Cloud-Apps und bösartige Links verändern die Art und Weise, wie Angreifer Organisationen angreifen, insbesondere wenn sie sich ein wenig Vertrauen von bekannten Anbietern leihen.
Die cleversten Hacker brechen nicht einfach durch die Vordertür ein – sie schleichen sich durch die Menge, vermischen ihre digitalen Manöver mit legitimem Geschäftsverkehr und lassen ihre Angriffe wie normale, alltägliche Cloud-Aktivitäten aussehen.
Stellen Sie sich einen belebten Bahnhof vor, voll mit Menschen, die alle eine Fahrkarte haben. Die Angreifer haben herausgefunden, wie sie sich einschleusen und mit allen anderen mitfahren können, da die Sicherheitskräfte (oder Sicherheitstools) dazu neigen, jedem zu vertrauen, der bei einer bekannten Zuggesellschaft einsteigt. Im Cyberspace mieten Angreifer Speicherplatz bei beliebten Cloud-Diensten oder kaufen Zeit auf virtuellen Servern von großen Anbietern. Diese Anbieter machen alles benutzerfreundlich und bieten schnelles und zuverlässiges Webhosting, E-Mail und Speicherplatz. Diese Bequemlichkeit ist genau das, was Cyberkriminelle ausnutzen.
Sie nutzen diese Plattformen, um Phishing-Betrug zu starten, Malware zu verbreiten oder sogar hinterhältige Cryptojacking-Operationen durchzuführen. Manchmal stehlen sie die Anmeldedaten für Cloud-Konten und verwenden diese Identitäten dann, um Spam zu versenden oder Mailbox-Regeln zu erstellen, die ihnen helfen, unerkannt zu bleiben. Fortgeschrittene Angreifer könnten sogar darauf warten, dass sich Managed Service Provider anschließen, bevor sie sich huckepack in Zielumgebungen einklinken, um breiteren Zugang zu erhalten.
Verteidiger haben es schwer, weil der Datenverkehr normal aussieht, von seriösen Anbietern kommt und die Tools dazu gedacht sind, Unternehmen zu helfen, nicht Kriminelle zu stoppen. Da immer mehr Unternehmen vollständig auf Cloud-Anbieter setzen, stehen Sicherheitsteams vor einem Krieg, in dem jeder Angreifer eine clevere Verkleidung trägt.
Links sind nicht immer das, was sie zu sein scheinen. Hacker können URLs auf raffinierte Weise umschreiben, sodass sie auf den ersten Blick harmlos erscheinen, aber insgeheim die Leute direkt in Schwierigkeiten bringen. Nehmen Sie den klassischen Trick mit den @-Symbolen – Hacker fügen sie in Links ein und täuschen Browser so, dass sie alles vor dem Symbol ignorieren und Benutzer auf der falschen Website landen. Manchmal geht es darum, Buchstaben gegen Doppelgänger („Homographen“) auszutauschen oder geschickte Formate zu verwenden, um das wahre Ziel zu verbergen.
Dann kommen weitere Tricks hinzu: das Ziel hinter Ketten von Weiterleitungen verstecken, kurze URLs verwenden oder alles über namhafte Cloud-Dienste laufen lassen. Sicherheitsbenutzer und automatische Prüfungen sehen oft einen Link, der auf einen vertrauenswürdigen Anbieter verweist. Es ist viel unwahrscheinlicher, dass dies markiert und blockiert wird. Dies führt dazu, dass Angriffe unbemerkt zu den Benutzern gelangen.
Angreifer sind wahre Profis darin, ihre Tricks zu kombinieren. Vielleicht beginnt der Weg mit einer Cloud-App, die jeder kennt, führt dann über umgeschriebene URLs und schließlich über mehrere angesehene Anbieter. Jede Umleitung erschwert es den Verteidigern, den Angriff zu erkennen. API-Missbrauch und gestohlene Token bedeuten, dass der Kriminelle von einem vertrauenswürdigen Dienst zum anderen springen kann, um mehr Daten zu sammeln oder sich seitlich auszubreiten, ohne Alarm zu schlagen.
Bei einem kürzlichen Angriff sprang ein bösartiger Link über vier verschiedene E-Mail-Sicherheitsanbieter, bevor er auf einer WordPress-Seite landete, die als Microsoft-Login getarnt war und Zugangsdaten stahl. Die Domains der Anbieter standen auf der Zulassungsliste, sodass automatisierte Tools jede Station auf dem Weg dorthin als vertrauenswürdig betrachteten. Da sich Tools stark auf statische Regeln oder Zulassungslisten verlassen, bleiben diese Multi-Hop-Links oft unentdeckt – es sei denn, etwas Kreativeres überwacht das eigentliche Ziel.
