Spammers misbruiken .gov URL-verkortingsservice bij thuis-op-huis-scams

Spammers hebben een manier gevonden om een ​​URL-shortener-service te misbruiken die bestemd is voor social media-activiteiten van de Amerikaanse overheid om rogge.gov URL's voor thuiswerkzwendel.

Beveiligingsonderzoekers van Symantec hebben een nieuwe e-mailspam-campagne ontdekt die gebruikers tracht te misleiden tot het bezoeken van URL's met de 1.usa.gov-domeinnaam. Dit domein is gemaakt als het resultaat van een partnerschap tussen de VS.gov, het officiële webportaal van de Amerikaanse overheid en de Bitly URL-verkortingsservice.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Volgens op een how-to-pagina op USA.gov, wanneer iemand Bitly.com gebruikt om URL's in te korten die eindigen op.gov of.mil, genereert de service een korte URL onder het domein 1.usa.gov.

"Een korte URL URL zou een gebruiker naar een betrouwbare site of een spamsite kunnen brengen, maar een gebruiker zou dit niet weten voordat hij of zij klikt. Daarom heeft USA.gov het voor mensen eenvoudig gemaakt om korte, betrouwbare.gov-URL's te maken die alleen verwijzen naar officiële Amerikaanse overheidsinformatie, "legt de webpagina uit.

Het lijkt er echter op dat spammers een manier hebben gevonden om misbruik te maken de service en het inherente vertrouwen dat is gekoppeld aan.gov-URL's door gebruik te maken van open omleidingsscripts op sommige.gov-websites.

Redirect-scripts worden door website-eigenaren gebruikt om klikken naar URL's van derden op hun websites bij te houden, om waarschuwingen weer te geven voor gebruikers dat ze de website verlaten of voor andere doeleinden. Deze scripts blijven echter vaak onbeschermd en staan ​​open voor elke bestemming, wat leidt tot zogenaamde open redirect-kwetsbaarheden.

"Door een open-redirect-kwetsbaarheid te gebruiken, konden spammers een 1.usa.gov-URL instellen die leidt tot een spamwebsite, "zei Symantec-onderzoeker Eric Park vrijdag in een blogpost. In het bijzonder gebruikten de spammers een open redirect-script van de Department of Labor-website van de staat Vermont. Vermont.gov, zei hij.

Ten eerste creëerden de spammers achter deze campagne zwendelwebsites die zich voordoen als financiële nieuwssites die artikelen bevatten over werk-en-huis mogelijkheden. Dit type zwendel bestaat al jaren en het doel is gebruikers te overtuigen om te betalen voor starterkits of serviceabonnementen die hen zouden toestaan ​​geld te verdienen op het internet door vanaf hun thuiscomputer te werken.

De zwendelwebsites die worden gebruikt in deze campagne werden gehost op domeinen zoals consumeroption.net, consumerbiz.net, workforprofit.net, consumerneeds.net, consumerbailout.net en anderen.

De spammers misbruikten de open omleidingskwetsbaarheid op de website labor.vermont.gov om te creëren URL's van het formulier labor.vermont.gov/LinkClick.aspx?link=[scam-website]. Deze URL's zijn vervolgens Bitly doorgegeven om 1.usa.gov korte URL's te genereren, waardoor een tweestaps-omleidingsketen wordt gemaakt.

"Hoewel gebruik te maken van URL-verkorters of een open-omleiding is de kwetsbaarheid geen nieuwe tactiek, het feit dat spammers een.gov-service kunnen gebruiken om hun eigen links te maken, is zorgelijk, "zei Park.

Openbare statistieken van Bitly voor de rogue 1.usa.gov URL's die in deze spam-campagne zijn gebruikt, hebben aangetoond dat de links 43.049 keer is geklikt tussen 12 oktober en 18 oktober, met een aanzienlijke toename van het klikvolume op 18 oktober.

"De top vier van landen op dagelijkse basis waren de Verenigde Staten, Canada, Australië en Groot-Brittannië, "Park zei. "In totaal vormden de Verenigde Staten het grootste segment met 61,7 procent van de klikken."

Gov-URL's kunnen een groter vertrouwen wekken. Gebruikers moeten echter altijd voorzichtig zijn bij het openen van links, ongeacht waar ze naar verwijzen, zei Park.