LnRiLWZpZWxke21hcmdpbi1ib3R0b206MC43NmVtfS50Yi1maWVsZC0tbGVmdHt0ZXh0LWFsaWduOmxlZnR9LnRiLWZpZWxkLS1jZW50ZXJ7dGV4dC1hbGlnbjpjZW50ZXJ9LnRiLWZpZWxkLS1yaWdodHt0ZXh0LWFsaWduOnJpZ2h0fS50Yi1maWVsZF9fc2t5cGVfcHJldmlld3twYWRkaW5nOjEwcHggMjBweDtib3JkZXItcmFkaXVzOjNweDtjb2xvcjojZmZmO2JhY2tncm91bmQ6IzAwYWZlZTtkaXNwbGF5OmlubGluZS1ibG9ja311bC5nbGlkZV9fc2xpZGVze21hcmdpbjowfQ==
=
Varonis Threat Labs hat Schwachstellen in Zoom, Box und Google Docs entdeckt, die es Cyberkriminellen ermöglichen, die Vanity-URL zu fälschen. Dadurch wirken Fangverbindungen selbst für geschulte Mitarbeiter unzuverlässig, was den Erfolg von Angriffen erhöhen kann.
Wenn Nutzer auf den Link ihres vermeintlichen Arbeitgebers, Kunden oder Partners klicken, gelangen sie auf eine scheinbar authentische Angelseite, auf der sie sensible Daten wie Passwörter und persönliche Informationen preisgeben sollen. Je nach Art des Social Engineering erscheinen diese Informationen für den Nutzer durchaus plausibel. Beispielsweise könnte eine benutzerdefinierte URL verwendet werden, um Personen aufgrund eines angeblichen Cyberangriffs zu einem aktuellen internen Webinar einzuladen, bei dem zuvor das Passwort geändert werden musste. Obwohl Box diese Schwachstelle geschlossen hat, sind solche Manipulationen bei Zoom und Google weiterhin möglich.
Diese verbirgt sich hinter Vanity-URL
Viele SaaS-Anwendungen enthalten sogenannte Vanity-URLs, bei denen es sich um anpassbare Webadressen für Websites, Formulare und Dateifreigabe-Links handelt. Eine benutzerdefinierte URL kann verwendet werden, um einen benutzerdefinierten Link zu erstellen, z. B. varonis.example.com/s/1234 anstelle von app.example.com/s/1234. Varonis Threat Labs hat jedoch festgestellt, dass einige Anwendungen die Legitimität der Vanity-URL-Subdomain nicht validieren, z. B. yourcompany.example.com, sondern nur die URI (com / s / 1234).
Infolgedessen können Angreifer ihre eigenen SaaS-Konten verwenden, um Links zu schädlichen Inhalten wie Dateien, Ordnern, Zielseiten oder Formularen zu generieren, die scheinbar von ihrem eigenen SaaS-Konto gehostet werden. Ändern Sie dazu einfach die Subdomain des Links. Infolgedessen können diese gefälschten URLs für Angelkampagnen, Social-Engineering-Angriffe, Reputationsangriffe und die Verbreitung von Malware verwendet werden.
Zoom bietet Geschäftsunterkünfte
Zoom ermöglicht es Unternehmen, eine benutzerdefinierte URL wie „yourcompany.zoom.us“ zu verwenden, um Webinar-Protokollseiten, Anmeldeseiten für Mitarbeiter, Meetings, Aufzeichnungen und mehr zu hosten. Logos können hochgeladen und das Farbschema angepasst werden. Auf diese Weise können Angreifer ihre eigenen URLs durch eine scheinbar legitime Domain ersetzen und die Zielseiten echt aussehen lassen. In der Regel (wenn auch nicht immer) führt die Umleitung jedoch zu einer Popup-Warnung, die den Benutzer darüber informiert, dass er im Begriff ist, auf externe Inhalte zuzugreifen, die nicht zu seiner eigenen Domäne gehören. Diese Tipps werden jedoch häufig ignoriert, insbesondere von weniger geschulten Mitarbeitern, sodass dieser Weg eine effektive Angriffstechnik sein kann.
