Gefälschten Vanity-URLs bei Zoom und Google

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe. Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google. Die Varonis Threat Labs haben bei Zoom, Box und Google Docs Schwachstellen entdeckt, die Cyberkriminellen eine einfache Fälschung von Einladungs-URLs ermöglichen.

Dadurch erwecken Phishing-Links selbst bei geschulten Mitarbeitenden einen vertrauenswürdigen Anschein, was die Wahrscheinlichkeit einer erfolgreichen Attacke wesentlich erhöht: Wenn sie auf den Link ihres vermeintlichen Arbeitgebers, Kunden oder Partner klicken, werden sie auf eine authentisch wirkende Phishing-Seite geleitet, auf der sie sensitive Daten wie Passwörter und persönliche Informationen preisgeben sollen.

Anzeige

Je nach Social-Engineering-Technik erscheinen diese Angaben den Nutzern als durchaus plausibel. So könnte etwa zu einem aktuellen internen Webinar aufgrund eines vermeintlichen Cyberangriffs eingeladen werden, in dessen Vorfeld zunächst das Passwort geändert werden müsse. Während Box diese Schwachstelle geschlossen hat, sind bei Zoom und Google solche Manipulationen noch möglich.

Was sind Vanity-URLs?

Viele SaaS-Anwendungen bieten so genannte Vanity-URLs an, also anpassbare Webadressen für Webseiten, Formulare und Links zur Dateifreigabe. Mit Vanity-URLs lässt sich ein personalisierter Link erstellen wie etwa varonis.example.com/s/1234 anstelle von app.example.com/s/1234. Die Varonis Threat Labs entdeckten jedoch, dass einige Anwendungen die Legitimität der Subdomäne der Vanity-URL (z. B. ihrunternehmen.example.com) nicht validieren, sondern nur den URI (wie /s/1234).

Anzeige

Infolgedessen können Angreifer ihre eigenen SaaS-Konten verwenden, um Links zu bösartigen Inhalten wie Dateien, Ordnern, Landing Pages oder Formularen zu generieren, die scheinbar von dem SaaS-Konto des eigenen Unternehmens gehostet werden. Um dies zu erreichen, muss lediglich die Subdomäne im Link geändert werden. Entsprechend können diese gefälschten URLs für Phishing-Kampagnen, Social-Engineering-Angriffe, Reputationsangriffe und die Verbreitung von Malware verwendet werden.

Vanity-URLs mit Zoom

Zoom ermöglicht Unternehmen eine Vanity-URL wie ihrunternehmen.zoom.us, um Webinar-Registrierungsseiten, Login-Seiten für Mitarbeiter, Meetings, Aufzeichnungen und ähnliches zu hosten. Dabei können Logos hochgeladen und das Farbschema angepasst werden. Auf diese Weise können Angreifer ihre eigenen URLs durch eine scheinbar legitime Domäne ersetzen und die Zielseiten täuschend echt gestalten.

In aller Regel (wenn auch nicht immer) erscheint bei der Weiterleitung jedoch eine Pop-up-Warnung, die darüber informiert, dass die Nutzer im Begriff sind, auf externe Inhalte zuzugreifen, die nicht zur eigenen Domäne gehören. Gleichwohl werden diese Hinweise gerade bei weniger geschulten Mitarbeitenden häufig ignoriert, sodass dieser Weg durchaus eine effektive Angriffstechnik sein kann.

Zoom: Registrierungs-URL lässt sich ändern

Bei einigen Zoom-Webinaren konnten die Varonis-Experten die Registrierungs-URL so ändern, dass sie die Subdomain eines beliebigen Unternehmens enthielt, ohne eine Warnmeldung auszulösen. Auf diese Weise können bösartige Webinar-Registrierungsformulare eingesetzt werden, um die persönlichen Daten oder Passwörter der Mitarbeitenden oder Kunden abzufangen.

Deshalb mahnt das Varonis Threat Labs zur Vorsicht bei Zoom-Links, insbesondere bei solchen, die „.zoom.us/rec/play/“ enthalten, und keine sensiblen persönlichen Daten in Formulare zur Meeting-Registrierung einzugeben, selbst wenn das Formular auf einer offiziellen Subdomain mit dem richtigen Logo und Branding gehostet zu werden scheint. Derzeit arbeitet Zoom noch an einer Lösung für diese Probleme.

Falle: Google Docs und Google Forms

Auch Webanwendungen, die nicht über eine dedizierte Vanity-URL-Funktion verfügen, lassen sich auf ähnliche Weise missbrauchen. So können Google-Formulare, in denen vertrauliche Daten abgefragt werden, mit dem Logo des jeweiligen Unternehmens versehen und an Kunden oder Mitarbeitende als ihrunternehmen.docs.google.com/forms/d/e/:form_id/viewform verteilt werden, um einen legitimen Anschein zu erwecken. Ebenso kann jedes Google-Dokument, das über die Option „Im Web veröffentlichen“ freigegeben wird, gefälscht werden. Momentan arbeitet Google an einer Behebung dieser Problematik.

Mehr bei Varonis.com

 


Über Varonis

Varonis verfolgt seit seiner Gründung 2005 einen anderen Ansatz als die meisten IT-Sicherheits-Anbieter, indem es die sowohl lokal als auch in der Cloud gespeicherten Unternehmensdaten ins Zentrum der Sicherheitsstrategie stellt: sensible Dateien und E-Mails, vertrauliche Kunden-, Patienten- und Mitarbeiterdaten, Finanzdaten, Strategie- und Produktpläne sowie sonstiges geistiges Eigentum. Die Varonis Datensicherheits-Plattform (DSP) erkennt Insider-Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Nutzerverhalten, verhindert oder begrenzt Datensicherheitsverstöße, indem sie sensible, regulierte und veraltete Daten sperrt und bewahrt einen sicheren Zustand der Systeme durch effiziente Automatisierung.,


 

Passende Artikel zum Thema

Entspannung beim Fachkräftemangel in der IT-Sicherheit

Die Welt steht still, so scheint es, doch der Schein trügt. Wie für so viele IT-Themen gehören auch Managed Security ➡ Weiterlesen

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Forscher decken Angriffe auf europäische Luftfahrt- und Rüstungskonzerne auf

ESET-Forscher decken gezielte Angriffe gegen hochkarätige europäische Luftfahrt- und Rüstungskonzerne auf. Gemeinsame Untersuchung in Zusammenarbeit mit zwei der betroffenen europäischen Unternehmen ➡ Weiterlesen

Trends und Tipps zur Weiterentwicklung moderner CISOs

Kudelski Security, die Cybersicherheitsabteilung der Kudelski-Gruppe, veröffentlicht ihr neues Forschungspapier zum Cybergeschäft "Building the Future of Security Leadership"(Aufbau künftiger Sicherheitsexperten). ➡ Weiterlesen

Java-Malware kopiert Passwörter

G Data-Forscher decken auf: Java-Malware kopiert Passwörter und ermöglicht auch noch die Fernsteuerung via RDP. Eine in Java entwickelte neu ➡ Weiterlesen

Vertrauen auf VPN für den sicheren Zugriff

SANS Institute, ein Anbieter von Cybersicherheitsschulungen und -zertifizierungen, stellt die Untersuchung „Remote Worker Poll“ zur Verbreitung von Home Office Security ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Bösartige Chrome Extensions führen zum Datendiebstahl

Google Chrome Extensions und Communigal Communication Ltd. (Galcomm)-Domänen sind in einer Kampagne ausgenutzt worden, die darauf abzielt, Aktivitäten und Daten ➡ Weiterlesen