• Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
  • UNTERNEHMEN
    • Team
    • Referenzen
    • Karriere
    • Kontakt
  • EVENTS
    • Events
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
  • Kurz URLs im Heuhaufen
Tim Lenzen
Autor: Dr. Tim LenzenData Scientisthttps://www.linkedin.com/in/tim-lenzen-240129186/–Auf LinkedIn vernetzen

32Guards berichtet: Kurz-URLs im Heuhaufen

Kurz-URL-Dienste wie beispielsweise bit.ly werden von Kriminellen immer wieder eingesetzt, um Phishing-Links an E-Mail-Sicherheitslösungen vorbei auf die Rechner ihrer Opfer zu bringen. Wir zeigen Ihnen diesem Artikel, wie Kurz-URLs als Teil von Spam-Kampagnen eingesetzt werden und warum 32Guards und sein dedizierter Webcrawler einen idealen Schutz vor Angriffen bieten.

Wie bereits in vorangegangenen Artikeln beschrieben, sind Phishing-Attacken mit bit.ly-Links ein beliebter Angriffsvektor. Ganz generell sollte man jeglicher Art Kurz-URLs mit einer gewissen Grundskepsis begegnen. 32Guards bietet wirksamen Schutz vor gefährlichen Kurz-URLs – aber trifft dies auch bei immer schneller auftauchenden Kurz-URL-Diensten zu? Schauen wir uns die aktuelle Situation einmal an.

Mit 32Guards die Daten in den Griff bekommen

Einen Kurz-URL-Dienst zu betreiben ist technisch nicht besonders aufwändig. Neben bekannten Diensten wie „bit.ly“ oder auch „t.co“ entstehen deshalb laufend neue Webseiten, die die Erstellung von Kurz-URLs anbieten. Oft zählen Phishing-Angreifer zu den „early adopters“ dieser neuen Dienste.

Um einen optimalen Schutz zu bieten, sollten neue Kurz-URL-Dienste also schnell als solche erkannt werden, denn nur so können die generierten URLs mit der angemessenen Vorsicht behandelt werden. Die von 32Guards gesammelten Meta-Daten erlauben es zusammen mit dem eingesetzten Webcrawler, hinter die Kulissen der Kurz-URL-Dienste zu schauen und wertvolle Informationen zu sammeln.

32Guards sieht pro Woche 60 Millionen URLs. Über 1,5 Millionen dieser URLs gehören zu neuen Domänen, also Domänen, die zuvor noch nicht gesichtet worden sind. Aus dieser riesigen Menge die Kurz-URL-Dienste herauszufiltern, entspricht der sprichwörtlichen Suche nach der Nadel im Heuhaufen. Es gilt also, den großen Datensatz zunächst einzugrenzen.

Wie man Kurz-URLs herausfiltert

Zwei einfache Charakteristika dienen als Indiz für eine typische Kurz-URL:

  • Kurz-URLs sind kurz

    Ein sinnvoller Hinweis auf Kurz-URLs ist die Tatsache, dass diese URLs kurz sind. Schockierend, nicht wahr? Einer Domäne aus wenigen Zeichen folgt hier in der Regel ein kurzer Pfad.

  • Kurz-URLs haben keinen Query String

    Viele dieser URLs haben zudem keinen Query String. Natürlich gibt es auch „normale“ URLs, die dieser Beschreibung folgen. Auch kommerzielle Webseiten oder Blogs achten manchmal darauf ihre URLs kurz zu halten. Um der Masse an Daten Herr zu werden, ist dieses Kriterium allerdings sehr hilfreich.

Ein Beispiel, das in dieses Schema passt, ist der Dienst „flip.it“. Die zugehörigen URLs folgen einem einfachen Muster:

Hxxp://www.flip.it/SAYDaj

Hxxp://www.flip.it/bnwaNO

Hxxp://www.flip.it/dCnGP5

Wohin führen die Kurz-URLs?

Genauere Informationen liefern hier die Daten des Crawlers. Die folgende Grafik zeigt, wohin die von “flip.it” erzeugten URLs auflösen:

Ziele der flipit-URLs

Die Ergebnisse machen deutlich, dass der Dienst auf legitime (und bekannte) Domänen weiterleitet. Die Crawler-Daten erlauben eine sichere Bewertung.

Ein anderes Bild bietet sich bei der Analyse des Dienstes „1i.fi“. Auch hier haben wir eine kurze Domäne, die immer in Kombination mit kurzen Pfaden auftritt. Ein Blick auf die Ziele der Weiterleitungen lässt kaum Fragen offen:

Ziele der 1ifi-URLs

Auch hier kann 32Guards also schnell reagieren und die URL-Shortener-Domäne entsprechend bewerten.

