Missbrauch vertrauenswürdiger Domains: Markenimitation durch offene Weiterleitungen

Eine Veröffentlichung des KnowBe4 Threat Lab
Autoren: Daniel Netto, Jeewan Singh Jalal, Anand Bodke und Martin Kraemer

Zusammenfassung
Angreifer nutzen Weiterleitungen ohne Schutzmechanismen aus, um sich den Domain-Ruf des Weiterleitungsdienstes zu eigen zu machen, das tatsächliche Ziel zu verschleiern und das Vertrauen in bekannte Quellen auszunutzen.

Das Whitelisting von URLs, bei dem nur eine vordefinierte Gruppe von URLs umgeschrieben werden darf, ist eine wirksame Gegenmaßnahme gegen die Schwachstelle auf der Serverseite. Allerdings wird diese Gegenmaßnahme nicht von jedem Webdienst umgesetzt.

Das KnowBe4 Threat Lab hat kürzlich eine Kampagne beobachtet, die diese Schwachstelle ausnutzte und Benutzer dazu verleitete, auf bösartige Links zu klicken, Anhänge zu öffnen oder JavaScript-Nutzlasten zu übermitteln. Die Kampagne ist eine rechtzeitige Erinnerung daran, dass technische Abwehrmaßnahmen allein nicht ausreichen, um eine Organisation zu schützen. Die Beteiligung der Mitarbeiter an der Erkennung und Meldung betrügerischer oder böswilliger Aktivitäten ist von entscheidender Bedeutung.

Angreifer entwickeln ständig neue Taktiken, Techniken und Verfahren, um E-Mail-Sicherheitslösungen zu umgehen und in die Posteingänge der Mitarbeiter einzudringen. Gut geschützte Organisationen nutzen Open-Source-, maschinelle und menschliche Intelligenz, um die Sicherheit ihrer E-Mail-Gateways zu verbessern. Cyber-resiliente Organisationen schulen ihre Benutzer auch darin, Angriffen durch Social Engineering zu widerstehen, indem sie Warnsignale erkennen und emotionale Intelligenz und kritisches Denken trainieren.

Hintergrund
Das Verstecken bösartiger URLs hinter Weiterleitungen ermöglicht es Angreifern auch, URL-Rewriting-Dienste zu umgehen, die oft Teil sicherer E-Mail-Gateways (SEG) sind. Beim URL-Rewriting werden URLs mit einer Datenbank bekannter bösartiger URLs abgeglichen. Da das tatsächliche Ziel durch die URL-Weiterleitung verschleiert werden kann, landen betrügerische Links in den Posteingängen der Nutzer. Es gibt zwar eine dynamische URL-Analyse zum Zeitpunkt des Klicks, aber nicht jeder nutzt sie.

Menschen sind auch notorisch schlecht darin, URLs zu lesen, da sie stark auf den Namen in der URL fixiert sind. Es ist für Einzelpersonen schwierig, die gefälschte Website vom Original zu unterscheiden, wenn sie nur die URL betrachten. Außerdem achten die Menschen nicht unbedingt zuerst auf die URL. Diese Tatsache ist ein starker Motivator für Mitarbeiterschulungen. Die Menschen müssen darüber aufgeklärt werden, was URL-Rewriting ist, wie es ausgenutzt wird und warum Angreifer diesen Ansatz zunehmend nutzen

In Zahlen
Eine ausgeklügelte Phishing-Kampagne ist kürzlich ans Licht gekommen, die sich hauptsächlich gegen Organisationen im Finanz- und Gesundheitssektor richtete. Die Kampagne, die vom 2. bis 3. Oktober 2024 beobachtet wurde, hat Bedenken hinsichtlich der sich weiterentwickelnden Taktiken von Cyberkriminellen zur Kompromittierung sensibler Informationen aufkommen lassen.

