊取用戶帳密及憑證資訊的惡意網站。

這些網域的開放重導向漏洞未能驗證用戶輸入指令，致攻擊者可修改網域URL，而將用戶流量導向第三方惡意網站。

安全研究人員分別偵測到，Snapchat網站發出的近7,000封釣魚信件，將用戶導向假的DocuSign、FedEx及微軟網頁，而美國運通網域發送的2,000多封釣魚信件，則皆導向釣魚微軟網頁。兩波攻擊都是透過以假亂真的釣魚頁面，騙取用戶的Microsoft 365帳密。

圖片來源／Inky Security

在這兩波攻擊中，駭客在變造的URL插入可辨識個資（personally identifiable information，PII），使惡意登陸頁（landing pages）可依不同人隨時變化。此外，攻擊者都使用Base 64編碼器將插入的PII轉為隨機符號，大部分用戶往往無法辨識。

Snapchat的漏洞去年8月初就有人通報過，但Snapchat一直未修補直到安全廠商的通知，致其發送的釣魚信件數量奇高。美國運通則是在釣魚信件發出後很快就修補，現在點入惡意信件的連結，就會導向正牌American Express的錯誤頁。

為防範此類郵件攻擊，研究人員提醒用戶要小心URL中的「url=」、「redirect=」、「external-link」或「proxy」，另一個特徵是，這些郵件URL會多次使用「http」。

至於網站管理員，研究人員建議儘量不要實作重導向，若是一定要實作的話，也應實作核准的安全連線清單（即白名單）以防被駭客上下其手。