Thought Leadership
Cyberkriminelle nutzen derzeit einen raffinierten Trick, um gezielte Phishing-Angriffe durchzuführen. Die Methode missbraucht das Link-Wrapping-System von Proofpoint und führt ahnungslose Nutzer auf manipulierte Microsoft-365-Seiten.
Angriff über bekannte Sicherheitsplattform
Cloudflare hat in einer aktuellen Analyse eine Phishing-Kampagne aufgedeckt, die das Vertrauen in etablierte Sicherheitslösungen gezielt ausnutzt. Laut dem Bericht der hauseigenen Sicherheitseinheit Cloudforce One manipulieren Angreifer Links über Proofpoint – einem Dienst, der eigentlich zum Schutz von E-Mail-Kommunikation gedacht ist.
Vertrauen wird zur Schwachstelle
Phishing bleibt die am weitesten verbreitete Methode für digitale Angriffe. Besonders gefährlich wird es, wenn Täuschung auf bekannte Sicherheitsdienste trifft. Nutzer erkennen die Gefahr oft nicht, da die Links scheinbar aus verlässlicher Quelle stammen. Genau das machen sich die Angreifer zunutze, indem sie auf den Schutz durch Proofpoint setzen, um ihre betrügerischen URLs glaubwürdig erscheinen zu lassen.
Zwei raffinierte Methoden
Die Angreifer bedienen sich dabei zweier Strategien:
1. Missbrauch kompromittierter E-Mail-Konten:
Sie greifen interne Konten in Proofpoint-geschützten Organisationen an und verschicken von dort täuschend echte E-Mails mit versteckten Phishing-Links. Da Proofpoint diese Links automatisch umschreibt, wirken sie für den Empfänger völlig legitim.
2. Mehrstufige Umleitungen:
Zunächst verkürzen die Angreifer ihre schädlichen Links mit öffentlichen URL-Shortenern. Anschließend leiten sie diese über Proofpoint um, wodurch eine mehrstufige Weiterleitungskette entsteht. Diese verschleiert das tatsächliche Ziel und erschwert die Erkennung durch Sicherheitslösungen erheblich.
Sicherheitsmechanismen als Einfallstor
Cloudforce One betont, wie geschickt die Täter bestehende Schutzsysteme gegen ihre eigentlichen Zwecke verwenden. Die Täuschung funktioniert gerade deshalb so gut, weil sie Vertrauen vortäuscht und dadurch auch vorsichtige Nutzer in die Falle lockt.
Fazit: Wachsamkeit trotz Sicherheitslösungen
Die Erkenntnisse zeigen, dass technische Schutzmechanismen allein nicht ausreichen. Auch bei scheinbar sicheren Links ist Aufmerksamkeit gefragt. Cloudflare liefert in seinem vollständigen Bericht weitere Details und Handlungsempfehlungen, um Organisationen besser vor solchen Angriffen zu schützen.
Weitere Informationen:
Den gesamten Report finden Sie hier.
(vp/Cloudflare)
Stellungnahme von Proofpoint zu Missbrauch von Link Wrapping Proofpoint ist bekannt, dass Angreifer die URL-Weiterleitungen und den URL-Schutz des Unternehmens derzeit in Phishing-Kampagnen missbrauchen. Dieses Vorgehen hat Proofpoint bei verschiedenen Sicherheitsdienstleistern beobachtet, die E-Mail-Schutz bzw. URL-Rewrites anbieten. In diesen Kampagnen missbrauchen Angreifer entweder eine offene Weiterleitung, um auf eine umgeschriebene URL zu verlinken, oder kompromittieren ein E-Mail-Konto, das über eine Form von E-Mail-Schutz verfügt. Anschließend senden sie eine E-Mail mit einem Phishing-Link an das kompromittierte Konto. Der Sicherheitsdienstleister schreibt die URL um und der Angreifer stellt sicher, dass der Link nicht blockiert wird. Danach fügt der Angreifer die umgeschriebene URL in verschiedene Weiterleitungsketten ein. Proofpoint hat beobachtet, dass Angreifer diese Technik einsetzen und URLs mehrerer Sicherheitsanbieter – darunter Sophos und Cisco – missbrauchen. Proofpoint erkennt diese Kampagnen mithilfe seiner KI-basierten Erkennungs-Engine, die Verhaltensanalysen nutzt, und sortiert die Nachrichten aus. Außerdem blockiert das Unternehmen die endgültige URL am Ende der Weiterleitungskette, um eine Ausnutzung zu verhindern. Wenn Angreifer eine umgeschriebene URL eines Sicherheitsdienstes verwenden (einschließlich Proofpoint), wird die gesamte Angriffskette für jeden Empfänger der Kampagne blockiert, sobald der Sicherheitsdienst die endgültige URL blockiert. Dies gilt unabhängig davon, ob der Empfänger Kunde dieses Sicherheitsdienstes ist oder nicht. |