Bei einigen Zoom-Webinaren konnten Varonis-Experten die Registrierungs-URL so ändern, dass sie die Subdomain eines beliebigen Unternehmens enthielt, ohne dass Warnungen ausgelöst wurden. Auf diese Weise können böswillige Anmeldeformulare für Webinare verwendet werden, um die persönlichen Informationen oder Passwörter von Mitarbeitern oder Kunden abzufangen. Daher mahnt Varonis Threat Labs zur Vorsicht bei Zoom-Links, insbesondere solchen, die „.zoom.us/rec/play/“ enthalten. Außerdem sollten keine sensiblen personenbezogenen Daten in Registrierungsformulare für Meetings eingegeben werden, selbst wenn das Formular anscheinend auf einer offiziellen Subdomain mit dem richtigen Logo und Branding gehostet wird. Zoom arbeitet derzeit an einer Lösung dieser Probleme.
Gefälschte Vanity-URL führt zu einer gefälschten Zoom-Anmeldeseite. (Bild: Varonis)
Vanity-URL: Google Docs und Google Forms
Webanwendungen, die keine dedizierte benutzerdefinierte URL-Funktion haben, können ebenfalls auf ähnliche Weise ausgenutzt werden. Beispielsweise können Google-Formulare, die vertrauliche Informationen anfordern, mit dem entsprechenden Firmenlogo versehen werden. Und wird als “yourcompany.docs.google.com/forms/d/e/:form_id/viewform” an Kunden oder Mitarbeiter verteilt, um legitim zu erscheinen. Ebenso kann jedes freigegebene Google-Dokument mit der Option Im Web veröffentlichen gefälscht werden. Google arbeitet derzeit an der Lösung dieses Problems.
Eine benutzerdefinierte SaaS-basierte URL ist eine nützliche Funktion, mit der Benutzer sie anpassen können. Bei richtiger Implementierung kann es dazu beitragen, Benutzer vor Angelversuchen zu schützen. Wie Varonis Threat Labs gezeigt hat, können diese URLs jedoch gefälscht sein. Daher sollten sie wie jede andere URL mit Argwohn behandelt werden. Mitarbeiter sollten sich des Risikos bewusst sein, das mit dem Klicken auf diese Links verbunden ist, insbesondere wenn sie persönliche und andere sensible Informationen über Formulare übermitteln. Auch wenn sie scheinbar von den genehmigten SaaS-Konten Ihres Unternehmens gehostet werden.
Überwachen Sie SaaS-Anwendungen auf verdächtige Aktivitäten
„Unternehmen schulen ihre Mitarbeiter, beim Öffnen von E-Mails wachsam und vorsichtig zu sein. Aber URL-Fälschung kann dem effektiv entgegenwirken“, sagt Michael Scheffler, DACH Country Manager von Varonis. Daher müssen Sicherheitsverantwortliche wachsam sein und verdächtigen Aktivitäten in ihren SaaS-Anwendungen besondere Aufmerksamkeit schenken.
Seit 2005 verfolgt Varonis einen anderen Ansatz als die meisten IT-Sicherheitsanbieter, indem es Geschäftsdaten, sowohl vor Ort als auch in der Cloud, in den Mittelpunkt seiner Sicherheitsstrategie stellt. Varonis Data Security Platform (DSP) erkennt interne Bedrohungen und Cyberangriffe durch die Analyse von Daten, Kontoaktivitäten, Telemetrie und Benutzerverhalten. Es kann auch Datenschutzverletzungen verhindern oder mindern, indem sensible, regulierte und veraltete Daten blockiert werden. DSP hält durch effiziente Automatisierung einen sicheren Zustand der Systeme aufrecht. (sg)
Lesen Sie auch: Schwachstelle in Salesforce: Varonis verbessert SaaS-Datenschutz