• Rss
  • LinkedIn
  • Twitter
  • Youtube
  • Xing
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
+49 5251 304-800
NoSpamProxy
  • HOME
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
    • Referenzen
  • SUPPORT
    • Knowledge Base
    • Forum
    • Schulungen
    • Supportanfrage
    • Software-Download
    • Ressourcen
  • PARTNER
    • Partnerportal
    • Partner werden
    • Partner finden
  • UNTERNEHMEN
    • Team
    • Karriere
    • Kontakt
  • EVENTS
    • Veranstaltungen
    • Webcasts
  • BLOG
    • Blog
    • Newsletter
  • KOSTENFREI TESTEN
    • Angebot anfordern
    • Kostenfrei testen
  • Deutsch
    • English
  • Search
  • Menu Menu
  • Schutz vor Phishing Mails mit Kurz-URLs

Heimdall schützt vor gefährlichen Kurz-URLs

In seinen Analysen sind Heimdall in den letzten Monaten Kurz-URL–Dienste immer wieder besonders negativ aufgefallen. Diese URL Shortener erzeugen eine alternative, kurze URL, die beispielsweise auf Twitter verwendet werden kann. Auf diese Weise kann die Anzahl der in einem Post verwendeten Zeichen reduziert werden. Dass die Nutzung dieser Dienste Probleme mit sich bringen kann, liegt selbstverständlich bereits in der Tatsache begründet, dass das tatsächliche Ziel der URL nicht erkennbar ist – geradezu eine Einladung an Phisher und andere Cyberkriminelle.

Bei vielen Phishing-Attacken werden auf den ersten Blick seriös aussehende Kurzlinks von etablierten Anbietern wie beispielsweise bit.ly eingesetzt. Das grundsätzliche Verbieten solcher URL–Shortener–Dienste ist jedoch nicht möglich, denn häufig weisen Kurz-URLs auf legitime Seiten. Heimdall erkennt die gefährlichen Links und bietet Schutz vor gefährlichen Kurz-URLs.

Was ist Heimdall?

Der Heimdall-Service in NoSpamProxy sammelt und analysiert Metadaten zu E-Mails und Anhängen. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann.

Heimdall einsetzen

Heimdall filtert gefährliche URLs aus Phishing-Mails heraus

Durch die Einführung eines Webcrawling–Dienstes ist Heimdall ab sofort in der Lage, noch aussagekräftigere Daten bezüglich URL-Weiterleitungen zu sammeln und so gefährliche und ungefährliche Links zu unterscheiden. 

Im aktuellen Zustand hat dieser Dienst zwei wesentliche Verwendungen. Zum einen können URL-Weiterleitungen aufgelöst, zum anderen Hashes und Mimetypes von Datei-Downloads bestimmt werden. Der Fokus dieses Artikels liegt dabei auf den URL-Weiterleitungen. Natürlich ist es aus mehreren Gründen keine gute Idee, URLs wahllos auf Weiterleitungen zu prüfen: Die Kosten würden bei wöchentlich 50 Millionen gesehenen, unter Umständen mehrfach zu prüfenden URLs in keinem Verhältnis zum Nutzwert der gesammelten Informationen stehen.  

In der folgenden Abbildung ist eine Übersicht der untersuchten Seiten dargestellt: 

Heimdall bietet Schutz vor gefährlichen Kurz-URLs

Den größten Teil machen hier bit.ly Links aus. Verschiedene Subdomänen auf Google Firebase (page.link) sind auch unter den häufig gesichteten (und gecrawlten) URLs. Eher selten, aber doch noch signifikant, werden Links auf andere URL-Shortener Dienste wie „j.mp“ und „is.gd“ gesichtet. 

Kurz-URLs führen meist zu Phishing-Seiten

Es fällt auf, dass ein wesentlicher Teil der untersuchten URLs zu bekannten Phishing- oder Spam-Seiten führt, die beispielsweise bei VirusTotal bekannt sind. Dabei sind thematisch verschiedene Bereiche abgedeckt. Die meisten Domänennamen sprechen hier schon für sich. Eine solche Verteilung lässt sich auch bezogen auf einzelne Dienste ermitteln. 

Die bit.ly-Links leiten – wie zu erwarten – auf eine Vielzahl verschiedener Domänen weiter. Aus diesem Grund dominiert auch die Kategorie “Andere“. Hier werden die Sichtungen aller weniger häufig gesehenen Zieldomänen zusammengefasst. Ansonsten finden sich hier sowohl bösartige Seiten als auch Links zu seriösen Seiten. Dennoch lässt sich vermuten, dass die bösartigen Links dominieren.  

Bei kleineren URL-Shortener-Diensten wie beispielsweise „is.gd“ ergibt sich ein anderes Bild. Hier finden sich zu einem überwiegenden Teil Weiterleitungen auf bösartige oder zumindest unerwünschte Seiten.

