垃圾郵件活動幕后那些詭計多端的網絡罪犯們利用內容管理系統上的某個脆弱組件，通過濫用短鏈接來偽造.gov后綴站點的URL，該鏈接本是用于驗證重定向到美國政府web站點鏈接是否真實。

此次活動的傳播速度很快，在5天內超過16000名的受害者被重定向到某個惡意web站點。該站點看起來像CNBC新聞文章，導致了好幾起騙局。根據隸屬Dell的安全公司SecureWorks收集的數據來看，釣魚者們已經濫用了好幾個美國政府域名，包括Vermont.gov、Iowa.gov、Indiana.gov、ca.gov、Guam.gov和Vermont.gov，這些域名好像是本月為止被濫用次數最多的網站。

電子垃圾郵件一直是散布此類短鏈接的主要方法，SecureWorks公司反威脅部門的Jeff Jarmoc寫到。“盡管看起來這些攻擊者沒有專門以.gov站點為目標，也沒有利用政府網站作為誘餌。但是他們能夠生成.gov短鏈接，導致用戶訪問惡意域名的問題還是令人擔心”，Jarmoc在星期三發布的一篇關于釣魚式騙局的建議中寫到。“如果是與政府有關的消息、例如偽造成通常報稅季度的釣魚郵件，這些垃圾郵件甚至可能會誘惑聰明的用戶點擊鏈接”。

據SecureWorks公司表示， 在此次持續進行的垃圾郵件活動中許多此類鏈接濫用1.usa.gov短URL。該 1.usa.gov短URL服務由美國政府運作，與bitly.com域名是合作伙伴關系。該網站是讓用戶提交一個位于.gov或是.mil頂級域名上的長URL給bitly網站。該服務的目標是使驗證美國政府站點短URL的真實性更加容易。

“盡管出發點是好的，但是1.usa.gov短鏈接似乎無法保證這些URL最終地址是值得信任的政府web站點”，Jarmoc寫到。Dell公司追蹤此次攻擊中惡意服務器使用的IP地址是位于莫斯科的主機托管服務商InMotion Hosting 有限公司，它的總部在洛杉磯。

釣魚者利用公開的重定向缺陷

這些網絡罪犯們尋找使用DotNetNukes脆弱版本的LinkClick.aspx頁面的服務器，該軟件用于讓web站點開發人員可以配置一整套自定義重定向規則。“利用在這個.aspx文件中的開放重定向漏洞，攻擊者能夠將流量定向到處于其控制之下的非.gov站點，而在初始信息中只顯示一個1.usa.gov短鏈接”，Jarmoc寫到。開放重定向漏洞是web應用中常見的編碼錯誤，它通過逃避防護機制簡化釣魚攻擊。攻擊者們能夠搭建偽造的頁面，更容易地欺騙人們交出賬戶憑證、或是用惡意軟件感染他們的系統。