Websense ha svelto una campagna che reindirizzava gli utenti del sito msnbc.com verso portali fasulli. Questo non è l’unico caso però…

Websense ha recentemente rilevato una campagna di spam/frode che coinvolge il sito msnbc.com, portale appartenente al canale via cavo e satellitare MSNBC. L’utente che prova a collegarsi viene reindirizzato da un sito di notizie reale ad uno fasullo. Sembra che i cyber criminali abbiano ottenuto l’accesso alla chiave API Blitly (Bitly è un servizio per l’abbreviazione degli URL in un formato più semplice), disponibile pubblicamente, ed è stato sfruttato per creare abbreviazioni di URL personalizzate. I Websense Security Labs hanno tracciato siti malevoli di questo tipo sin dal 2012, ma questa è stata la prima volta in cui è stata osservata una tecnica di reindirizzazione di questo tipo.

Questo incidente dimostra la bravura dei criminali informatici nello sfruttare la fiducia che gli utenti ripongono nelle agenzie e siti Web di informazione. La maggior parte degli utenti non sospetta che l’abbreviazione dell’URL di un brand conosciuto, come MSNBC, possa essere utilizzato dai criminali informatici per scopi malevoli. Un semplice cambio di strategia e i criminali possono infettare gli utenti con malware efficaci, basandosi sulla fiducia generata da MSNBC tra i propri lettori”, ha dichiarato Carl Leonard, senior manager, security research, Websense.

Di seguito il sito di informazione fasullo a cui l’utente è indirizzato, ospitato su un host che sembra legittimo di hxxp://fcxnws.com/:

Finora, i Websense Security Labs hanno identificato che lo spam è stato diffuso attraverso i gruppi di Google e Yahoo ed email.

Websense Security Labs ha identificato altri siti che permettono di visualizzare la chiave API Bitly. Esporre la chiave API Bitly è un rischio se avete un dominio breve, dal momento che consente a tutti di generare URL abbreviati che rimandano ovunque. Questo può far sembrare che la vostra attività sia quella di reindirizzare a malware/ phishing/ frodi, ecc. Fortunatamente, non può essere fatto molto di più con una chiave API, dal momento che tutte le funzioni relative all’account o all’editing dei link sono accessibili solo dopo aver effettuato un login OAuth.

Tutte le richieste ad API Bitly dovrebbero essere fatte sul back-end del sito, sul lato serve. Questo significa che la chiave API non sarà mai visibile a utenti pubblici sul front-end e che la vostra chiave API sarà al sicuro.