So lief ein komplizierter Angriff zum Stehlen von Zugangsdaten ab: Ein Link begann mit dem Durchlaufen des ausgehenden Datenverkehrs (Teil von KnowBe4) und wurde an Edgepilot.com von OpenText weitergeleitet. Als nächstes erfolgte eine Weiterleitung zu einem Server von Inky, einem weiteren Sicherheitsanbieter. Schließlich wurde er zu Barracudas cudasvc.com weitergeleitet und dann auf eine gefälschte WordPress-Anmeldeseite, die eingerichtet wurde, um Microsoft-Anmeldeinformationen abzugreifen. Alle diese Schritte verliefen über Unternehmen, die Organisationen kennen und denen sie vertrauen.
Da die Verteidiger Datenverkehr von diesen Anbietern zulassen, wurde der Link nicht blockiert. Die meisten automatisierten Tools verfolgen die Kette nicht bis zu ihrem eigentlichen Ziel. Der Klickzeitschutz funktioniert nur, wenn Sie die Inhalte prüfen, die die Benutzer letztendlich sehen werden. Wenn es sich bei der letzten Seite um eine gefälschte Anmeldung handelt, während die Route über vertrauenswürdige Anbieter führt, wird sie von älteren Sicherheitsfiltern oft völlig übersehen.
Was können Verteidiger also tun? Es ist an der Zeit, intelligenter zu werden und über einfache Sperrlisten hinauszugehen. Der Starspieler ist hier die Verhaltenserkennung. Durch die Beobachtung merkwürdiger Vorgänge – wie Anmeldungen von ungewöhnlichen Orten, Änderungen der Mailbox-Regeln oder Verkehrsspitzen von vertrauenswürdigen Cloud-Domänen – können Sicherheitsteams erkennen, was merkwürdig ist, und nicht nur, was aufgelistet ist.
Die kontinuierliche Überprüfung von Cloud-App-Integrationen, die Protokollierung und die intelligente Überwachung ungewöhnlicher API-Nutzung sind ein Muss. Wenn es um URLs geht, sind das Scannen und intelligente Filtern, die die gesamte Reise analysieren, nicht nur den ersten Anbieter oder offensichtliche Weiterleitungen, entscheidend. Unternehmen benötigen Tools wie Varonis Interceptors Phishing Sandbox, die den Verzweigungen und Wendungen umgeschriebener Links folgen, aufdecken können, was den Benutzern tatsächlich angeboten wird, und selbst dann schützen, wenn der Datenverkehr „sicher“ aussieht.
Manchmal bedeutet dies, fortschrittliche Lösungen zu verwenden, die tief in die Infrastruktur integriert sind, um kontextreiche Protokollierung und Sichtbarkeit zu bieten und Zugriffe und Änderungen zu verfolgen, die selbst auf Plattformen, denen jeder vertraut, hervorstechen. Indem Organisationen ihre Abwehrmechanismen auf Verhaltensanalysen und die vollständige Analyse des gesamten Angriffsablaufs abstimmen, können sie die Cloud-Sicherheit stärken – selbst wenn die Taktiken der Angreifer von Tag zu Tag ausgefeilter werden.
Moderne Cyberangriffe sind clever, schnell und gut darin, sich zu tarnen. Verteidiger, die sich anpassen, auf Verhaltensweisen achten und alle beweglichen Teile überprüfen (nicht nur die, die auf der Liste der vertrauenswürdigen stehen), haben die besten Chancen, ihre Cloud-Umgebungen sicher zu halten. In einem Zeitalter, in dem Vertrauen geliehen werden kann, ist die Entwicklung von Sicherheitssystemen, die auf das achten, was Angreifer tun, und nicht darauf, wer sie vorgeben zu sein, der Weg in die Zukunft.
Varonis Interceptor passt sich kontinuierlich an die Tricks an, die Angreifer täglich entwickeln, indem er in der Lage ist, jedem einzelnen Link zu seinem Ziel zu folgen. In Echtzeit inspizieren, was da ist, egal welche Verschleierungen ihnen in den Weg gelegt werden.
Sind Sie daran interessiert, wie prädiktive KI Unternehmen vor komplexen Phishing-Angriffen schützen kann? Testen Sie Varonis Interceptor.
Hinweis: Dieser Blog wurde mit Hilfe von KI übersetzt und von unserem Team überprüft.