Gli esperti dei Websense Security Labs hanno rilevato una campagna di spam/frode in cui l'utente viene reindirizzato da un sito di notizie reale a uno fasullo. In questo caso il sito reale è msnbc.com, che appartiene al canale via cavo e satellitare MSNBC.
Sembra che i cyber criminali abbiano usato l'accesso alla chiave API Blitly, disponibile pubblicamente, per creare "shortcut" (abbreviazioni di URL) personalizzate, ancorché non convalidate sono però attive. Un tipo di attacco in voga dal 2012, ma mai con questa tecnica.
Carl Leonard, senior manager security research di Websense, sottolinea come tale incidente dimostra la furbizia dei cybercriminali che sfruttano la fiducia che gli utenti soprattutto nei siti Web di informazione. Quello che appare come un minisito legittimo o un link a un sito federato non si sospetta "possa essere utilizzato per scopi malevoli".
Nel caso specifico si trovano quattro fasi di reindirizzazione per passare dal sito reale a quello fasullo. Ma la strategia impiegata è più sofisticata, perché si usano anche vecchi trucchi, sempre validi, giocando sulla distrazione e sul fatto che nessuno legge con attenzione una Url. A ciò si aggiunge la massiccia diffusione dei link attraverso gruppi di Google e Yahoo ed email di spam.
Il sito di informazione che sembra legittimo: ma leggete bene l'URL fcxnws.com/
Come ci spiegano da Websense, Bitly è un servizio per l'abbreviazione degli URL in un formato più semplice. Le abbreviazioni degli URL sono molto comode e possono essere scambiate più facilmente, migliorando l'aspetto del messaggio. Le aziende possono creare i propri "domini brevi" e cambiare le impostazioni DNS ai server di Bitly.
Ogni cliente Bitly ha la propria chiave API che può usare per generare URL brevi da quelli completi. Se la chiave API fa riferimento a un account che ha impostato il proprio dominio breve, il dominio abbreviato personalizzato verrà utilizzato durante la creazioni di URL abbreviati.
Per esempio, se una chiave API fa riferimento a un account Bitly di MSNBC, poi un URL abbreviato che sfrutta hxxp://on.msnbc.com/ sarà utilizzato al posto di hxxp://bit.ly/. In questo caso la chiave API Bitly era disponibile pubblicamente ed è stata sfruttata dagli spammer per reindirizzare da hxxp://on.msnbc.com/ attraverso la catena di reindirizzazione.
Per ottenere le statistiche per un URL Bitly può essere aggiunto alla fine il carattere '+'. Per esempio il link hxxp://on.msnbc.com/wMhlW diventa hxxp://on.msnbc.com/wMhlWc+. Questo rivela alcune informazioni interessanti: in questo caso, lo spam è stato consegnato 2054 volte in base al conto dei click.
La catena completa di reindirizzazione funziona in questo modo:
hxxp://on.msnbc.com/wMhlWc -->> utilizzando Bitly -->> hxxp://prolower.com/?630062283 -->> hxxp://fcxnws.com/
Un esempio di post sui gruppi di Google
Più vettori di abuso correlati a MSNBC
Durante l'analisi, gli esperti di Websense hanno osservato un'altra falla con un impatto simile. La pagina di logout:
"hxxps://secure.nbcnews.com/_tps/accounts/logout?redirect=http://www.google.com"
a una falla di reindirizzazione non valida che può essere usata per reindirizzare ovunque un utente su Internet.
In questo caso è il motore di ricerca Google, ma potrebbe essere un sito malevolo. Bitly usa il dominio nbcnews.to quando abbrevia gli URL da MSNBC. Per esempio la pagina di logout non valida, riportata sopra, potrebbe essere abbreviata da bitly come segue: hxxp://nbcnews.to/1rvqfxX
Questo significa che l'utente vedrà un URL abbreviato valido da Bitly che appartiene a NBC News e reindirizza a un dominio NBC News valido. Tuttavia il passo successivo è un'altra reinidirizzazione che può rimandare ovunque. Questo metodo può ingannare gli utenti, facendogli credere che si tratti dell'URL valido di NBC e creando un doppio livello di confusione sia per la vittima sia per i filtri di sicurezza.