Οι χάκερ βρήκαν έναν τρόπο να εκμεταλλευτούν τις λειτουργίες ανακατεύθυνσης URL μέσω email, ένα εργαλείο που αρχικά σχεδιάστηκε για να προστατεύει τους χρήστες από τις απειλές phishing. Αυτή η νέα τακτική έχει προκαλέσει ανησυχία στους ειδικούς ασφαλείας, καθώς ένα μέτρο προστασίας μετατρέπεται σε ευπάθεια.
Τι είναι η ανακατεύθυνση URL μέσω email
Η ανακατεύθυνση URL είναι μια λειτουργία ασφαλείας που χρησιμοποιείται από προμηθευτές υπηρεσιών ασφάλειας email για την προστασία των χρηστών από κακόβουλους συνδέσμους ενσωματωμένους σε email. Σύμφωνα με την αναφορά της Perception Point, όταν ένας χρήστης κάνει κλικ σε έναν σύνδεσμο, αρχικά ανακατευθύνεται στον διακομιστή του προμηθευτή, όπου και σαρώνονται για απειλές. Εάν κριθούν ασφαλείς, ο χρήστης ανακατευθύνεται στο επιθυμητό περιεχόμενο του ιστού· διαφορετικά, η πρόσβαση εμποδίζεται.
Πώς εκμεταλλεύονται οι χάκερ την ανακατεύθυνση URL
Υπάρχουν δύο κύριοι τύποι ανακατεύθυνσης URL:
- Παραδοσιακές λύσεις ασφαλείας: Αυτές βασίζονται σε κανόνες και υπογραφές γνωστών απειλών. Ανακατευθύνουν URL για να αξιολογήσουν τους συνδέσμους αργότερα, χρησιμοποιώντας ενημερωμένη πληροφορία απειλών. Ωστόσο, αυτό συνήθως συμβαίνει αφού έχει ήδη επηρεαστεί ένα θύμα.
- Προληπτικές λύσεις: Αυτές σαρώνουν τους συνδέσμους κατά τη στιγμή του κλικ χρησιμοποιώντας τεχνολογίες όπως η μηχανική όραση και η μηχανική μάθηση. Σε αντίθεση με τα παραδοσιακά συστήματα, αξιολογούν τη συμπεριφορά του URL σε πραγματικό χρόνο.
Οι οργανισμοί συχνά συνδυάζουν αυτές τις μεθόδους, χρησιμοποιώντας εργαλεία όπως το Secure Email Gateway (SEG) και το Integrated Cloud Email Security (ICES) για ενισχυμένη προστασία.
Από τα μέσα Ιουνίου 2024, οι επιτιθέμενοι έχουν εκμεταλλευτεί τις λειτουργίες ανακατεύθυνσης URL για να εισάγουν phishing συνδέσμους. Αυτή η χειραγώγηση εκμεταλλεύεται την εμπιστοσύνη που δείχνουν οι χρήστες σε γνωστές μάρκες ασφαλείας, κάνοντας ακόμη και τους πιο προσεκτικούς εργαζόμενους να κάνουν κλικ σε φαινομενικά ασφαλείς συνδέσμους.
Πώς οι επιτιθέμενοι εκμεταλλεύονται την ανακατεύθυνση URL
Οι επιτιθέμενοι συνήθως έχουν δύο επιλογές:
- Υπονόμευση λογαριασμών email: Η πιο πιθανή τακτική περιλαμβάνει την υπονόμευση νόμιμων λογαριασμών email που προστατεύονται από λειτουργίες ανακατεύθυνσης URL. Οι επιτιθέμενοι στέλνουν ένα email στον εαυτό τους περιέχοντας έναν «καθαρό από phishing» σύνδεσμο. Αφού το email περάσει από την υπηρεσία προστασίας URL, ο σύνδεσμος ανακατευθύνεται, περιλαμβάνοντας το όνομα και το domain του προμηθευτή ασφαλείας email, δίνοντάς του μια επιπλέον αίσθηση νομιμότητας.
- Εκμετάλλευση της λευκής λίστας: Ορισμένες υπηρεσίες ασφαλείας email περιλαμβάνουν τα αποκλειστικά domains ανακατεύθυνσης στη λευκή λίστα, την οποία εκμεταλλεύονται οι επιτιθέμενοι. Μόλις ένας ανακατευθυνόμενος σύνδεσμος URL περιληφθεί στη λευκή λίστα, οι επιτιθέμενοι μπορούν να τροποποιήσουν τον προορισμό για να ανακατευθύνουν τους χρήστες σε ένα phishing site, παρακάμπτοντας περαιτέρω ελέγχους ασφαλείας.
