CyberCheck360 erkennt bösartige Links trotz bestandenem SPF, DKIM und DMARC

Dies ist kein Randfall. Es handelt sich um ein wiederholbares, dokumentiertes Angriffs muster, das funktioniert, weil eine strukturelle Lücke besteht, die keine Einstellung des E-Mail-Gateways jemals schließen kann.

Warum die Filter diese E-Mails durchlassen Hier liegt der Fehler, den die meisten Sicherheitsschulungen machen: SPF, DKIM und DMARC waren nie dafür konzipiert, den Link innerhalb der E-Mail zu prüfen. Sie authentifizieren den Absender, nicht das Ziel.

Es ist wichtig zu verstehen, was jede dieser Maßnahmen tatsächlich überprüft: SPF (Sender Policy Framework) prüft, ob die sendende IP berechtigt ist, E-Mails für das „envelope-from"-Domänenname zu versenden, indem sie den DNS-TXT-Eintrag dieser Domäne abfragt. SPF validiert die Infrastruktur, nicht die Absicht.

Technik und Auswirkungen

DKIM (DomainKeys Identified Mail) fügt eine kryptografische Signatur zum Nachrichten-Header hinzu, die anhand eines öffentlichen Schlüssels überprüft wird, der im DNS des Absenders veröffentlicht wurde. DKIM beweist, dass die Nachricht während der Übertragung nicht manipuliert wurde. Es sagt jedoch nichts darüber aus, ob der Inhalt der Nachricht ehrlich ist.

DMARC verknüpft beide Verfahren, indem es die Übereinstimmung zwischen dem sichtbaren „From:"-Domänenname und der SPF/DKIM-authentifizierten Domäne erzwingt und den Empfängern anweist, Falle eines Fehlers eine bestimmte Aktion zu ergreifen.

Ein Angreifer, der eine rechtmäßig konfigurierte Domäne kontrolliert – oder der einfach vertrauenswürdige, korrekt authentifizierte Sendeinfrastuktur mietet –, bestreitet alle drei Prüfungen problemlos, während der Link zum Nutzlastinhalt auf eine bösartige Seite verweist, die ganz woanders gehostet wird. Das ist das System, wie es konzipiert ist.

Technischer Hintergrund

Die Authentifizierungsschicht hat genau das verifiziert, wofür sie entwickelt wurde, und das Ziel war nie Betrachtungsbereich. Sichere E-Mail-Gateways versuchen dies durch URL-Reputationsabfragen und heuristische Link-Bewertungen auszugleichen.

Aber reputationsbasierte Erkennung hat eine unvermeidbare Abhängigkeit: Eine Domain muss zuvor gemeldet worden sein, um ein negatives Bewertungsergebnis zu erhalten. Laut Forschung 42 beträgt das durchschnittliche Zeitfenster zwischen dem Online-Gang einer neu registrierten Domain und ihrem Erscheinen auf Bedrohungsintelligenz-Sperrlisten 21 bis.

Ein Angreifer, der eine Domain registriert, eine Kampagne zur Credential-Harvesting für 48 bis durchführt und sie dann aufgibt, wird überhaupt nicht erwischt. Die Domain geht sauber offline – ihre negative Reputation erreicht erst Wochen nach Beendigung der Kampagne. Die Attacke in der Praxis: Tag 1.

Technik und Auswirkungen

Der Angreifer registriert sharepoint-invoice-view[.]com für etwa 12 US-Dollar. Sie auflösend führt zu einem SharePoint Online-Klon, der ein Microsoft-Anmeldeformular vortäuscht. Ein TLS-Zertifikat wird innerhalb Zertifizierungsstelle ausgestellt, sodass das Schloss grün ist und die Verbindung als „sicher" gilt.

Das WHOIS/RDAP-Erstellungsdatum ist heute – doch nichts Gateway prüft dieses Feld. Tag 2: Phishing-E-Mails werden Finanzabteilungen gesendet, die sich auf eine nicht bezahlte Rechnung beziehen und einen Link zum „Dokument anzeigen" enthalten.

Die Absenderinfrastruktur nutzt ein separates, älteres und gut konfiguriertes Domain, sodass die Nachricht SPF, DKIM und DMARC problemlos durchläuft. Der Link Inhalt führt zur Tag-1-Domain. Gateway: Alles wird akzeptiert. Das Alter der Domain wird niemals überprüft. Die E-Mail erreicht den Posteingang. Beim Klicken: Zugangsdaten werden eingegeben.

Sicherheitslage und Risiko

Sitzungstokens werden Echtzeit gesammelt und ausgeklitt. Innerhalb von: Die Domain wird aufgegeben, noch bevor eine einzige Blocklisten-Update sie erreicht. Kein Zero-Day-Exploit. Keine Kompromittierung des Gateways. 12 US-Dollar Registrierungsgebühr und Geduld.

Was eine Erkennung beim Klick tatsächlich erfordert Das Stoppen bedeutet, den Link zum Zeitpunkt des Zugriffs zu bewerten, unter Verwendung, die nicht davon abhängen, dass ein vorheriger Bedrohungsbericht existiert. Drei unabhängige Ebenen übernehmen die Arbeit: 1. Echtzeit-Reputationssuche.

