Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ściągasz aktualizację z Adobe, a nie, ściągasz backdoora! Zobaczcie na tego niewinnego URL-a używanego w aktywnych atakach phishingowych
Ciekawy wątek na Reddicie, dotyczący URL-a z koszmarów:
Tu w zasadzie nie ma żadnej „podpuchy”. Link jest w prawidłowej domenie adobe.com, która zawiera jednak podatność Open Redirect. Kliknijcie np. tutaj: https://t-info.mail.adobe.com/r/?id=hc43f43t4a,afd67070,affc7349&p1=sekurak.pl
Oj. Jesteście nie na serwerze Adobe, ale na sekuraku! Wcześniejszy link zawiera aż trzy przekierowania – jedno ze strony Adobe do innej domeny .accor-mail.com (należącej do znanej sieci hoteli), tam jest kolejny open redirect, do serwera atakujących, który robi finalne przekierowanie. Link jest wykorzystywany w aktywnych kampaniach phishingowych i jak widać, dokładne sprawdzanie domeny może nie być w pewnych przypadkach skuteczne. Jak też widać przed atakiem nie chroni https, ani nawet zielona czy jakakolwiek inna „kłódka”, ani 256 bitowy AES…
–ms
Ponieważ jest to dość ciekawe długo patrzyłem się w linka i zauważyłem pewna zbieżność z linkiem przekierowania googla.
Porównując oba linki zgaduje ze w tym linku „r” miało sugerować „redirect” , ale mógł być to tez tylko przypadek :D