URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und Google Docs Schwachstellen entdeckt, die Cyberkriminellen eine einfache Fälschung von Einladungs-URLs ermöglichen.
Dadurch erwecken Phishing-Links selbst bei geschulten Mitarbeitenden einen vertrauenswürdigen Anschein, was die Wahrscheinlichkeit einer erfolgreichen Attacke wesentlich erhöht: Wenn sie auf den Link ihres vermeintlichen Arbeitgebers, Kunden oder Partner klicken, werden sie auf eine authentisch wirkende Phishing-Seite geleitet, auf der sie sensitive Daten wie Passwörter und persönliche Informationen preisgeben sollen.
Je nach Social-Engineering-Technik erscheinen diese Angaben den Nutzern als durchaus plausibel. So könnte etwa zu einem aktuellen internen Webinar aufgrund eines vermeintlichen Cyberangriffs eingeladen werden, in dessen Vorfeld zunächst das Passwort geändert werden müsse. Während Box diese Schwachstelle geschlossen hat, sind bei Zoom und Google solche Manipulationen noch möglich.
Was sind Vanity-URLs?
Viele SaaS-Anwendungen bieten so genannte Vanity-URLs an, also anpassbare Webadressen für Webseiten, Formulare und Links zur Dateifreigabe. Mit Vanity-URLs lässt sich ein personalisierter Link erstellen wie etwa varonis.example.com/s/1234 anstelle von app.example.com/s/1234. Die Varonis Threat Labs entdeckten jedoch, dass einige Anwendungen die Legitimität der Subdomäne der Vanity-URL (z. B. ihrunternehmen.example.com) nicht validieren, sondern nur den URI (wie /s/1234).
Infolgedessen können Angreifer ihre eigenen SaaS-Konten verwenden, um Links zu bösartigen Inhalten wie Dateien, Ordnern, Landing Pages oder Formularen zu generieren, die scheinbar von dem SaaS-Konto des eigenen Unternehmens gehostet werden. Um dies zu erreichen, muss lediglich die Subdomäne im Link geändert werden. Entsprechend können diese gefälschten URLs für Phishing-Kampagnen, Social-Engineering-Angriffe, Reputationsangriffe und die Verbreitung von Malware verwendet werden.
Vanity-URLs mit Zoom
Zoom ermöglicht Unternehmen eine Vanity-URL wie ihrunternehmen.zoom.us, um Webinar-Registrierungsseiten, Login-Seiten für Mitarbeiter, Meetings, Aufzeichnungen und ähnliches zu hosten. Dabei können Logos hochgeladen und das Farbschema angepasst werden. Auf diese Weise können Angreifer ihre eigenen URLs durch eine scheinbar legitime Domäne ersetzen und die Zielseiten täuschend echt gestalten.
In aller Regel (wenn auch nicht immer) erscheint bei der Weiterleitung jedoch eine Pop-up-Warnung, die darüber informiert, dass die Nutzer im Begriff sind, auf externe Inhalte zuzugreifen, die nicht zur eigenen Domäne gehören. Gleichwohl werden diese Hinweise gerade bei weniger geschulten Mitarbeitenden häufig ignoriert, sodass dieser Weg durchaus eine effektive Angriffstechnik sein kann.
Zoom: Registrierungs-URL lässt sich ändern
Bei einigen Zoom-Webinaren konnten die Varonis-Experten die Registrierungs-URL so ändern, dass sie die Subdomain eines beliebigen Unternehmens enthielt, ohne eine Warnmeldung auszulösen. Auf diese Weise können bösartige Webinar-Registrierungsformulare eingesetzt werden, um die persönlichen Daten oder Passwörter der Mitarbeitenden oder Kunden abzufangen.
Deshalb mahnt das Varonis Threat Labs zur Vorsicht bei Zoom-Links, insbesondere bei solchen, die „.zoom.us/rec/play/“ enthalten, und keine sensiblen persönlichen Daten in Formulare zur Meeting-Registrierung einzugeben, selbst wenn das Formular auf einer offiziellen Subdomain mit dem richtigen Logo und Branding gehostet zu werden scheint. Derzeit arbeitet Zoom noch an einer Lösung für diese Probleme.
Falle: Google Docs und Google Forms
Auch Webanwendungen, die nicht über eine dedizierte Vanity-URL-Funktion verfügen, lassen sich auf ähnliche Weise missbrauchen. So können Google-Formulare, in denen vertrauliche Daten abgefragt werden, mit dem Logo des jeweiligen Unternehmens versehen und an Kunden oder Mitarbeitende als ihrunternehmen.docs.google.com/forms/d/e/:form_id/viewform verteilt werden, um einen legitimen Anschein zu erwecken. Ebenso kann jedes Google-Dokument, das über die Option „Im Web veröffentlichen“ freigegeben wird, gefälscht werden. Momentan arbeitet Google an einer Behebung dieser Problematik.
Mehr bei Varonis.com
Über Varonis Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,