Neue Dienste sind besonders beliebt bei Kriminellen

Auch der zeitliche Verlauf der „1i.fi“-Sichtungen erlaubt interessante Einblicke:

Zeitliche Verteilung der 1ifi-URLs

Es ist zu sehen, dass “1i.fi” erst seit Kurzem wirklich aktiv verwendet wird – und ein weiteres Indiz dafür, dass es sich um die Nutzung durch Kriminelle handelt. 32Guards erkennt hier eindeutig und frühzeitig die plötzliche, verstärkte Nutzung eines und kann den entsprechenden Dienst dann umso genauer im Blick behalten.

Bei den beiden bisher gezeigten Beispielen war es einfach, eine Bewertung vorzunehmen, denn die Ziele der Kurz-URLs waren leicht als unseriös zu erkennen. Anders sieht es bei Diensten wie „bit.ly“ aus, die sowohl für Spam-Attacken als auch für legitime Kommunikation verwendet werden. Der Dienst „urlz.fr“ ist ein weiteres Beispiel:

Ziele der urlzfr-URLs

Auch dieser Dienst wurde in letzter Zeit für die Verbreitung von Links auf „lovesos.space“ verwendet. Allerdings befinden sich unter den anderen Links durchaus auch Dienste, die einen legitimen Gebrauch von „urlz.fr“ zumindest nahelegen.

Ein Blick auf die zeitliche Verteilung hilft weiter:

Zeitliche Verteilung der urlzfr-URLs

Es zeigt sich auch hier ein sprunghaft ansteigendes Aufkommen. Es ist stark anzunehmen, dass diese Spam-Kampagne mit der oben gezeigten Kampagne bei „1i.fi“ in Verbindung steht – mit dem Unterschied, dass URLs von „urlz.fr“ noch früher gesichtet wurden.

URL-Ketten sollen die Erkennung erschweren

Neben der herkömmlichen Verwendung der Kurz-URL-Dienste sind Verkettungen ein beliebtes Mittel, um die Auswertung von schädlichen Kurz-URLs zu erschweren. Hierbei verweisen die URLs auf einen weiteren Dienst, in einigen Fällen sogar auf mehrere hintereinander. Erst dann wird auf das eigentliche, bösartige Ziel verwiesen.

Hier ein Beispiel für eine solche Kette:

0i.is/153CAIXA –> rb.gy/l4012t –> 0i.is/103CAIXA –> rb.gy/qwkxdj –> 0i.is/cef0 –> gg.gg/ncii6 –>www.atendimentosaconline.com/

Hier wird zunächst zwischen den Kurz-URL-Diensten „0i.is“ und „rb.gy“ hin- und her geschaltet. Vor dem Ende der Kette wird sogar noch der Dienst „gg.gg“ hinzugefügt.

Solche Ketten sind eher die Ausnahme, trotzdem zeigt sich auch hier, welcher Aufwand in einigen Fällen betrieben wird, um Schadsoftware zu verteilen. 32Guards erkennt auch solche Ketten zuverlässig und bietet damit sicheren Schutz vor Schadcode, der über Kurz-URLs verbreitet werden soll.

Fazit 

Der Artikel hat gezeigt, wie 32Guards auf Basis der gesammelten Meta-Daten neue Kurz-URL-Dienste erkennt und mit Hilfe des Webcrawling eine treffsichere Bewertung möglich ist. So kann 32Guards schnell neue Entwicklungen erkennen und sein Regelwerk entsprechend anpassen: Als verdächtig eingestufte Kurz-URL-Dienste können von 32Guards intensiver analysiert und bei eindeutiger Datenlage proaktiv und vollständig geblockt werden.

32Guards jetzt einsetzen

Die 32Guards-Aktion in NoSpamProxy sorgt dafür, dass Metadaten zu E-Mails und Anhängen gesammelt und analysiert werden. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann. Sollten Sie Interesse daran haben, die Beta-Version von Projekt 32Guards zu nutzen, senden Sie eine E-Mail mit dem Betreff „32Guards-Freischaltung“ an den NoSpamProxy-Support und fügen Sie einen Screenshot Ihrer Lizenzdetails an.

32Guards einsetzen
  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Knowledge Base

Knowledge Base

Hinweis: Die Informationen in dieser Knowledge Base gelten nur für NoSpamProxy bis Version 13.2. Sämtliche Informationen für NoSpamProxy 14 und höher finden Sie in der Online-Dokumentation.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Info IconKritische Outlook-Schwachstelle: Keine Gefahr für NoSpamProxy-Kunden24.03.2023 - 15:08
  • Standardfiltereinstellungen in NoSpamProxy 1422.03.2023 - 10:00
  • NoSpamProxy Update BannerGlobal Rollout NoSpamProxy Version 14.0.515.03.2023 - 15:20
IMPRESSUM • EULA • Datenschutzerklärung • © 2023 Net at Work GmbH
  • Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
Absenderreputation und E-Mail-Sicherheit – Teil 3: DomainKeys Identified Mail...DomainKeys Identified Mail DKIM PreviewDomainKeys Identified Mail DKIM PreviewAbsenderreputation und E-Mail-Sicherheit – Teil 4: Domain-based Message Authentication,...
Scroll to top