Neuer Phishing-Angriff auf Microsoft 365-Benutzer nutzt offene Weiterleitungen, um eine Erkennung zu vermeiden

Die Verwendung offener Weiterleitungen von legitimen Domains macht Phishing-E-Mails  so viel glaubwürdiger und glaubwürdiger und verschleiert die gefährliche Natur dieser Angriffe.

In der anhaltenden Saga der Angriffe auf Microsoft 365-Benutzer kündigten Sicherheitsanalysten von Microsoft kürzlich einen weit verbreiteten Angriff an, bei dem offene Weiterleitungen verwendet  werden – eine Technik, die in der Webentwicklung verwendet wird, um auf die URL zu verweisen, zu der Besucher einer Website weitergeleitet werden sollten, sobald die ursprünglich besuchte Seite den Besuch verarbeitet hat.

Ein einfaches Beispiel für eine offene Weiterleitung ist das Folgende:

https://example.com/redirect.php?url=http://angreifer.com

Laut Microsoft werden Angreifer etwas mehr Tricks anwenden, um diejenigen zu täuschen, die sich dafür entscheiden, mit der Maus über Links in E-Mails zu fahren, bevor sie darauf klicken, und eine bösartige URL in eine scheinbar vertrauenswürdige URL einbetten (beachten Sie den roten Teil der URL unten):

Fig4a_openredirect

Quelle: Microsoft

In vielen Fällen führen Weiterleitungen zu bösartigen URLs zuerst Besucher zu Google reCAPTCHA-Seiten, um die Art des endgültigen Ziels von Sicherheitslösungen zur Auswertung von E-Mail-Links weiter zu verschleiern.

Während die Auswertung von Ziel-URLs über das Bewegen von Links in einer E-Mail definitiv eine gute Sicherheitspraxis ist, werden Bedrohungsakteure klug und unternehmen Schritte wie die oben genannten, um es noch schwieriger zu machen, einen bösartigen Link zu erkennen.

Benutzer sollten über security Awareness Training gelehrt werden, mehr auf die tatsächlich gesendete Nachricht zu achten – wenn sie nicht angefordert wird, sollte sie mit zumindest ein wenig Misstrauen und Kontrolle behandelt werden, um sicher zu sein, dass sie legitim ist, bevor sie sich mit Links beschäftigen – gutartig oder bösartig.

Recommended Posts