Cybercriminelen proberen it-beveiligers te hacken door hun url’s door phishing-scanners te laten accepteren, zo ontdekte Cloudflare deze indirecte methode.
Linkwrapping is bedoeld om gebruikers te beschermen door aangeklikte links eerst door een scanservice te leiden. Zo moet worden voorkomen dat die link ongemerkt leidt naar een phishing-website. Cybersecuritybedrijf Cloudflare heeft nu ontdekt dat cybercriminelen nog weer een stap verder gaan. De afgelopen twee maanden hebben ze dergelijke activiteiten gevolgd, uitgelegd en tegenmaatregelen uiteengezet.
Want linkwrapping werkt eigenlijk alleen goed als de scanservice op de hoogte is van de foute link. Het bedrijf heeft ontdekt dat de nieuwste aanpak is om de linkwrapservices zelf aan te vallen, zo toegang te krijgen tot hun lijstgenerators en daar dan de eigen, foute, links op de white list te zetten. Zo kan het lukken om via linkwrapping-functies van Proofpoint en Intermedia slachtoffers door te sturen naar ‘Microsoft Office 365’ phishing-pagina’s. ‘Deze techniek is bijzonder gevaarlijk, omdat slachtoffers veel eerder op een ‘vertrouwde’ url van Proofpoint of Intermedia klikken dan op een niet-verpakte phishing-link,’ waarschuwt de beveiliger.
Indirecte phishing
‘Aanvallers misbruikten Proofpoint-linkwrapping op verschillende manieren, waaronder misbruik van multi-tiered redirects.’ Een voorbeeld is een besmette link achter de knop ‘Voicemail beluisteren’, die leidt naar een ingekorte Proofpoint-link, die via-via naar een Microsoft Office 365 lookalike-pagina gaat, ontworpen om inloggegevens te verzamelen. Een ander voorbeeld is de toegang tot een niet bestaand Microsoft Teams-document.
‘Het misbruik van Intermedia-linkwrapping dat we observeerden, was óók gericht op het verkrijgen van ongeautoriseerde toegang tot e-mailaccounts die beschermd waren door linkwrapping’. Omdat misbruik wordt gemaakt van de vertrouwde domeinen van beveiligingsproviders, ‘is conventionele reputatiegebaseerde url-filtering niet effectief’. De it-beveiliger presenteert wel een manier om dit op te lossen, die onder andere gebruik maken van machine learning-modellen die zijn getraind op berichten met linkwrapping-url’s.
[UPDATE]
‘Proofpoint neemt waar dat cybercriminelen deze techniek gebruiken en misbruik maken van url’s van meerdere beveiligingsleveranciers, waaronder Sophos en Cisco,’ reageert de it-beveiliger tegen Computable. Zulke campagnes worden gedetecteerd in de eigen gedragsmatige ai-detectie-engine, waarna berichten worden verwijderd en uiteindelijke ook de urls aan het einde van de redirectketen wordt geblokkeerd, om misbruik te voorkomen, legt het bedrijf uit.
‘Wanneer cybercriminelen ervoor kiezen om een herschreven url van een beveiligingsdienst, waaronder Proofpoint, te gebruiken, betekent dit dat zodra de beveiligingsdienst de uiteindelijke url blokkeert, de hele aanvalsketen wordt geblokkeerd voor elke ontvanger van de campagne. Dit staat los van het feit dat de ontvanger klant was van de beveiligingsdienst of niet,’ verduidelijkt de cyberbeveiliger.