• Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
  • UNTERNEHMEN
    • Team
    • Referenzen
    • Karriere
    • Kontakt
  • EVENTS
    • Events
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
  • Schutz vor Phishing Mails mit Kurz-URLs

32Guards schützt vor gefährlichen Kurz-URLs

In seinen Analysen sind 32Guards in den letzten Monaten Kurz-URL–Dienste immer wieder besonders negativ aufgefallen. Diese URL Shortener erzeugen eine alternative, kurze URL, die beispielsweise auf Twitter verwendet werden kann. Auf diese Weise kann die Anzahl der in einem Post verwendeten Zeichen reduziert werden. Dass die Nutzung dieser Dienste Probleme mit sich bringen kann, liegt selbstverständlich bereits in der Tatsache begründet, dass das tatsächliche Ziel der URL nicht erkennbar ist – geradezu eine Einladung an Phisher und andere Cyberkriminelle.

Bei vielen Phishing-Attacken werden auf den ersten Blick seriös aussehende Kurzlinks von etablierten Anbietern wie beispielsweise bit.ly eingesetzt. Das grundsätzliche Verbieten solcher URL–Shortener–Dienste ist jedoch nicht möglich, denn häufig weisen Kurz-URLs auf legitime Seiten. 32Guards erkennt die gefährlichen Links und bietet Schutz vor gefährlichen Kurz-URLs.

Was ist 32Guards?

Der 32Guards-Service in NoSpamProxy sammelt und analysiert Metadaten zu E-Mails und Anhängen. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann.

32Guards einsetzen

32Guards filtert gefährliche URLs aus Phishing-Mails heraus

Durch die Einführung eines Webcrawling–Dienstes ist 32Guards ab sofort in der Lage, noch aussagekräftigere Daten bezüglich URL-Weiterleitungen zu sammeln und so gefährliche und ungefährliche Links zu unterscheiden. 

Im aktuellen Zustand hat dieser Dienst zwei wesentliche Verwendungen. Zum einen können URL-Weiterleitungen aufgelöst, zum anderen Hashes und Mimetypes von Datei-Downloads bestimmt werden. Der Fokus dieses Artikels liegt dabei auf den URL-Weiterleitungen. Natürlich ist es aus mehreren Gründen keine gute Idee, URLs wahllos auf Weiterleitungen zu prüfen: Die Kosten würden bei wöchentlich 50 Millionen gesehenen, unter Umständen mehrfach zu prüfenden URLs in keinem Verhältnis zum Nutzwert der gesammelten Informationen stehen.  

In der folgenden Abbildung ist eine Übersicht der untersuchten Seiten dargestellt: 

Heimdall bietet Schutz vor gefährlichen Kurz-URLs

Den größten Teil machen hier bit.ly Links aus. Verschiedene Subdomänen auf Google Firebase (page.link) sind auch unter den häufig gesichteten (und gecrawlten) URLs. Eher selten, aber doch noch signifikant, werden Links auf andere URL-Shortener Dienste wie „j.mp“ und „is.gd“ gesichtet. 

Kurz-URLs führen meist zu Phishing-Seiten

Es fällt auf, dass ein wesentlicher Teil der untersuchten URLs zu bekannten Phishing- oder Spam-Seiten führt, die beispielsweise bei VirusTotal bekannt sind. Dabei sind thematisch verschiedene Bereiche abgedeckt. Die meisten Domänennamen sprechen hier schon für sich. Eine solche Verteilung lässt sich auch bezogen auf einzelne Dienste ermitteln. 

Die bit.ly-Links leiten – wie zu erwarten – auf eine Vielzahl verschiedener Domänen weiter. Aus diesem Grund dominiert auch die Kategorie “Andere“. Hier werden die Sichtungen aller weniger häufig gesehenen Zieldomänen zusammengefasst. Ansonsten finden sich hier sowohl bösartige Seiten als auch Links zu seriösen Seiten. Dennoch lässt sich vermuten, dass die bösartigen Links dominieren.  

Bei kleineren URL-Shortener-Diensten wie beispielsweise „is.gd“ ergibt sich ein anderes Bild. Hier finden sich zu einem überwiegenden Teil Weiterleitungen auf bösartige oder zumindest unerwünschte Seiten.

