Forscher von Varonis warnen, dass Angreifer anpassbare URLs – auch bekannt als Vanity-URLs – bei SaaS-Diensten verwenden, um überzeugendere Phishing-Links zu erstellen. Die Angreifer haben diese Technik für Links verwendet, die über Box, Zoom und Google Docs und Forms erstellt wurden.

„Vanity-URLs bieten zwar einen benutzerdefinierten, leicht zu merkenden Link, Varonis Threat Labs entdeckte jedoch, dass einige Anwendungen die Legitimität der Subdomäne der Vanity-URL, wie z. B. IhrUnternehmen.Beispiel[.]com, nicht überprüfen, sondern nur den URI (z. B. /s/1234)“, schreiben die Forscher. „Infolgedessen können Bedrohungsakteure ihre eigenen SaaS-Konten verwenden, um Links zu bösartigen Inhalten, also Dateien, Ordner, Landing Pages, Formulare usw., zu generieren, die scheinbar von dem genehmigten SaaS-Konto des Unternehmens gehostet werden. Um dies zu erreichen, muss lediglich die Subdomain im Link geändert werden. Diese gefälschten URLs können für Phishing-Kampagnen, Social Engineering-Angriffe, Angriffe zur Schädigung der Reputation des Unternehmens und die Verbreitung von Malware genutzt werden.“

Die Forscher erklären, dass diese Technik sowohl Sicherheitstechnologien als auch Menschen täuschen kann. „Bei einem Dokument, einem Bild oder einer Binärdatei ist die Wahrscheinlichkeit viel höher, einen Benutzer erfolgreich zu infizieren oder ihn zur Eingabe vertraulicher Informationen zu verleiten, wenn die Datei auf dem „offiziellen“ Box-Konto des eigenen Unternehmens gehostet wird, als wenn sie über eine allgemeine Dateifreigabe-URL verbreitet wird, die der Benutzer nicht kennt“, schreiben die Forscher.

„Wenn das Unternehmen die Verwendung von Box in der Organisation genehmigt hat, können Webfilter und Cloud Access Security Broker diesen Phishing-Link nicht blockieren. Um die Täuschung zu verstärken, kann der Angreifer die Datei auch mit einem Passwortschutz versehen, um sie für das Opfer sicherer erscheinen zu lassen, oder ein benutzerdefiniertes Logo hochladen und das Farbschema in seinem schadhaften Box-Konto so ändern, dass es dem Erscheinungsbild des zu täuschenden Unternehmens entspricht.

Varonis sagt, dass Benutzer vorsichtig sein sollten, wenn sie auf Links von Drittanbietern klicken, selbst wenn die URL den Namen ihrer Organisation enthält. „Benutzer erhalten möglicherweise eine Warnmeldung, wenn sie eine gefälschte Zoom-URL besuchen“, schreiben die Forscher. „Varonis Threat Labs empfiehlt daher, beim Zugriff auf mutmaßliche Zoom-Links vorsichtig zu sein und keine sensiblen persönlichen Daten in die Anmeldeformulare für Meetings einzugeben, auch wenn das Formular scheinbar von ihrem Unternehmen auf einer offiziellen Subdomain mit dem richtigen Logo und Branding gehostet wird.“

Mittels Security Awareness-Training können Unternehmensmitarbeiter lernen, wie sie solche Social-Engineering-Angriffe erkennen und Phishing-Angriffe allgemein vereiteln können. Die Anzahl der erfolgreichen Phishing-Angriffe auf das Unternehmen kann durch solche Schulungen enorm reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und mobilisiert werden. (rhh)

Varonis