URL-Weiterleitung – so umgehen Angreifer die Mailgateways

E-Mail ist und bleibt ein Werkzeug im Alltag von uns allen. Ob es für das Versenden von wichtigen Dokumenten und Informationen bei der Arbeit oder das Weiterleiten der super duper witzigen Power Point Präsentation von Tante Hannah verwendet wird, jeder kommt mit E-Mails in Kontakt.

Die derzeitige Pandemie sowie auch die Empfehlung fürs Home-Office waren Auslöser für den Anstieg an versendeten Mails. Für das Jahr 2021 wird noch ein weiterer Anstieg vermutet, dies aber nur nebenbei (siehe dazu: www.cnbc.com/2020/10/23/expect-more-brand-emails-and-texts-than-ever-before-in-2021.html). Dadurch stieg die Aufmerksamkeit für E-Mail und damit auch die Möglichkeiten, diese für eigene Zwecke zu missbrauchen.


Die klassischen Attacken via E-Mail

1.  Übermittlung von Malware

Per E-Mail werden Schadprogramme, welche auf dem Empfängergerät eine gewisse Funktion ausführen möchten, versendet.

 

2.  Phishing

Es wird versucht an geheime / sensible Daten der Firma oder der Person zu kommen. Hierzu gibt es einen Blog-Artikel: www.tec-bite.ch/massnahmen-gegen-phishing/

 

3.  Spoofing

Der Angreifer gibt sich als jemand anderes aus z.B. als Abteilungsleiter oder Chef. Auch über dieses Thema haben wir einen interessanten Artikel auf unserem Blog: www.tec-bite.ch/die-chef-masche-was-man-gegen-spoofing-mails-machen-kann/

 

4.  Ransomware

War sehr bekannt und vertreten in den Medien. Wird auch Kryptotrojaner oder Erpressungssoftware genannt. Da diese die Dateien auf dem Computer oder Server verschlüsselte und nur gegen einen Betrag den Entschlüsselungskey herausgegeben hat. Kam häufig in Office-Dateien mit Macros drin vor.

 

5.  Directory Harvest Attacks

Hierbei versucht ein Angreifer herauszufinden, was für existierende Mailadressen beim Ziel verfügbar sind, um diese dann z.B. für eine SPAM-Empfängerliste zu verwenden.

 

Dies sind nur einige der Bedrohungen, welche via E-Mail zum Enduser kommen können. Weiter habe ich SPAM nicht aufgelistet, da SPAM per se keine Bedrohung ist, sondern einfach nur nervig.


Ist der Standard noch genug?

Heutzutage kann ein normales Mailgateway schone viele der Bedrohungen erkennen und blockieren. Jedoch nur, wenn diese auch schon durch eine Signatur oder Hash-Wert etc. bekannt sind. Dies wissen auch die Angreifer und haben sich dadurch auch weiterentwickelt. So versuchen sie mittels verschiedenen neuen Techniken, die «Standarderkennungsmechanismen» zu umgehen.

Ein Beispiel: Ein Angreifer möchte eine Ransomware in eine Firma pflanzen, um alle Dateien zu verschlüsseln. Somit kann er Schaden anrichten und, wenn die Firma das Lösegeld zahlt, bekommt er noch einen schönen Batzen Geld. Das Problem nun ist, dass vielleicht das Mailgateway gar keine Anhänge mehr zulässt oder die verwendete Ransomware schon bekannt ist und vom Anti-Virus Modul automatisch erkannt und gelöscht wird.


Mit URL-Weiterleitungen werden die Gateways umgangen

Ein ganz gemeiner Trick ist das Anpassen von URL-Weiterleitungen. Dies ist ein Verfahren, bei welchem eine URL zuerst auf eine andere Seite z.B. heise.de weiterleitet. Aber nach ein paar Minuten, sprich wenn das Mailgateway den URL kontrolliert und für gut befunden hat, diesen dann wieder ändert auf das gewollte Ziel mit möglicherweise einem automatischen Download dahinter.

Und Zack hat der Angreifer seine Ransomware platzieren können und beginnt sich zu überlegen was er mit all dem Lösegeld kaufen kann oder gönnt sich vielleicht mal wieder einen Urlaub (auch wenn dies zurzeit ein wenig schwierig ist, aber ich schweife ab).

Als «Verteidiger» seiner Infrastruktur und User, muss man auch solche Attacken / Tricks abwehren können. Die Standardfunktionen eines Mailgateways genügen nicht mehr. Doch glücklicherweise entwickeln die Hersteller ihre Produkte weiter und bringen zusätzliche Funktionen oder Produkte raus.


Ein Zauberwort hier ist, die URL «umschreiben»

Dadurch kann ein User auf eine URL klicken und diese führt dann zuerst zu einem Proxy oder Mailgateway etc. und dort wird die URL nochmals überprüft.

 

Als Beispiel:

Ursprungs-URL würde auf «definetly-not-a-bad-url-wink-wink.com» zeigen, was ja sicher nichts Böses sein kann. 😉

Jedoch wird diese dann umgeschrieben, damit die Verbindung zuerst mit dem eigenen Proxy oder gar zum Mailgateway etc. aufgebaut wird. Das könnte in etwa so aussehen:
«https://mein-proxy.ch/?url= definetly-not-a-bad-url-wink-wink.com».

Hat sich das Ziel geändert und ist nun nicht mehr harmlos, kann dieser Zugriff nun blockiert werden. Was dazu führt, dass der User nicht einfach etwas herunterlädt, der Angreifer kein Erfolgserlebnis und der IT-Verantwortliche vielleicht einen etwas gemütlicheren Tag hat. 🙂


Die Reise geht weiter

Es gibt natürlich noch weitere und immer neue Bedrohungen. Dazu aber auch Möglichkeiten, sich vor diesen zu schützen.
Mich würde interessieren, was so bei Euch aktuell die grössten Bedrohungen durch E-Mails sind?
Und haben sich diese verändert oder gehäuft seit Corona?

Lasst es mich wissen und schreibt es in die Kommentare. 🙂


Links

Vor Kurzem gab es noch ein sehr interessantes Webinar mit Cisco: www.avantec.ch/cisco-email-security-webinar-sept-2020-deutsch/

Der Beitrag URL-Weiterleitung – so umgehen Angreifer die Mailgateways erschien zuerst auf Tec-Bite.