Kampagnenüberblick

• Dauer: 2.-3. Oktober 2024
• Insgesamt gemeldete E-Mails: 173
• Hauptziele: Finanz- und Gesundheitssektor
• Geografischer Schwerpunkt: Vereinigte Staaten (90 % der Fälle)

Wichtigste Ergebnisse
Bei der Kampagne wurden verschiedene Arten von Nutzlasten eingesetzt, wobei die entscheidende Technik die Ausnutzung der offenen Umleitungsschwachstelle (CWE-601) war. Diese Schwachstelle wurde ausgenutzt, um Benutzer dazu zu verleiten, auf bösartige Phishing-Links zu klicken. Hier ist eine Aufschlüsselung der beobachteten Methoden zur Übermittlung von Nutzlasten:

1. HTML-Anhänge: Die häufigste Methode, bei der 27 Fälle von HTML-Anhängen auf Phishing-Zielseiten umleiteten

2. PDF-Dateien mit QR-Codes: Es wurden vier Fälle gemeldet, in denen PDF-Dateien mit QR-Codes verwendet wurden, um Opfer auf bösartige Websites zu leiten

3. Missbrauch legitimer URLs: In vier Fällen manipulierten Angreifer legitime URLs, um ihre Opfer zu täuschen

4. Verstecktes JavaScript: Einige E-Mails enthielten verstecktes JavaScript im E-Mail-Text, was die Erkennung erschwerte

5. Gefälschte Microsoft Teams-Benachrichtigungen: Angreifer ahmten MS Teams-Benachrichtigungen nach, um das Vertrauen der Benutzer in vertraute Plattformen auszunutzen

Technische Details
Das Umschreiben von URLs wurde als E-Mail-Sicherheitsfunktion entwickelt, um Benutzer vor bösartigen Links zu schützen, die in E-Mails eingebettet sind. Im Kern ersetzt die Funktion die ursprünglichen URLs durch modifizierte Links, um Anfragen zuerst an die Server des Anbieters umzuleiten. Der Link wird auf Bedrohungen gescannt und wenn er als sicher eingestuft wird, wird der Benutzer zu den Inhalten weitergeleitet. Wenn nicht, wird die Anfrage blockiert. Diese Funktion wird jedoch inzwischen regelmäßig von Angreifern ausgenutzt, um bösartige Links zu verbergen (siehe Abbildung 1b).

Abbildung 1b: Beobachteter Hyperlink für die „View Here“-Kampagne

Hauptmerkmale der Kampagne
Die Kampagne begann am 2. Oktober 2024 gegen 23:30 Uhr UTC, und die an verschiedene Organisationen gesendeten E-Mails wiesen die folgenden Merkmale auf:

• Von: info@transactional.beckermedia.net 
• Anzeigename: Die Anzeigenamen waren bei den meisten gemeldeten E-Mails unterschiedlich.
• E-Mail-Text: Jede Organisation erhielt einzigartige E-Mail-Vorlagen, die alle eine anfängliche URL enthielten, die die Schwachstelle der offenen Umleitung (CWE-601) nutzte, um Benutzer auf die endgültige Phishing-Landingpage umzuleiten.
• Betreff: Die Betreffzeilen waren ebenfalls für jede Organisation und ihren Absender einzigartig.
• Die Techniken, die der Angreifer in den E-Mails verwendete, waren die Ausnutzung offener Umleitungen über legitime Webdienste und die Kompromittierung vertrauenswürdiger Domains legitimer Unternehmen.
• Laut CWE ist CWE-601: URL-Umleitung zu einer nicht vertrauenswürdigen Website („Open Redirect“) die Schwachstelle, die der Angreifer ausgenutzt hat. Dies geschieht häufig, weil der Webdienstentwickler die bereitgestellten Eingaben nicht ordnungsgemäß validiert hat.

