Erhöhtes Aufkommen von bit.ly Links
Typischer Weise sieht man bei diesen E-Mails im Body ein Emoji gefolgt von einem sehr kurzen Text und dann einem bit.ly Link. In durch Heimdall gesammelten Daten lässt sich ein deutlich erhöhtes Aufkommen von bit.ly Links erkennen:
Der Graph zeigt die Anzahl an Sichtungen von bit.ly-Links (pro Stunde) in Heimdall. Die Annahme ist hier, dass ein Großteil des zusätzlichen Volumens auf Phishing zurückzuführen ist (für den 15.9.2020 wären das knapp 20.000 URLs). Diese Angriffe bergen ein hohes Gefahrenpotential.
Heimdall sendet bei betroffenen URLs Warnung
In den letzten Monaten konnten wir mit Heimdall im Bezug auf „Hallo-Spams“ gute Erfolge erzielen. Bei den vorherigen Phishing Angriffen wurden allerdings unbekanntere URL-Shortener Dienste oder Maschinen-generierte Blogspot Seiten verwendet, die einfach als bösartig zu erkennen sind. Im Fall der hier verwendeten bit.ly-URLs ist dies nicht so einfach der Fall, da sich diese auch in legitimer E-Mail-Kommunikation finden. Aufgrund der besonderen Bedrohungslage sendet der Heimdall Dienst bei diesen URLs im Moment eine Warnung. Bei allen Kunden, die schon an der Heimdall-Beta-Version teilnehmen, werden dadurch 2 SCL vergeben. Aufgrund der wenigen anderen verdächtigen Merkmale dieser E-Mails führt dies leider nicht immer zu einer Abweisung.
Wie kann man die Spam-Mails mit bit.ly Links abwehren?
Für eine strengere Behandlung dieser Spam E-Mail empfehlen wir folgende temporäre lokale Modifikation:
Unter NoSpamProxy Managment Konsole > Konfiguration > Voreinstellungen > Wortübereinstimmungen > “Hinzufügen” lässt sich wie im Beispiel gezeigt eine Wortgruppe anlegen. Hier kann dann das entsprechende Muster definiert werden.
Danach kann in den Inbound-Regeln (NoSpamProxy Management Konsole > Konfiguration > Regeln) unter „Filter“ der Filter „Wortübereinstimmungen“ ergänzt werden (falls dieser noch nicht verwendet wird) und die neu erstellte Wortgruppe „Gesperrte Links“ ausgewählt werden.
Bei diesem Vorgehen werden alle E-Mails mit bit.ly-URLs abgewiesen. In unseren aktuellen Daten ist momentan zu erkennen, dass die Angriffe hauptsächlich von „outlook.com“ oder „hotmail.com“ Adressen versendet werden. Diese Erkenntnis lässt alternativ ein trennschärferes Vorgehen zu, um ggf. die False Positive Rate zu senken.
Dabei wird zunächst eine neue eigene Regel erstellt, z.B. durch das Duplizieren der bestehenden „All other inbound mails“ Regel. Hier kann dann nur in dieser neuen Regel die oben erstellte Wortgruppe „Gesperrte Links“ verwendet werden. Die neue Regel kann kann unter „Nachrichtenfluss“ auf die betreffenden MAIL FROM Domänen beschränkt werden:
Heimdall jetzt einsetzen
Die Heimdall-Aktion in NoSpamProxy sorgt dafür, dass Metadaten zu E-Mails und Anhängen gesammelt und analysiert werden. Das Ziel: der Aufbau einer noch leistungsfähigeren Anti-Malware-Intelligenz, die Angriffe durch Spam und Malware noch schneller und zielsicherer erkennen und abwehren kann. Sollten Sie Interesse daran haben, die Beta-Version von Projekt Heimdall zu nutzen, senden Sie eine E-Mail mit dem Betreff „Heimdall-Freischaltung“ an den NoSpamProxy-Support und fügen Sie einen Screenshot Ihrer Lizenzdetails an.
Der Security Insider hat unseren Blogartikel aufgegriffen und einen Beitrag dazu veröffentlicht.