Diebstahl von Microsoft 365-Logins:
Angreifer nutzen Link-Wrapping
Cyberkriminelle sind mit einer neuen, raffinierten Methode aufgefallen, um an Microsoft-365-Zugangsdaten zu gelangen: Sie missbrauchten Sicherheitsfunktionen, um schädliche Links zu tarnen - und damit selbst gut geschützte E-Mail-Systeme zu unterlaufen.
Die täuschenden Nachrichten trugen Betreffzeilen wie "Neue Voicemail", "Sicheres Dokument zum Abruf" oder "Neue Nachricht in Microsoft Teams". Besonders perfide: In manchen Fällen wurde vorgegeben, es handele sich um eine sichere "Zix"-Nachricht, das ist wiederum ein bekanntes Verschlüsselungssystem für vertrauliche Kommunikation.
Für IT-Administratoren und Sicherheitsverantwortliche ist das ein klares Alarmsignal: Wer sich bislang auf die automatische Erkennung bösartiger Links verlassen hat, muss umdenken. Besonders dann, wenn schadhafte Inhalte über vertrauenswürdige Domains hereinkommen - mit vermeintlicher Freigabe durch die eigene Sicherheitslösung.
Wie gut sind wir wirklich geschützt, wenn Schutzfunktionen selbst zum Risiko werden?
Siehe auch:
Nachtrag 5. August: Wir haben dazu eine ausführliche Stellungnahme von Proofpoint erhalten, die ihr am Ende dieses Artikels findet.
Phishing mit Schutzschild
Entdeckt wurde die Methode von Cloudflares E-Mail-Security-Team. Demnach nutzten die Angreifer bereits kompromittierte E-Mail-Konten, um über sogenannte Link-Wrapping-Dienste vertrauenswürdige URL-Hüllen um ihre bösartigen Weiterleitungen zu legen. Eingehende Links werden von diesen Diensten auf sichere Domains umgeschrieben und automatisch gescannt - ein Feature, das hier zum Einfallstor wurde.Missbrauch etablierter Schutzmechanismen
Konkret beobachteten die Sicherheitsforscher eine Kombination aus URL-Verkürzung, legitimer Link-Wrapping-Technologie und gestohlenen Zugängen. Die Angreifer verkürzten ihre Links zunächst mit gängigen URL-Shortenern, versendeten sie dann über kompromittierte Konten, die über Proofpoint oder Intermedia abgesichert waren - woraufhin die Links automatisch mit einer vertrauenswürdigen Domain versehen wurden.Täuschend echte Tarnung
E-Mails mit scheinbar harmlosen URLs, die von Sicherheitslösungen nicht blockiert wurden und Empfängern keinen Verdacht weckten. Hinter den Links verbargen sich allerdings Phishing-Seiten, die Microsoft-365-Anmeldeseiten täuschend echt imitierten.Die täuschenden Nachrichten trugen Betreffzeilen wie "Neue Voicemail", "Sicheres Dokument zum Abruf" oder "Neue Nachricht in Microsoft Teams". Besonders perfide: In manchen Fällen wurde vorgegeben, es handele sich um eine sichere "Zix"-Nachricht, das ist wiederum ein bekanntes Verschlüsselungssystem für vertrauliche Kommunikation.
Link-Wrapping wird von Anbietern wie Proofpoint zum Schutz von Nutzern eingesetzt. Dabei werden alle angeklickten URL über einen Scandienst geleitet, sodass bekannte bösartige Ziele zum Zeitpunkt des Klicks blockiert werden können.Ein Klick auf die scheinbar legitime Schaltfläche "Antworten" führte letztlich auf eine gefälschte Log-in-Seite, die dazu diente, die Zugangsdaten der Nutzer abzugreifen. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben
Ein neues Kapitel im Phishing-Arsenal
Die Technik des Missbrauchs legitimer Dienste ist nicht neu - viele Angreifer nutzen seit Jahren Cloud-Dienste wie Google Drive oder Dropbox als Tarnung. Neu ist jedoch die gezielte Ausnutzung von Link-Wrapping-Funktionen - also ausgerechnet jener Schutzmechanismen, die eigentlich vor solchen Angriffen schützen sollen.Für IT-Administratoren und Sicherheitsverantwortliche ist das ein klares Alarmsignal: Wer sich bislang auf die automatische Erkennung bösartiger Links verlassen hat, muss umdenken. Besonders dann, wenn schadhafte Inhalte über vertrauenswürdige Domains hereinkommen - mit vermeintlicher Freigabe durch die eigene Sicherheitslösung.
Nachtrag 5. August. Uns hat eine Stellungnahme von Proofpoint erreicht, die das Problem noch einmal gut beleuchtet und erklärt, wie das Unternehmen darauf reagiert hat. Da heißt es:
Proofpoint ist bekannt, dass Angreifer die URL-Weiterleitungen und den URL-Schutz des Unternehmens derzeit in Phishing-Kampagnen missbrauchen. Dieses Vorgehen hat Proofpoint bei verschiedenen Sicherheitsdienstleistern beobachtet, die E-Mail-Schutz bzw. URL-Rewrites anbieten.
