• Link Wrapping als Angriffsvektor

Link Wrapping als Angriffsvektor

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer RedakteurAuf LinkedIn vernetzen

URL Rewriting gehört heute zu den Standardtechnologien moderner E-Mail-Sicherheitslösungen. Diese Technologie verspricht Schutz vor Phishing-Angriffen, indem URLs in eingehenden E-Mails umgeschrieben und bei jedem Klick erneut geprüft werden. Doch genau diese Sicherheitsfunktion wird zunehmend von Angreifern missbraucht – mit erschreckender Effektivität. Seit 2024 häufen sich die Link-Wrapping-Angriffe. Wir erklären, wie Link-Wrapping-Angriffe ablaufen und wie Sie sich schützen.

05.01.2026|zuletzt aktualisiert:05.01.2026

Was ist Link Wrapping?

Bei aktiviertem URL Rewriting ersetzt das E-Mail-Gateway alle URLs in eingehenden Nachrichten durch eigene Weiterleitungslinks. Anstelle von https://example.com/beispieldokument sieht der Empfänger einen Link wie beispielsweise https://safelinks.protection.outlook.com/?url=https://example.com/beispieldokument. Klickt der Nutzer darauf, prüft die Software die Ziel-URL in Echtzeit – dies wird häufig als Time-of-Click-Protection bezeichnet.

Angreifer verwenden solche umgeschriebenen Links von Sicherheitsprodukten und verwenden diese in ihren E-Mails. Da diese Services und deren Domänen bekannt und lange etabliert sind, genießen sie eine gewisse Reputation – was diese Angriffe so gefährlich macht.

Alle angeklickten URLs werden also umgeschrieben und umgeleitet, sodass bekannte bösartige Ziele zum Zeitpunkt des Klicks blockiert werden können. Diese Methode ist bei bekannten Bedrohungen wirksam; allerdings können Angriffe trotzdem erfolgreich sein, wenn der umgeschriebene Link zum Zeitpunkt des Klicks noch nicht als gefährlich erkannt wurde.

Kriminelle betreiben großen Aufwand

Wie die Kriminellen an die umgeschriebenen Links kommen, ist in vielen Fällen unklar. Es ist möglich, dass die Angreifer selbst ein Sicherheitsprodukt mit URL Rewriting nutzen, um so an umgeschriebene Links zu kommen. Gefährliche Links lassen sie dann umschreiben und versenden diese an die Opfer.

Es ist auch denkbar, dass die Kriminellen durch vorher erfolgreiches Phishing Zugriff auf ein Postfach haben, in dem alle eingehenden Links durch einen Click-Time Protection Service automatisch umgeschrieben werden. Die Kriminellen senden dann einen eigenen Link an die kompromittierte E-Mail-Adresse und leiten dann den umgeschrieben Link aus, um diesen in einer eigenen Phishing-Kampagne zu verwenden.

Da es sich um neue Links handelt, sind diese noch nicht geblockt, oder es ist – bei zeitverzögerter Aktivierung – noch kein bösartiger Inhalt auf der Ziel-URL vorhanden. Erst später wird die harmlose Seite durch eine Phishing-Webseite ersetzt.  Die Angreifer operieren in diesen Fällen oft in einem kurzen Zeitfenster: Auch der missbrauchte Service wird früher oder später die Ziel-URL erkennen und somit den Zugriff sperren.

    Die Gefahr ist erheblich

    Auch Stefan Cink, Director Business and Professional Services bei NoSpamProxy, weist darauf hin, dass die Gefahr erheblich ist, denn falls E-Mail-Security-Gateways so konfiguriert sind, dass sie Links bekannter Dienste nicht mehr überprüfen, gelangen manipulierte URLs mit hoher Wahrscheinlichkeit direkt in den Posteingang der Empfänger.

    In solchen Fällen sind Unternehmen darauf angewiesen, dass der genutzte Rewrite-Dienst die URL nachträglich erneut prüft und den Zugriff im Idealfall blockiert. Diese nachgelagerte Kontrolle ist jedoch nicht zuverlässig genug.

    NoSpamProxy löst das anders: 32Guards bewertet umgeschriebene Links von legitimen Services zentral in der Cloud. Dazu werden mithilfe der 32Guards-Crawler-Infrastruktur alle umgeschriebenen Links bekannter URL-Rewriting-Services untersucht. Wie beim Auflösen von URLs bei einem URL-Shortener werden hier die Weiterleitungen geprüft.

    Im Bedarfsfall wird die gesamte Angriffskette inklusive des umgeschriebenen Links sofort für alle 32Guards-Kunden in der Global Threat Database gesperrt. Kunden von NoSpamProxy Server und NoSpamProxy Cloud, die URL Safeguard verwenden, sind nachträglich geschützt, auch wenn die E-Mail bereits im Postfach zugestellt wurde. In einer laufenden Spam-Kampagne werden neue Zustellversuche mit dieser nun als bösartig erkannten URL sofort blockiert.

    Wie können Sie sich schützen?

    • Verwenden Sie URL Safeguard

      So können URLs auch zu einem späteren Zeitpunkt geblockt werden. Das Link Wrapping spricht nicht gegen, sondern für die Verwendung von URL Safeguard. Nur so können komplexe Angriffe, bei denen legitime Services missbraucht werden und das eigentliche Ziel hinter einer Kette von URLs verschleiert wurde, auch bei verzögerter Erkennung sicher geblockt werden.

    • Melden Sie False Negatives

      False Negatives zusätzlich immer melden! Hier betreiben die Spammer erhöhten Aufwand, weshalb ein zeitnahes Melden in Fällen von False Negatives dazu führen kann, dass solche URLs nachträglich blockiert werden.

    • Nutzen Sie Multi-Faktor-Authentifizierung (MFA)

      In der Regel wird Link Wrapping für Phishing verwendet. Hier hilft es, wenn Sie zusätzlich MFA verwenden. Multi-Faktor-Authentifizierung verhindert, dass gestohlene Zugangsdaten allein für einen erfolgreichen Angriff ausreichen. Selbst wenn Nutzer auf einen manipulierten Link klicken und ihre Zugangsdaten preisgeben, blockiert MFA den unbefugten Zugriff zuverlässig.

    Sie haben NoSpamProxy noch nicht im Einsatz?

    Mit NoSpamProxy Protection schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen Phishing-E-Mails und profitieren von vielen weiteren Sicherheitsfunktionen. Fordern Sie jetzt Ihre kostenlose Testversion an!

    NoSpamProxy kostenfrei testen
    React-Lücke: NoSpamProxy ist nicht betroffenInfo IconGelöschter SPF-Eintrag: Warum DNS-Alarmierung unverzichtbar ist 800x800Wenn der Dienstleister den SPF-Eintrag löscht: Warum DNS-Alarmierung unverzichtbar...