Seit Jahren schon starten die meisten IT-Sicherheitsvorfälle mit einem Phishing E-Mail. Viele Firmen realisieren, dass die Standard-Funktionen von Exchange Online Protection (EOP) nur einen beschränkten Schutz bieten.
Schon in früheren Blogartikeln haben wir über die Security-Plattform von xorlab berichtet:
www.tec-bite.ch/mail-authentisierungsverfahren-die-rolle-von-spf-dkim-und-dmarc
www.tec-bite.ch/malware-und-phishing-schutz-durch-vertrauens-netzwerke
www.tec-bite.ch/user-reporting-und-case-management-mal-einfach-gemacht
Kürzlich hat xorlab die neue Version 6.23 veröffentlicht. Ich will hier die Gelegenheit nutzen und die wichtigsten neuen Möglichkeiten kurz vorstellen.
ActiveGuard 6.23 – die wichtigsten neuen Features
QR-Code: Eine neue Art von Phishing Mails macht seit einiger Zeit die Runde: Mails, welche einen QR-Code enthalten.
Wenn man diesen Code mit seinem Smartphone einliest, wird man auf eine bösartige Webseite geleitet. Wenn man den kodierten Link auf seinem Firmen-PC anklicken würde, so würde der Zugriff hoffentlich vom Proxy blockiert. Das Smartphone ist jedoch ungeschützt. Zeigt die bösartige Webseite eine Kopie der Microsoft-Login-Seite, so ist das Risiko gross, dass ein unvorsichtiger User seine Domain Credentials eingibt. Der Phishing-Versuch ist geglückt!
Um diesen Angriffsvektor für Firmenmails zu unterdrücken, hat ActiveGuard nun eine QR-Code Detection eingeführt. Erstens erkennt ActiveGuard QR-Codes (diese sind in Mails an sich schon verdächtig), zweitens wird die kodierte URL extrahiert und wie ein anklickbarer Link beurteilt.
Ich kenne keine andere Mailsecurity-Lösung, die das zurzeit kann.
URL Shortener
URLs werden auch gerne hinter URL-Shortenern wie tinyurl.com und ähnlichen versteckt und so verschleiert. ActiveGuard kann nun noch mehr solche URLs auflösen als bisher.
Misclassification Submission
Obwohl ActiveGuard auch in dieser Version die Erkennung von bösartigen Mails weiter verbessert und die Blockierung von False Positives minimiert, kann es trotzdem zu einer falschen Klassifizierung kommen. Neu können Admins falsch erkannte Mails per Knopfdruck an xorlab melden, damit die Erkennung weiter verbessert werden kann. Dabei lässt sich einstellen, welche Daten übermittelt werden sollen: das ganze Mail oder nur anonymisierte Metadaten.
Schlussbemerkung
Ich finde, die neuen Features sind eine enorme Verbesserung der Plattform. Insbesondere das QR-Code Feature finde ich wichtig, da man damit verhindern kann, dass die Mitarbeitenden ihr privates Smartphone zum Scannen des QR-Codes zücken und so die Corporate Security Werkzeuge umgehen.
Weiterführende Links
AVANTECs E-Mail Security Portfolio: www.avantec.ch/themen/e-mail-security
blenny
blenny ist Principal Security Engineer und langjähriger AVANTEC-Mitarbeiter. Er interessiert sich für Kryptographie, Privacy, Datenschutz, offene Protokolle und beschäftigt sich am liebsten mit den technischen Aspekten der IT- und Informations-Sicherheit.