Kerentanan open redirect terjadi saat penyerang membuat URL di dalam aplikasi yang memicu pengalihan ke domain eksternal arbitrer (sewenang-wenang), seperti situs phishing. Teknik open redirect sering ditampilkan dalam email phishing, tetapi serangkaian serangan baru telah menyempurnakan pendekatan tersebut dengan menyalahgunakan domain yang sah seperti citi[.]com dan melakukan banyak lompatan dalam proses pengalihan. Beberapa tipe phishing yang dilakukan dijelaskan sebagai berikut
1. Pemalsuan Halaman Login
Silent Push salah satu penyedia Cyber Threat Intelligence (CTI) telah melacak berbagai kampanye phishing yang memalsukan halaman login Microsoft Office 365 (M365) sebagai halaman phishing terakhir untuk menargetkan pengguna perusahaan. Pelaku ancaman menyamar sebagai Microsoft dan menggunakan gambarnya untuk memberikan notifikasi melalui email, untuk memikat pengguna agar mengklik hyperlink yang disematkan dalam file gambar.
Dapat diamati bahwa penyerang sering kali menggunakan situs web yang sah untuk mengalihkan ke 'cushion servers' perantara yang dikendalikan oleh pelaku ancaman, yang mengarah ke URL phishing final dengan login Microsoft palsu.
Dalam salah satu kasus yang diselidiki, email phishing menggunakan iming-iming Undelivered Mails' yang mendorong pengguna untuk mengklik "Release My Messages", yang memicu serangkaian pengalihan HTTP dan Javascript:
Infrastruktur Penyerang
Untuk menghindari solusi keamanan, pelaku ancaman menggunakan domain yang sah sebagai pengaturan pengalihan awal. Dalam hal ini, URL pertama menggunakan subdomain dari domain Fortune 500 yang sah untuk menggunakan pengalihan 302 ke URL perantara yang dihosting di frudyj.codesandbox[.]io:
Dari informasi pengayaan yang disimpan di aplikasi didapatkan detail berikut tentang IP:
ASN: ASN-CHEETA-MAIL, AS
Header Server: BigIP
Dari header server HTTP dan cookie, kita dapat melihat bahwa layanan BIG-IP sedang digunakan.