Παραδείγματα εκμετάλλευσης ανακατεύθυνσης URL
Οι ερευνητές ασφαλείας από την Perception Point έχουν παρατηρήσει αύξηση των επιθέσεων phishing που εκμεταλλεύονται τις υπηρεσίες προστασίας URL. Ακολουθούν μερικά παραδείγματα:
- Παράδειγμα 1: Επίθεση διπλής ανακατεύθυνσης
Δύο προμηθευτές ασφάλειας email, η Proofpoint και η INKY, έπεσαν θύματα μίας πολύπλοκης επίθεσης phishing. Ο επιτιθέμενος έστειλε ένα email με έναν ανακατευθυνόμενο phishing σύνδεσμο, μεταμφιεσμένο ως ειδοποίηση εγγράφου SharePoint. Το URL ανακατευθύνθηκε δύο φορές, πρώτα από την Proofpoint και στη συνέχεια από την INKY. Μετά την επίλυση μιας πρόκλησης CAPTCHA, ο χρήστης ανακατευθύνθηκε σε ένα phishing site που μιμείται μια σελίδα σύνδεσης του Microsoft 365. - Παράδειγμα 2: Εκμετάλλευση ανακατευθυνόμενων URL σε πολλαπλούς στόχους
Σε άλλη επίθεση, ένας ανακατευθυνόμενος σύνδεσμος URL που δημιουργήθηκε μέσω υπονομευμένων λογαριασμών που προστατεύονταν από INKY και Proofpoint στοχοποίησε πολλές εταιρείες. Οι επιτιθέμενοι εκμεταλλεύτηκαν τον ανακατευθυνόμενο URL για να επεκτείνουν την εμβέλειά τους, μετατρέποντας ένα μόνο σημείο συμβιβασμού σε μια ευρεία εκστρατεία phishing. - Παράδειγμα 3: Εκμετάλλευση επανεγγραφής URL της Mimecast
Η Perception Point απέτρεψε μια επίθεση phishing που αξιοποιούσε την υπηρεσία επανεγγραφής URL της Mimecast. Ο σύνδεσμος phishing φαινόταν ασφαλής λόγω του domain της Mimecast, αλλά ανακατεύθυνε τους χρήστες σε ένα phishing site σχεδιασμένο για να κλέψει διαπιστευτήρια. - Παράδειγμα 4: Επίθεση phishing της IRS μέσω της επανεγγραφής URL της Sophos
Σε αυτή την επίθεση, η υπηρεσία επανεγγραφής URL της Sophos καλύπτει έναν κακόβουλο σύνδεσμο. Το phishing email εμφανίστηκε ως επείγον αίτημα επαλήθευσης από έναν νόμιμο οργανισμό, και ο ανακατευθυνόμενος URL πρόσθεσε νομιμότητα, κάνοντας δύσκολο για τους παραλήπτες να αναγνωρίσουν την απειλή.
Η Perception Point προσφέρει τη Δυναμική Ανάλυση URL για την αντιμετώπιση αυτών των σύνθετων επιθέσεων, παρέχοντας ανώτερη προστασία σε σύγκριση με την παραδοσιακή ανακατεύθυνση URL. Αυτή η προσέγγιση περιηγείται ενεργά σε νέους ή άγνωστους URL και αναλύει τη συμπεριφορά τους πριν παραδοθεί το email.
Κύρια χαρακτηριστικά της δυναμικής ανάλυσης URL
- Προληπτική ανίχνευση: Σαρώνει και αξιολογεί τους URL σε πραγματικό χρόνο, αποτρέποντας τις επιθέσεις πριν φτάσουν στα εισερχόμενα.
- Προηγμένη αντι-αποφυγή: Εξοπλισμένη για την αντιμετώπιση τεχνικών αποφυγής όπως CAPTCHA και γεωγραφικό φράξιμο.
- Μετα-ανάλυση μετά την παράδοση: Χρησιμοποιεί μεγάλα δεδομένα για να σκανάρει ξανά και να επαναξιολογήσει συνδέσμους μετά την παράδοση αυτόνομα.
- Προηγμένη ασφάλεια περιηγητή: Σαρώνει τους URL κατά το κλικ, διασφαλίζοντας ότι κάθε κακόβουλη δραστηριότητα ανιχνεύεται σε πραγματικό χρόνο.
Η εκμετάλλευση της ανακατεύθυνσης URL από hackers υπογραμμίζει την ανάγκη για συνεχή καινοτομία στην ασφάλεια email. Καθώς οι επιτιθέμενοι γίνονται πιο εξελιγμένοι, οι λύσεις ασφαλείας πρέπει να εξελίσσονται για να αποφεύγουν αυτές τις απειλές.
Οι οργανισμοί καλούνται να υιοθετήσουν προχωρημένες μεθόδους ανίχνευσης όπως η Δυναμική Ανάλυση URL για να προστατευθούν από αυτές τις εξελισσόμενες τακτικές phishing.