愈来愈多网钓连结滥用Google开放重定向功能

安全厂商Greathorn发现，近日有愈来有多网钓攻击者利用Google Meet和Google DoubleClick的开放重定向（open redirect）功能，将用户导向恶意网站骗取帐密。

Greathorn研究团队估计，今年第1季到第2季之间，使用Google Meet和Google DoubleClick中的开放重定向功能的网钓攻击成长了84%。

开放重定向是一项功能，也可说是一项漏洞。合法网域，像是Google允许使用者输入并指定URL目的地为何，而将使用者导向任何协力网站、包括恶意网站。开放重定向功能也常被用在网钓攻击，以骗取用户的账号及密码。

DoubleClick是Google 2007年收购的老牌广告联盟技术，但从2008年就被发现重定向的安全隐忧，但是迄今尚未解决。2014年的恶意广告攻击就是利用doubleclick.net广告联盟网络所为。在开放重定向攻击中，只要参数中加入目的地URL即可；在DoubleClick中用的是参数是“adurl=”，攻击者甚至无需DoubleClick账号即可设定开放重定向。

而Google Meet则在COVID-19疫情下，成为新兴的恶意连结散布管道。拜去年的疫情所赐，远距办公及虚拟会议需求大增，Google Meet每日与会者超过1亿，但也成为犯罪者的工具。在Google Meet传送的URL使用“linkredirect?”即可发动开放重定向攻击。

根据Greathorn估计，今年1到2季之间，利用Google Meet传送的恶意连结量成长57%，而利用DoubleClick平台传送的恶意连结更大增141%。

为防止Google二项服务成为网钓攻击管道，安全厂商建议搞清楚其电子邮件安全平台是怎么分析网域权重（Domain Authority）及目的地网站，以防用户受到开放重定向攻击。同时也应设定限定自家合法网域的URL重定向。