• 發布單位:TWCERT/CC
• 更新日期:2023-01-11
• 點閱次數:6586

資安廠商 Pen Test Partners 日前發現有駭侵者濫用公開轉址（open redirect）手法，將英國環境、食品暨鄉村事務部（Department for Environment, Food and Rural Affairs, DEFRA）網域旗下的某個網頁，惡意導向到一系列詐騙的 OnlyFans 約會網頁，誘使用戶註冊訂閱並竊取個人資訊。

OnlyFans 是一個訂閱制網站，付費訂戶可以看到訂閱主放置的訂戶專屬私密照片、影片等內容，由於隱私性強，吸引許多成人內容提供者在平台上提供付費訂閱；也因此成為許多駭侵者用以假冒的對象，以吸引受害者上鉤。

在這個案例中，駭侵者利用一個公開轉址設定，將造訪 DEFRA 的訪客以該工具進行一系列轉址，最後轉到假冒的 OnlyFans 網站；該網站再利用一系列的約會相關問題，來進一步誘騙受害者。

值得一提的是，這個詐騙公開轉向設定，甚至也影響到 Google 搜尋內容；用戶如果搜尋該局相關業務內容，在 Google 搜尋結果頁面中點按的話，就會被導向到駭侵者設立的詐騙網頁。

由於公開轉址可由任何人設定，只要在某網站的 URL 中加上重新導向的指令，就可以將訪客導向到任何網頁，因此近年來常被駭侵者用來作為假冒正當網站的手法，將用戶導向到惡意網站，特別是釣魚網站。

包括美國政府網站、美國社群服務 Snapchat，以及美國運通卡官網，都曾遭到駭侵者以 open redirect  手法，將用戶導向到釣魚頁面。

建議用戶在點按連結後需特別提高警覺，仔細觀察瀏覽器是否出現多次重新導向動作，最後連上的網站，其網域名稱是否異常。如被導向到惡意網站，應立即退出，勿留下任何資訊或點按連結。