In diesen Kampagnen missbrauchen Angreifer entweder eine offene Weiterleitung, um auf eine umgeschriebene URL zu verlinken, oder kompromittieren ein E-Mail-Konto, das über eine Form von E-Mail-Schutz verfügt. Anschließend senden sie eine E-Mail mit einem Phishing-Link an das kompromittierte Konto. Der Sicherheitsdienstleister schreibt die URL um und der Angreifer stellt sicher, dass der Link nicht blockiert wird. Danach fügt der Angreifer die umgeschriebene URL in verschiedene Weiterleitungsketten ein. Proofpoint hat beobachtet, dass Angreifer diese Technik einsetzen und URLs mehrerer Sicherheitsanbieter - darunter Sophos und Cisco - missbrauchen.
Proofpoint erkennt diese Kampagnen mithilfe seiner KI-basierten Erkennungs-Engine, die Verhaltensanalysen nutzt, und sortiert die Nachrichten aus. Außerdem blockiert das Unternehmen die endgültige URL am Ende der Weiterleitungskette, um eine Ausnutzung zu verhindern.
Wenn Angreifer eine umgeschriebene URL eines Sicherheitsdienstes verwenden (einschließlich Proofpoint), wird die gesamte Angriffskette für jeden Empfänger der Kampagne blockiert, sobald der Sicherheitsdienst die endgültige URL blockiert. Dies gilt unabhängig davon, ob der Empfänger Kunde dieses Sicherheitsdienstes ist oder nicht.
Proofpoint ist bekannt, dass Angreifer die URL-Weiterleitungen und den URL-Schutz des Unternehmens derzeit in Phishing-Kampagnen missbrauchen. Dieses Vorgehen hat Proofpoint bei verschiedenen Sicherheitsdienstleistern beobachtet, die E-Mail-Schutz bzw. URL-Rewrites anbieten.
In diesen Kampagnen missbrauchen Angreifer entweder eine offene Weiterleitung, um auf eine umgeschriebene URL zu verlinken, oder kompromittieren ein E-Mail-Konto, das über eine Form von E-Mail-Schutz verfügt. Anschließend senden sie eine E-Mail mit einem Phishing-Link an das kompromittierte Konto. Der Sicherheitsdienstleister schreibt die URL um und der Angreifer stellt sicher, dass der Link nicht blockiert wird. Danach fügt der Angreifer die umgeschriebene URL in verschiedene Weiterleitungsketten ein. Proofpoint hat beobachtet, dass Angreifer diese Technik einsetzen und URLs mehrerer Sicherheitsanbieter - darunter Sophos und Cisco - missbrauchen.
Proofpoint erkennt diese Kampagnen mithilfe seiner KI-basierten Erkennungs-Engine, die Verhaltensanalysen nutzt, und sortiert die Nachrichten aus. Außerdem blockiert das Unternehmen die endgültige URL am Ende der Weiterleitungskette, um eine Ausnutzung zu verhindern.
Wenn Angreifer eine umgeschriebene URL eines Sicherheitsdienstes verwenden (einschließlich Proofpoint), wird die gesamte Angriffskette für jeden Empfänger der Kampagne blockiert, sobald der Sicherheitsdienst die endgültige URL blockiert. Dies gilt unabhängig davon, ob der Empfänger Kunde dieses Sicherheitsdienstes ist oder nicht.
Wie gut sind wir wirklich geschützt, wenn Schutzfunktionen selbst zum Risiko werden?
Zusammenfassung
- Cyberkriminelle tarnen schädliche Links durch Link-Wrapping-Dienste
- Angreifer missbrauchen vertrauenswürdige Domains und URL-Shortener
- Kompromittierte E-Mail-Konten versenden getarnte Phishing-Links
- Gefälschte Microsoft-365-Anmeldeseiten dienen zum Datendiebstahl
- Sicherheitsmechanismen werden selbst zum Einfallstor für Angreifer
- Traditionelle Schutzsysteme können diese raffinierte Angriffsmethode kaum erkennen
Siehe auch:
Thema:
Videos zum Thema
-
NiPoGi E3B: Mini-PC mit ungewöhnlichem Prozessor für Office & Co.
-
Soayan MN-N5: Billiger Mini-PC für Office und Web im Test
-
Blackview MP60: Günstiger Mini-PC für Office & Co. im Test
-
Beelink EQR6: Mini-PC mit viel Power für die Office-Nutzung im Test
-
Microsoft Loop ist da: Neue Office-App startet als Preview-Version
Beliebte Office-Downloads
Beliebt im Preisvergleich
- Office-Pakete:
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 10 FAQ Einträge
Neue Nachrichten
- Wird Windows Version 27H2 das größte Update seit Langem?
- Kunde zahlt RTX 5070, doch Amazon liefert nur einen alten DVD-Brenner
- Disney+ europaweit eingeschränkt: Dolby-Vision-Streit geht weiter
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen