LnRiLWZpZWxke21hcmdpbi1ib3R0b206MC43NmVtfS50Yi1maWVsZC0tbGVmdHt0ZXh0LWFsaWduOmxlZnR9LnRiLWZpZWxkLS1jZW50ZXJ7dGV4dC1hbGlnbjpjZW50ZXJ9LnRiLWZpZWxkLS1yaWdodHt0ZXh0LWFsaWduOnJpZ2h0fS50Yi1maWVsZF9fc2t5cGVfcHJldmlld3twYWRkaW5nOjEwcHggMjBweDtib3JkZXItcmFkaXVzOjNweDtjb2xvcjojZmZmO2JhY2tncm91bmQ6IzAwYWZlZTtkaXNwbGF5OmlubGluZS1ibG9ja311bC5nbGlkZV9fc2xpZGVze21hcmdpbjowfQ==
=
Varonis Threat Labs hat Schwachstellen in Zoom, Box und Google Docs entdeckt, die es Cyberkriminellen ermöglichen, eine URL zu fälschen. Dadurch wirken Phishing-Links auch für geschulte Mitarbeiter zuverlässig, was den Erfolg von Angriffen steigern kann.
Wenn Nutzer auf den Link ihres vermeintlichen Arbeitgebers, Kunden oder Partners klicken, gelangen sie auf eine scheinbar authentische Phishing-Seite, auf der sie sensible Daten wie Passwörter und persönliche Informationen preisgeben sollen. Je nach Art des Social Engineering erscheinen diese Informationen dem Verbraucher durchaus plausibel. Beispielsweise kann eine URL verwendet werden, um Personen wegen eines angeblichen Cyberangriffs zu einem laufenden internen Webinar einzuladen, bei dem zuvor das Passwort geändert werden musste. Obwohl Box diese Schwachstelle geschlossen hat, sind solche Manipulationen bei Zoom und Google weiterhin möglich.
Diese verbirgt sich hinter der Vanity-URL
Viele SaaS-Anwendungen enthalten sogenannte Vanity-URLs, d.h. anpassbare Webadressen für Websites, Formulare und Filesharing-Links. Eine URL kann verwendet werden, um eine benutzerdefinierte Verbindung zu erstellen, z. B. varonis.example.com/s/1234 anstelle von app.example.com/s/1234. Varonis Threat Labs hat jedoch festgestellt, dass einige Anwendungen nicht die Legitimität der Subdomain der unnötigen URL überprüfen, z. B. yourcompany.example.com, sondern nur die URI (z. B. / s / 1234).
Infolgedessen können Angreifer ihre eigenen SaaS-Konten verwenden, um Links zu schädlichen Inhalten wie Dateien, Ordnern, Zielseiten oder Formularen zu generieren, die scheinbar vom SaaS-Konto ihres eigenen Unternehmens gehostet werden. Dazu muss lediglich die Subdomain im Link geändert werden. Dementsprechend können diese gefälschten URLs für Phishing-Kampagnen, Social-Engineering-Angriffe, Reputationsangriffe und die Verbreitung von Malware verwendet werden.
Zoom bietet Hosting für Unternehmen an
Zoom ermöglicht es Unternehmen, eine vage URL wie „yourcompany.zoom.us“ zu verwenden, um Webinar-Registrierungsseiten, Anmeldeseiten für Mitarbeiter, Meetings, Aufzeichnungen und mehr zu hosten. Logos können hochgeladen und das Farbschema angepasst werden. Auf diese Weise können Angreifer ihre eigenen URLs durch eine scheinbar legitime Domain ersetzen und Zielseiten echt aussehen lassen. In der Regel (wenn auch nicht immer) führt die Umleitung jedoch zu einer Popup-Warnung, die den Benutzer darüber informiert, dass er auf externe Inhalte zugreifen kann, die nicht zu seiner eigenen Domäne gehören. Diese Tipps werden jedoch oft übersehen, insbesondere von weniger geschulten Mitarbeitern, sodass dies eine effektive Angriffstechnik sein kann.
Bei einigen Zoom-Webinaren konnten Varonis-Experten die Registrierungs-URL so ändern, dass sie eine Subdomain eines beliebigen Unternehmens enthielt, ohne ein Signal auszulösen. Auf diese Weise können böswillige Anmeldeformulare für Webinare verwendet werden, um persönliche Informationen oder Passwörter von Mitarbeitern oder Kunden abzufangen. Varonis Threat Labs ruft daher zu erhöhter Aufmerksamkeit für Links zu Zoom auf, insbesondere solche, die „.zoom.us/rec/play/“ enthalten. Und sensible personenbezogene Daten sollten nicht in Anmeldeformulare für Meetings eingegeben werden, selbst wenn das Formular scheinbar auf einer offiziellen Subdomain mit dem richtigen Logo und Branding gehostet wird. Zoom arbeitet derzeit daran, diese Probleme zu beheben.
Die gefälschte URL führt zu einer gefälschten Zoom-Anmeldeseite. (Bild: Varonis)
URL: Google Docs und Google Formulare
Auch Webapplikationen, die nicht über ein spezielles Vanity-URL-Feature verfügen, können auf ähnliche Weise bedient werden. Beispielsweise können Google-Formulare, die vertrauliche Informationen erfordern, mit dem Firmenlogo versehen werden. Und es verbreitet sich an Kunden oder Mitarbeiter wie “yourcompany.docs.google.com/forms/d/e/:form_id/viewform”, um legitim auszusehen. Ebenso kann jedes Dokument auf Google, das über die Option „Im Web veröffentlichen“ geteilt wird, gefälscht werden. Google arbeitet derzeit an der Lösung dieses Problems.
Eine SaaS-basierte URL ist eine nützliche Funktion, die es Benutzern ermöglicht, sie anzupassen. Wenn es sicher angewendet wird, kann es dazu beitragen, Benutzer vor Phishing-Versuchen zu schützen. Wie Varonis Threat Labs gezeigt hat, können diese URLs jedoch gefälscht werden. Daher sollten sie genauso misstrauisch behandelt werden wie jede andere URL. Mitarbeiter müssen über die Risiken informiert werden, die mit dem Klicken auf solche Links verbunden sind, insbesondere wenn sie persönliche und andere sensible Informationen über Formulare übermitteln. Auch wenn sie scheinbar von SaaS-genehmigten Konten gehostet werden.
Überwachen Sie SaaS-Anwendungen auf verdächtige Aktivitäten
„Unternehmen schulen ihre Mitarbeiter darauf, beim Öffnen von E-Mails wachsam und vorsichtig zu sein. Doch URL-Fälschungen können dem wirksam entgegenwirken“, sagt Michael Scheffler, DACH-Landesleiter bei Varonis. „URL-Suffixing ist eine ideale Möglichkeit für Angreifer, persönliche Informationen wie Passwörter und sensible Daten zu stehlen oder Benutzer dazu zu bringen, bösartige Dateien herunterzuladen. Daher müssen Sicherheitsverantwortliche wachsam sein und verdächtigen Aktivitäten in ihren SaaS-Anwendungen besondere Aufmerksamkeit schenken.
Seit 2005 verfolgt Varonis einen anderen Ansatz als die meisten IT-Sicherheitsanbieter und stellt Unternehmensdaten, die sowohl vor Ort als auch in der Cloud gespeichert sind, in den Mittelpunkt seiner Sicherheitsstrategie. Die Varonis Data Security Platform (DSP) erkennt interne Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Benutzerverhalten. Es kann auch Datenschutzverletzungen verhindern oder mindern, indem sensible, regulierte und veraltete Daten gesperrt werden. DSP hält durch effiziente Automatisierung einen sicheren Zustand der Systeme aufrecht. (sg)
Lesen Sie auch: Schwachstelle in Salesforce: Varonis verbessert SaaS-Datenschutz
Add Comment