Seit Jahren schon starten die meisten IT-Sicherheitsvorfälle mit einem Phishing E-Mail. Viele Firmen realisieren, dass die Standard-Funktionen von Exchange Online Protection (EOP) nur einen beschränkten Schutz bieten.

Schon in früheren Blogartikeln haben wir über die Security-Plattform von xorlab berichtet:
www.tec-bite.ch/mail-authentisierungsverfahren-die-rolle-von-spf-dkim-und-dmarc
www.tec-bite.ch/malware-und-phishing-schutz-durch-vertrauens-netzwerke
www.tec-bite.ch/user-reporting-und-case-management-mal-einfach-gemacht

Kürzlich hat xorlab die neue Version 6.23 veröffentlicht. Ich will hier die Gelegenheit nutzen und die wichtigsten neuen Möglichkeiten kurz vorstellen.


ActiveGuard 6.23 – die wichtigsten neuen Features

QR-Code: Eine neue Art von Phishing Mails macht seit einiger Zeit die Runde: Mails, welche einen QR-Code enthalten.

Microsoft-Phising-Mail mit QR-Code
Phishing Mail, angeblich von Microsoft, mit QR-Code

Wenn man diesen Code mit seinem Smartphone einliest, wird man auf eine bösartige Webseite geleitet. Wenn man den kodierten Link auf seinem Firmen-PC anklicken würde, so würde der Zugriff hoffentlich vom Proxy blockiert. Das Smartphone ist jedoch ungeschützt. Zeigt die bösartige Webseite eine Kopie der Microsoft-Login-Seite, so ist das Risiko gross, dass ein unvorsichtiger User seine Domain Credentials eingibt. Der Phishing-Versuch ist geglückt!

Um diesen Angriffsvektor für Firmenmails zu unterdrücken, hat ActiveGuard nun eine QR-Code Detection eingeführt. Erstens erkennt ActiveGuard QR-Codes (diese sind in Mails an sich schon verdächtig), zweitens wird die kodierte URL extrahiert und wie ein anklickbarer Link beurteilt.

Ich kenne keine andere Mailsecurity-Lösung, die das zurzeit kann.

QR-Code Detection von xorlab
Phishing Mail, angeblich von DocuSign, mit QR-Code

URL Shortener

URLs werden auch gerne hinter URL-Shortenern wie tinyurl.com und ähnlichen versteckt und so verschleiert. ActiveGuard kann nun noch mehr solche URLs auflösen als bisher.


Misclassification Submission

Obwohl ActiveGuard auch in dieser Version die Erkennung von bösartigen Mails weiter verbessert und die Blockierung von False Positives minimiert, kann es trotzdem zu einer falschen Klassifizierung kommen. Neu können Admins falsch erkannte Mails per Knopfdruck an xorlab melden, damit die Erkennung weiter verbessert werden kann. Dabei lässt sich einstellen, welche Daten übermittelt werden sollen: das ganze Mail oder nur anonymisierte Metadaten.

Misclassification-Formular bei xorlab: False Positives minimieren
Admins können neu falsch erkannte Mails per Knopfdruck an xorlab melden.

Schlussbemerkung

Ich finde, die neuen Features sind eine enorme Verbesserung der Plattform. Insbesondere das QR-Code Feature finde ich wichtig, da man damit verhindern kann, dass die Mitarbeitenden ihr privates Smartphone zum Scannen des QR-Codes zücken und so die Corporate Security Werkzeuge umgehen.


Weiterführende Links

AVANTECs E-Mail Security Portfolio: www.avantec.ch/themen/e-mail-security