Hacker haben eine neue Methode entdeckt, um die URL-Umschreibungsfunktionen von E-Mail-Sicherheitsdiensten auszunutzen, die ursprünglich dazu entwickelt wurden, Benutzer vor Phishing-Bedrohungen zu schützen. Diese neue Taktik hat bei Sicherheitsexperten Besorgnis ausgelöst, da sie eine Schutzmaßnahme in eine potenzielle Schwachstelle verwandelt.

URL-Umschreibung: Schutz mit Schwachstellen

Die URL-Umschreibung ist eine Sicherheitsfunktion, die von E-Mail-Sicherheitsanbietern eingesetzt wird, um Benutzer vor schädlichen Links in E-Mails zu schützen. Wenn ein Benutzer auf einen Link klickt, wird er zunächst auf den Server des Anbieters umgeleitet, wo der Link auf Bedrohungen gescannt wird. Ist der Link sicher, wird der Benutzer zum beabsichtigten Inhalt weitergeleitet, andernfalls wird der Zugriff blockiert.

Arten der URL-Umschreibung

Es gibt zwei Hauptansätze für die URL-Umschreibung:

  1. Traditionelle Sicherheitslösungen: Diese basieren auf bekannten Bedrohungen und nutzen Regeln und Signaturen, um URLs zu analysieren. Die Bewertung der Links erfolgt oft erst nachträglich, was bedeutet, dass ein Opfer möglicherweise bereits betroffen ist.
  2. Proaktive Lösungen: Diese scannen Links in Echtzeit, indem sie Technologien wie Computer Vision und maschinelles Lernen einsetzen. Im Gegensatz zu traditionellen Systemen bewerten sie das Verhalten der URL in Echtzeit.

Viele Organisationen kombinieren diese Methoden und verwenden Tools wie Secure Email Gateway (SEG) und Integrated Cloud Email Security (ICES) für einen umfassenderen Schutz.

So nutzen Angreifer die URL-Umschreibung aus

Seit Mitte Juni 2024 haben Angreifer begonnen, die URL-Umschreibungsfunktionen zu manipulieren, um Phishing-Links einzufügen. Diese Manipulation nutzt das Vertrauen der Benutzer in bekannte Sicherheitsmarken aus, was dazu führt, dass selbst die aufmerksamsten Mitarbeiter eher auf scheinbar sichere Links klicken.

Angreifer haben dabei zwei typische Vorgehensweisen:

  1. Kompromittierung von E-Mail-Konten: Diese Methode beinhaltet die Übernahme legitimer E-Mail-Konten, die durch URL-Umschreibungsfunktionen geschützt sind. Angreifer senden sich selbst eine E-Mail mit einem zunächst harmlosen Link, der später in einen Phishing-Link umgewandelt wird. Dieser Link wird dann durch den E-Mail-Sicherheitsdienst umgeschrieben und erhält so eine zusätzliche Legitimität.
  2. Ausnutzung von Whitelisting: Einige E-Mail-Sicherheitsdienste setzen spezielle Domains für die URL-Umschreibung auf die Whitelist. Dies nutzen Angreifer aus, indem sie den Zielort des umgeschriebenen Links nachträglich ändern und so die Sicherheitsprüfungen umgehen.

Beispiele für die Ausnutzung von URL-Umschreibungen

Sicherheitsforscher von Perception Point haben eine Zunahme von Phishing-Angriffen festgestellt, die URL-Schutzdienste ausnutzen. Hier sind einige Beispiele:

  • Doppel-Umschreibungs-Angriff: In einem ausgeklügelten Phishing-Angriff wurden die E-Mail-Sicherheitsdienste von Proofpoint und INKY ausgenutzt. Ein Phishing-Link, der wie eine legitime SharePoint-Dokumentbenachrichtigung aussah, wurde zweimal umgeschrieben. Nach der Lösung einer CAPTCHA-Herausforderung wurde der Benutzer auf eine gefälschte Microsoft 365-Anmeldeseite weitergeleitet.
  • Angriff über mehrfach umgeschriebene URLs: In einem weiteren Angriff wurde eine umgeschriebene URL, die durch kompromittierte Konten geschützt war, verwendet, um mehrere Organisationen zu erreichen und so eine weitreichende Phishing-Kampagne zu starten.
  • Mimecast-URL-Umschreibungs-Exploit: Perception Point verhinderte einen Phishing-Angriff, bei dem die URL-Umschreibung von Mimecast ausgenutzt wurde. Der Phishing-Link sah aufgrund der Mimecast-Domain sicher aus, leitete die Benutzer jedoch auf eine gefälschte Seite um, die auf die Diebstahl von Anmeldeinformationen abzielte.

Schutz vor diesen Angriffen

Perception Point bietet mit der „Dynamischen URL-Analyse“ eine Lösung an, die fortschrittlicher ist als herkömmliche URL-Umschreibungen. Diese Methode durchsucht neue oder unbekannte URLs aktiv und analysiert deren Verhalten, bevor die E-Mail zugestellt wird.

Wichtige Merkmale der Dynamischen URL-Analyse:

  • Proaktive Erkennung: Scannt und bewertet URLs in Echtzeit, um Angriffe zu verhindern, bevor sie den Posteingang erreichen.
  • Erweiterte Anti-Umgehung: Ausgestattet, um Umgehungstaktiken wie CAPTCHA und Geofencing zu durchbrechen.
  • Post-Delivery- und Metaanalyse: Nutzt Big Data, um Links nach der Zustellung autonom neu zu scannen und zu bewerten.
  • Erweiterte Browsersicherheit: Scannt URLs bei Klicks und stellt sicher, dass bösartige Aktivitäten in Echtzeit erkannt werden.

Die Ausnutzung von URL-Umschreibungen durch Hacker verdeutlicht die Notwendigkeit kontinuierlicher Innovation in der E-Mail-Sicherheit. Da Angreifer immer ausgeklügelter werden, müssen Sicherheitslösungen sich weiterentwickeln, um diesen Bedrohungen entgegenzuwirken.

Organisationen werden dringend aufgefordert, fortschrittliche Erkennungsmethoden wie die Dynamische URL-Analyse zu implementieren, um sich gegen diese neuen Phishing-Taktiken zu schützen.