Varonis warnt vor gefälschten Vanity-URLs bei Zoom und Google
URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe
Die Varonis Threat Labs haben bei Zoom, Box und Google Docs Schwachstellen entdeckt, die Cyberkriminellen eine einfache Fälschung von Einladungs-URLs ermöglichen. Dadurch erwecken Phishing-Links selbst bei geschulten Mitarbeitenden einen vertrauenswürdigen Anschein, was die Wahrscheinlichkeit einer erfolgreichen Attacke wesentlich erhöht: Wenn sie auf den Link ihres vermeintlichen Arbeitgebers, Kunden oder Partner klicken, werden sie auf eine authentisch wirkende Phishing-Seite geleitet, auf der sie sensitive Daten wie Passwörter und persönliche Informationen preisgeben sollen.
Je nach Social-Engineering-Technik erscheinen diese Angaben den Nutzern als durchaus plausibel. So könnte etwa zu einem aktuellen internen Webinar aufgrund eines vermeintlichen Cyberangriffs eingeladen werden, in dessen Vorfeld zunächst das Passwort geändert werden müsse. Während Box diese Schwachstelle geschlossen hat, sind bei Zoom und Google solche Manipulationen noch möglich.
Viele SaaS-Anwendungen bieten so genannte Vanity-URLs an, also anpassbare Webadressen für Webseiten, Formulare und Links zur Dateifreigabe. Mit Vanity-URLs lässt sich ein personalisierter Link erstellen wie etwa varonis.example.com/s/1234 anstelle von app.example.com/s/1234. Die Varonis Threat Labs entdeckten jedoch, dass einige Anwendungen die Legitimität der Subdomäne der Vanity-URL (z. B. ihrunternehmen.example.com) nicht validieren, sondern nur den URI (wie /s/1234). Infolgedessen können Angreifer ihre eigenen SaaS-Konten verwenden, um Links zu bösartigen Inhalten wie Dateien, Ordnern, Landing Pages oder Formularen zu generieren, die scheinbar von dem SaaS-Konto des eigenen Unternehmens gehostet sind. Um dies zu erreichen, müssen sie lediglich die Subdomäne im Link ändern. Entsprechend können diese gefälschten URLs zu Phishing-Kampagnen, Social-Engineering-Angriffe, Reputationsangriffe und zurVerbreitung von Malware dienen.
Zoom ermöglicht Unternehmen eine Vanity-URL wie ihrunternehmen.zoom.us, um Webinar-Registrierungsseiten, Login-Seiten für Mitarbeiter, Meetings, Aufzeichnungen und ähnliches zu hosten. Dabei lassen sich Logos hochladen und das Farbschema anpassen. Auf diese Weise können Angreifer ihre eigenen URLs durch eine scheinbar legitime Domäne ersetzen und die Zielseiten täuschend echt gestalten. In aller Regel (wenn auch nicht immer) erscheine bei der Weiterleitung jedoch eine Pop-up-Warnung, die darüber informiert, dass die Nutzer im Begriff sind, auf externe Inhalte zuzugreifen, die nicht zur eigenen Domäne gehören. Gleichwohl werden diese Hinweise gerade von weniger geschulten Mitarbeitenden häufig ignoriert, sodass dieser Weg durchaus eine effektive Angriffstechnik sein kann.
Bei einigen Zoom-Webinaren konnten die Varonis-Experten die Registrierungs-URL so ändern, dass sie die Subdomain eines beliebigen Unternehmens enthielt, ohne eine Warnmeldung auszulösen. Auf diese Weise können bösartige Webinar-Registrierungsformulare nutzen, um die persönlichen Daten oder Passwörter der Mitarbeitenden oder Kunden abzufangen.
Deshalb mahnt das Varonis Threat Labs zur Vorsicht bei Zoom-Links, insbesondere bei solchen, die „.zoom.us/rec/play/“ enthalten, und keine sensiblen persönlichen Daten in Formulare zur Meeting-Registrierung einzugeben, selbst wenn das Formular auf einer offiziellen Subdomain mit dem richtigen Logo und Branding gehostet zu werden scheint. Derzeit arbeitet Zoom noch an einer Lösung für diese Probleme.
Google Docs und Google Forms: Auch Webanwendungen, die nicht über eine dedizierte Vanity-URL-Funktion verfügen, lassen sich auf ähnliche Weise missbrauchen. So lassen sich Google-Formulare, in denen vertrauliche Daten abgefragt werden, mit dem Logo des jeweiligen Unternehmens versehen und an Kunden oder Mitarbeitende als ihrunternehmen.docs.google.com/forms/d/e/:form_id/viewform verteilen, um einen legitimen Anschein zu erwecken. Ebenso sei jedes Google-Dokument zu fälschen, das über die Option „Im Web veröffentlichen“ freigegeben ist. Momentan arbeite Google an einer Behebung dieser Problematik.
- URL-Spoofing ermöglicht gezielte Social-Engineering-Angriffe
- Fazit
Lesen Sie mehr zum Thema
