NEUIGKEITEN:
Menlo Security kündigt strategische Partnerschaft mit Google an
Bedrohungsakteure haben eine neue Phishing-Technik entwickelt, mit der Benutzer mithilfe von URL-Verkürzungsdiensten dazu verleitet werden, gefährliche Websites zu besuchen, um bösartige Webadressen zu verbergen und einer Entdeckung zu entgehen. Dies macht es für Sicherheitssysteme schwieriger, sie zu blockieren und Benutzer dazu zu verleiten, auf schädliche Links zu klicken. Laut Daten von Menlo Labs ist die URL-Verkürzung eine Technik, die zunehmend von Bedrohungsakteuren eingesetzt wird.
Lesen Sie weiter, um mehr über URL-Verkürzung zu erfahren, eine Art von Veralteter LURE-Angriff (URL Reputation Evasion)und wie Unternehmen diese Angriffe erkennen und verhindern können, dass sie ihre Netzwerke gefährden.
Phishing ist durchweg einer der häufigsten Angriffsvektoren bei Cyberkriminalität, was zu einem Durchschnitt von 4,91 Millionen US-Dollar an Verstößen und Wiederherstellungskosten. In den letzten sechs Monaten das Menlo Security Threat Research-Team hat einen Anstieg der browserbasierten Phishing-Angriffe um 198% beobachtet — 30% davon wurden als ausweichend eingestuft.
Die Zunahme und der Erfolg von Phishing-Angriffen korrelieren mit neuen Phishing als Service (PhaaS) und Ransomware als Service (RaaS) Kits, die kürzlich auf den Markt gekommen sind. Vorgefertigte E-Mail-, Text-, Social- und Werbevorlagen, Skripte und andere bewährte Methoden, die in den Kits enthalten sind, senken die Messlatte für unerfahrene Angriffe mit begrenztem oder gar keinem Programmierwissen, um bösartige Kampagnen zu erstellen und zu starten, radikal.
Diese Angriffe verwenden eine Vielzahl von Ausweichtechniken, um normale URL-Filter- und Kategorisierungssysteme zu umgehen. Sie zielen darauf ab, Benutzeranmeldeinformationen zu stehlen und die Kontrolle über wichtige Geschäftssysteme zu erlangen sowie wertvolle Daten zu stehlen.
Beliebte URL-Verkürzungsdienste bieten Schutz für Angreifer, um Benutzer dazu zu verleiten, unwissentlich auf einen bösartigen Link zu klicken. Marktanalysen belegen seit langem, dass kürzere, leicht lesbare oder zu merkende URLs eine höhere Klickrate haben als lange URLs. Diese Praxis ist eine gängige Taktik, die bei Marken und Kunden an Akzeptanz gewonnen hat.
Das Problem ist, dass die URL-Verkürzung das wahre Ziel des Links maskiert und die Benutzer keine Ahnung haben, ob der Link sie auf die entsprechende Seite oder Website weiterleitet. In Verbindung mit den immer ausgefeilteren Phishing-E-Mails, die Markenlogos, den Ton und den Stil der Marke genau nachahmen können, machen es diese Angriffe für Benutzer praktisch unmöglich, einen bösartigen Link zu erkennen, bis es zu spät ist.
Leider sind herkömmliche Sicherheitslösungen wie URL-Filterung und -Kategorisierung nicht besser als Benutzer darin, LURE-Angriffe zu erkennen, die URL-Verkürzungsdienste verwenden. Diese Tools bewerten die Reputation der aufgelisteten URL — nicht das endgültige umgeleitete Ziel. Auf der anderen Seite würde das bloße Blockieren aller verkürzten URLs zu einer Menge Helpdesk-Tickets führen — insbesondere, da diese Dienste zu einem legitimen Geschäfts- und Marketinginstrument geworden sind.
Einige Sicherheitstools haben sich an die Herausforderungen der URL-Verkürzung angepasst, aber die Bedrohungsakteure entwickeln ihre Techniken ständig weiter und kombinieren oft mehrere Techniken, um herkömmliche Sicherheitstools zu umgehen und Endpunkte zu verletzen.
Hier sind einige Möglichkeiten, wie Bedrohungsakteure URL-Verkürzungstaktiken anwenden, um diese Filter zu umgehen:
Böswillige Akteure verwenden URL-Shortener, um das wahre Ziel eines Links zu verschleiern. Dadurch werden Benutzer dazu verleitet, auf Links zu klicken, die zu Phishing-Seiten, Malware-Downloads oder anderen schädlichen Inhalten führen. Oft verwenden böswillige Akteure mehrere Weiterleitungen, manchmal mit mehreren URL-Verkürzungsdiensten, um das endgültige Ziel weiter zu verschleiern. Viele dieser Websites enthalten CAPTCHA-Herausforderungen, die es einfacher machen, automatisierten Scans zu entgehen.
Einige Inhaltsfilter und Sicherheitssysteme führen schwarze Listen mit bekannten schädlichen URLs. Mithilfe eines URL-Shorteners kann ein Angreifer Links erstellen, die nicht direkt auf diesen schwarzen Listen stehen, was es für automatisierte Systeme schwieriger macht, sie zu erkennen und zu blockieren.
Bei einigen URL-Verkürzungsdiensten können Benutzer die Ziel-URL ändern, nachdem der Link erstellt wurde. Angreifer können zunächst eine harmlose URL bereitstellen, diese Filter passieren lassen und den Link später aktualisieren, sodass er auf bösartige Inhalte verweist.
Es ist klar, dass Unternehmen eine neue Methode zur Erkennung benötigen Hochgradig ausweichende und adaptive Bedrohungen (HEAT) die URL-Verkürzung verwenden, um herkömmliche Sicherheitstools zu umgehen. Diese Tools müssen über die URL-Reputation hinausgehen und die volle Sichtbarkeit im Browser nutzen, um sich die Webelemente auf dem endgültigen Ziel direkt anzusehen.
Sie sollten in der Lage sein, zu sehen, wohin diese Links den Benutzer weiterleiten, und auf der Grundlage dieser Elemente eine Risikobewertung in Echtzeit durchführen können. Auf der Grundlage dieses Risikobewertungswerts könnte dann die entsprechende Richtlinie angewendet werden, die den Zugriff zulässt, den Zugriff sperrt oder den sicheren Zugriff durch Isolierung oder nur Lesezugriff gewährleistet.
Erfahre mehr darüber, wie Menlo Security erkennt und stoppt LURE-Angriffe die URL-Verkürzungstechniken verwenden, um herkömmliche Sicherheitstools zu umgehen.