Taktik
Bedrohungsakteure bevorzugen für ihre Kampagnen die Kompromittierung legitimer Unternehmen aufgrund von:

• Etablierter Domain-Reputation und Alter
• Zögern, legitime Domains zu blockieren, um Betriebsunterbrechungen zu vermeiden
• Möglichkeit, Sicherheitsscanner zu umgehen, die sich auf die Domain-Reputation verlassen
• Erschwerte Untersuchungen durch Verschleierung des Ursprungs des Angriffs
• Guter Ruf und Whitelisting bei der Mehrheit der Sicherheitsanbieter
• Möglichkeit, E-Mail-Sicherheitsgateways zu umgehen, bis sie gemeldet werden
• Schnelle Kontoerstellung mit minimaler Verifizierung
• Höhere Klickraten im Vergleich zur Infrastruktur der Angreifer
• Anonymität, da Untersuchungen oft bei diesen legitimen Diensten enden

Empfehlungen
Diese Kampagne zeigt die kontinuierliche Weiterentwicklung von Phishing-Taktiken, bei denen verschiedene Techniken kombiniert werden, um die Erfolgschancen zu erhöhen. Organisationen, insbesondere im Finanz- und Gesundheitswesen, sollten die folgenden Empfehlungen berücksichtigen, wobei der Schwerpunkt auf dem Management menschlicher Risiken liegen sollte:

1. Priorisierung des Risikomanagements für den Menschen:

   • Implementierung umfassender und fortlaufender Schulungsprogramme zur Sensibilisierung für Sicherheitsfragen

   • Durchführung regelmäßiger Phishing-Simulationen, um die Wachsamkeit der Mitarbeiter zu testen und zu verbessern

   • Förderung einer Sicherheitskultur, in der sich die Mitarbeiter wohl dabei fühlen, verdächtige Aktivitäten zu melden

2. Verbesserung von E-Mail-Filtersystemen, um verdächtige Anhänge und Links zu erkennen und unter Quarantäne zu stellen

3. Implementierung einer Multifaktor-Authentifizierung in allen Systemen

4. Regelmäßige Aktualisierung und Patching von Systemen, um Schwachstellen wie offene Weiterleitungen zu beheben

5. Vorsicht bei unerwarteten Benachrichtigungen, auch von scheinbar legitimen Quellen wie Microsoft Teams

6. Festlegung klarer Protokolle zur Überprüfung unerwarteter Anfragen, insbesondere solcher, die Finanztransaktionen oder sensible Informationen betreffen

7. Aufrechterhaltung offener Kommunikationswege zwischen IT-Sicherheitsteams und Mitarbeitern, um Informationen über neue Bedrohungen schnell zu verbreiten

Die Schulung und Weiterbildung Ihrer Belegschaft ist der wichtigste Schutz vor ausgeklügelten Phishing-Versuchen. Technische Lösungen sind zwar unerlässlich, aber eine wachsame und gut informierte Belegschaft kann das Risiko erfolgreicher Angriffe erheblich verringern. Regelmäßige Schulungen in Kombination mit praxisnahen Simulationen befähigen Ihre Belegschaft, jeden Tag kluge Sicherheitsentscheidungen zu treffen.

Über das Threat Lab
KnowBe4 Threat Labs ist auf die Erforschung und Eindämmung von E-Mail-Bedrohungen und Phishing-Angriffen spezialisiert und nutzt eine Kombination aus Expertenanalysen und Crowdsourcing-Informationen. Das Team aus erfahrenen Cybersicherheitsexperten untersucht die neuesten Phishing-Techniken und entwickelt Strategien zur präventiven Bekämpfung dieser Bedrohungen.

Durch die Nutzung der Erkenntnisse eines globalen Netzwerks teilnehmender Kunden liefert KnowBe4 Threat Labs umfassende Empfehlungen und zeitnahe Updates, die Unternehmen in die Lage versetzen, sich vor ausgeklügelten E-Mail-basierten Angriffen zu schützen und auf diese zu reagieren. Die Threat Labs sind KnowBe4s Bekenntnis zu Innovation und Fachwissen und gewährleisten eine robuste Verteidigung gegen die sich ständig weiterentwickelnde Landschaft der Cyber-Bedrohungen.