Die Bilder in der folgenden Galerie geben eine Übersicht zu den Link-Zielen, sowohl allgemein als auch beschränkt auf bit.ly beziehungsweise is.gd:

  • Übersicht der Ziele aller untersuchten URL Shortener

    Schutz vor gefährlichen Kurz-URLs
  • Ziele von bit.ly-URLs

    Phishing Mails URL Shortener bit.ly - Heimdall bietet Schutz vor gefährlichen Short-URLs
  • Ziele von is.gd-URLs

    Phishing Mails URL Shortener is.gd
PreviousNext
123

Weiterleitungsketten deuten auf Phishing hin

Ein weiteres Kriterium für die Bewertung ist die Art der Weiterleitung. Dabei macht es einen großen Unterschied, ob der Kurzlink direkt zum gewünschten Ziel führt oder es zu einer Kette von Weiterleitungen kommt. Der Crawler-Dienst ermittelt die Länge dieser Kette sowie alle intermediären URLs. 

In den meisten Fällen wird das Ziel direkt oder mit einem Zwischenschritt erreicht. Allerdings kann es sein, dass bis zu neun Zwischenstopps eingelegt werden – kein gutes Zeichen. In den unten gezeigten Grafiken sind die Längenverteilung dieser Weiterleitungsketten sowie die Zieldomänen von Ketten länger als vier gezeigt. Auch diese Daten stützen die These, dass lange Weiterleitungsketten häufig zu bösartigen Seiten führen.

  • Längenverteilung von Weiterleitungsketten

    Phishing Mails URL Shortener Weiterleitungsketten
  • Zieldomänen von Ketten länger als vier

    Phishing Mails URL Shortener Ziele der Weiterleitungsketten
PreviousNext
12

Webcrawling mit Heimdall erhöht Schutz vor gefährlichen Kurz-URLs

Alles in allem zeigt sich, dass mit Hilfe von Webcrawling hilfreiche und interessante Daten generiert werden können. So können konkrete Kurzlinks bewertet werden, die dann als Indicators of Compromise (IOCs) aufgenommen werden. Wichtige IOCs sind bereits als verdächtig bekannte Shortener-URLs, die Tatsache, dass Kurz-URLs vielfach auf dasselbe Ziel zeigen oder lange Weiterleitungsketten. Außerdem können auch ganze Dienste wie beispielsweise is.gd oder Subdomänen wie klow.page.link bewertet und zielgenau mit SCL-Punkten belegt werden. So verbessert sich der Schutz vor Phishing-Mails deutlich.

Die Möglichkeiten reichen jedoch noch weiter: Durch die Ermittlung der URLs hinter den Kurzlinks können außerdem verdächtige URLs gefunden und bewertet werden, bevor sie „unverschleiert“ in E-Mails vorkommen. Dies wiederum trägt dazu bei, dass Heimdall auch bezüglich erstmalig erkannter URLs kontinuierlich leistungsfähiger wird.

Grundsätzlich bleibt festzuhalten, dass sich hinter den meisten Kurzlinks nichts Gutes verbirgt. Heimdall bietet in jedem Fall schnellen und proaktiven Schutz, denn er erkennt gefährliche und betrügerische Links sowie die zu Grunde liegenden Muster und schützt Sie und Ihr Unternehmen vor Malware, Ransomware und Spam. Das Aufdecken von Mustern sowie das Korrelieren der Untersuchungsergebnisse mit von Heimdall gesammelten Meta-Daten ermöglicht eine Echtzeitbewertung der gesammelten Daten und ein kontinuierlich steigendes Schutzlevel für Ihr Unternehmen.

Heimdall jetzt einsetzen

Der Heimdall-Service in NoSpamProxy sorgt dafür, dass Metadaten zu E-Mails und Anhängen gesammelt und analysiert werden. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz made in Germany, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann. Sollten Sie Interesse daran haben, die Beta-Version von Projekt Heimdall zu nutzen, senden Sie eine E-Mail mit dem Betreff „Heimdall-Freischaltung“ an den NoSpamProxy-Support und fügen Sie einen Screenshot Ihrer Lizenzdetails an.

Heimdall einsetzen
  • teilen 
  • mitteilen 
  • twittern 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates

Knowledge Base

Knowledge Base

Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de
NoSpamProxy-Newsletter
Jetzt kostenfrei abonnieren!
Followon TwitterSubscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Angebot anfordern
  • Team
  • Karriere
  • Datenschutzerklärung
  • Impressum
  • Allgemeine Geschäftsbedingungen (AGB)
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

PARTNER

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

KATEGORIEN

  • Alle Themen
  • News
  • Produkt
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

LETZTE NEWS

  • E-Mail-Verschluesselung-fuer-BehoerdenNet at Work und D-TRUST engagieren sich für sicheren Bürgerdialog15.02.2021 - 10:00
  • 6 Mail Attacken 2020Diese Cyber-Attacken kommen in 2021 auf uns zu – und so können wir uns davor schützen08.02.2021 - 16:49
  • blankEin Jahr Heimdall – und das ist erst der Anfang04.02.2021 - 09:00
IMPRESSUM  • EULA • Datenschutzerklärung • © 2021 Net at Work GmbH
  • Rss
  • LinkedIn
  • Twitter
  • Youtube
  • Xing
Emotet stirbt den Emotod Emotet-Infrastruktur durch internationale Aktion zerschlagen
Scroll to top