Die Bilder in der folgenden Galerie geben eine Übersicht zu den Link-Zielen, sowohl allgemein als auch beschränkt auf bit.ly beziehungsweise is.gd:

  • Übersicht der Ziele aller untersuchten URL Shortener

    Schutz vor gefährlichen Kurz-URLs
  • Ziele von bit.ly-URLs

    Phishing Mails URL Shortener bit.ly - Schutz vor gefährlichen Short-URLs
  • Ziele von is.gd-URLs

    Phishing Mails URL Shortener
PreviousNext
123

Weiterleitungsketten deuten auf Phishing hin

Ein weiteres Kriterium für die Bewertung ist die Art der Weiterleitung. Dabei macht es einen großen Unterschied, ob der Kurzlink direkt zum gewünschten Ziel führt oder es zu einer Kette von Weiterleitungen kommt. Der Crawler-Dienst ermittelt die Länge dieser Kette sowie alle intermediären URLs. 

In den meisten Fällen wird das Ziel direkt oder mit einem Zwischenschritt erreicht. Allerdings kann es sein, dass bis zu neun Zwischenstopps eingelegt werden – kein gutes Zeichen. In den unten gezeigten Grafiken sind die Längenverteilung dieser Weiterleitungsketten sowie die Zieldomänen von Ketten länger als vier gezeigt. Auch diese Daten stützen die These, dass lange Weiterleitungsketten häufig zu bösartigen Seiten führen.

  • Längenverteilung von Weiterleitungsketten

    Phishing Mails URL Shortener Weiterleitungsketten
  • Zieldomänen von Ketten länger als vier

    Phishing Mails URL Shortener Ziele der Weiterleitungsketten
PreviousNext
12

Webcrawling mit 32Guards erhöht Schutz vor gefährlichen Kurz-URLs

Alles in allem zeigt sich, dass mit Hilfe von Webcrawling hilfreiche und interessante Daten generiert werden können. So können konkrete Kurzlinks bewertet werden, die dann als Indicators of Compromise (IOCs) aufgenommen werden. Wichtige IOCs sind bereits als verdächtig bekannte Shortener-URLs, die Tatsache, dass Kurz-URLs vielfach auf dasselbe Ziel zeigen oder lange Weiterleitungsketten. Außerdem können auch ganze Dienste wie beispielsweise is.gd oder Subdomänen wie klow.page.link bewertet und zielgenau mit SCL-Punkten belegt werden. So verbessert sich der Schutz vor Phishing-Mails deutlich.

Die Möglichkeiten reichen jedoch noch weiter: Durch die Ermittlung der URLs hinter den Kurzlinks können außerdem verdächtige URLs gefunden und bewertet werden, bevor sie „unverschleiert“ in E-Mails vorkommen. Dies wiederum trägt dazu bei, dass 32Guards auch bezüglich erstmalig erkannter URLs kontinuierlich leistungsfähiger wird.

Grundsätzlich bleibt festzuhalten, dass sich hinter den meisten Kurzlinks nichts Gutes verbirgt. 32Guards bietet in jedem Fall schnellen und proaktiven Schutz, denn er erkennt gefährliche und betrügerische Links sowie die zu Grunde liegenden Muster und schützt Sie und Ihr Unternehmen vor Malware, Ransomware und Spam. Das Aufdecken von Mustern sowie das Korrelieren der Untersuchungsergebnisse mit von 32Guards gesammelten Meta-Daten ermöglicht eine Echtzeitbewertung der gesammelten Daten und ein kontinuierlich steigendes Schutzlevel für Ihr Unternehmen.

32Guards jetzt einsetzen

Der 32Guards-Service in NoSpamProxy sorgt dafür, dass Metadaten zu E-Mails und Anhängen gesammelt und analysiert werden. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz made in Germany, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann. Sollten Sie Interesse daran haben, die Beta-Version von Projekt 32Guards zu nutzen, senden Sie eine E-Mail mit dem Betreff „32Guards-Freischaltung“ an den NoSpamProxy-Support und fügen Sie einen Screenshot Ihrer Lizenzdetails an.

32Guards einsetzen
  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Knowledge Base

Knowledge Base

Hinweis: Die Informationen in dieser Knowledge Base gelten nur für NoSpamProxy bis Version 13.2. Sämtliche Informationen für NoSpamProxy 14 und höher finden Sie in der Online-Dokumentation.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Info IconKritische Outlook-Schwachstelle: Keine Gefahr für NoSpamProxy-Kunden24.03.2023 - 15:08
  • Standardfiltereinstellungen in NoSpamProxy 1422.03.2023 - 10:00
  • NoSpamProxy Update BannerGlobal Rollout NoSpamProxy Version 14.0.515.03.2023 - 15:20
IMPRESSUM • EULA • Datenschutzerklärung • © 2023 Net at Work GmbH
  • Rss
  • LinkedIn
  • Youtube
  • Twitter
  • Instagram
NoSpamProxy unterstützt das Westfälische KinderdorfWestfaelisches KinderdorfEmotet stirbt den EmotodEmotet-Infrastruktur durch internationale Aktion zerschlagen
Scroll to top