Jeder Link wird gegen eine Live-Datenbank zur Bedrohungsintelligenz abgeglichen, die mehrere Open-Source- und kommerzielle Feeds aggregiert. Dies erfasst bekannte böswillige Infrastrukturen, die aus früheren Kampagnen wiederverwendet werden – die kostengünstigsten Angriffe zu stoppen, die dennoch häufig vorkommen. 2. Abfrage der Domain-Altersdauer.

Technik und Auswirkungen

Das Registrierungsdatum der Ziel-Domain wird zum Zeitpunkt des Klicks über WHOIS/RDAP abgefragt und mit Signalen wie dem Ausstellungsdatum des TLS-Zertifikats abgeglichen.

Eine Domain, die erst sechs Tage alt ist und ein Login-Formular bereitstellt, ist nicht zwingend bösartig – doch sie stellt eine hochsignifikante Anomalie dar, die vollständig außerhalb des Sichtfelds jeder Blockliste liegt. Diese Ebene wurde speziell für die Lücke zwischen 21 und entwickelt.

Eine konfigurierbare Schwelle ermöglicht es jedem Team, selbst festzulegen, wie jung eine Domain zu jung ist. 3. Analyse des Seiteninhalts. Wenn das Ziel eine Anmeldeseite ist, wird nicht nur die URL, sondern die gesamte Seite ausgelesen.

Visuelle Branding- und Identitätssignale, Logos, Layout,

Visuelle Branding- und Identitätssignale, Logos, Layout, Favicon, DOM-Struktur und deklarierte Marke werden mit dem tatsächlichen Host-Bereich abgeglichen.

Eine 44871[.]web[.]app bereitgestellte Microsoft-basierte Anmeldeseite stellt eine auf Inhaltsebene nachweisbare Diskrepanz dar, die erkannt werden kann, Gegensatz zur URL-Ebene, bei der eine noch nie zuvor gesehene Domain nichts zum Abgleich bietet. Kein vorheriger Bedrohungsbericht erforderlich.

So implementiert CyberCheck360 dies: Das Browsererweiterung für Chrome, Firefox und Edge führt alle drei Ebenen passiv bei jedem Klick aus, ohne dass eine Entscheidung des Nutzers, eine Benachrichtigung oder eine Abwägung an den Mitarbeiter delegiert wird.

Technik und Auswirkungen

Wesentliche Verhaltensweisen: Der Schwellenwert für die Domain-Altersdauer beträgt standardmäßig und kann je nach Teamrichtlinie auf jeden beliebigen Wert konfiguriert werden, sodass ein SOC die Sensitivität ohne Codeänderungen anpassen kann.

Die Analyse ützter Markenimitation wird gezielt auf Login-Seiten aktiviert und reagiert auf Inhaltsmerkmale – den Vergleich zwischen gerendertem Branding und der Hosting-Identität – statt allein auf der URL-Reputation. Genau dies ermöglicht es, den Tag-1-Klon zu erkennen, gehört hat.

Im E-Mail-Triage-Arbeitsablauf ermöglichen die Outlook- und Gmail-Erweiterungen Analysten, einen Link für dieselben Intelligenzprüfungen einzureichen, bevor darauf geklickt wird.

Technischer Hintergrund

Die operativ entscheidende Fähigkeit hier ist die sandboxierte Detonation: Die Erweiterung öffnet den verdächtigen Link oder die Datei innerhalb eines cloudbasierten, isolierten Containers, der einen vollständigen Browser ausführt. JavaScript wird ausgeführt, Umleitungs-Ketten werden Schrittes für Schritt aufgelöst, Download-Auslöser werden aktiviert.

Das gesamte Verhalten ist beobachtbar – einschließlich intermediärer Umleitungsschritte und bedingter Payloads, die ein statischer Scanner niemals sieht, ohne dass dabei die lokale Endstelle oder der Credential-Store berührt wird. Der Container wird Ende der Sitzung zerstört.

E-Mail-Übermittlung: Was der Angreifer tut: Ein altes Absendedomän überweist SPF, DKIM und DMARC; Was CyberCheck360 meldet: Gateway-Prüfung bestanden. Zusatzmodul verfügbar für präklick-Triage.

Technik und Auswirkungen

Link-Klick: Was der Angreifer tut: Ein Tag-2-Link zu einer Domäne ohne Bedrohungsverlauf; Was CyberCheck360 meldet: Reputationsprüfung (sauber) → Domänenaltersprüfung (markiert) → Login-Seite erkannt.

Seitenladung: Was der Angreifer tut: Microsoft 365-Klon wird bereitgestellt; Was CyberCheck360 meldet: Die KI-Erkennung löst aus, noch bevor ein einziges Credential eingegeben wird.

Unsicherer Link: Was der Angreifer tut: Der Nutzer möchte sicher verifizieren; Was CyberCheck360 meldet: Sandbox-Explosion: vollständiges Verhalten sichtbar, keine Exposition des Endpunkts.

Technischer Hintergrund

Die AiTM-Klausel, ehrlich dargelegt: Adversary-in-the-Middle-Frameworks wie Evilginx klonen keine Seite; sie proxysieren die echte Authentifizierungsseite Echtzeit und leiten diese an das Opfer weiter. Dadurch ist der Seitinhalt selbst authentisch, was die visuelle Markenanalyse abschwächen kann. Dies schwächt jedoch nicht das gesamte System.

Der Proxy muss sich an einem Ort befinden, und dieser Ort ist ein Domain, die in der Regel keine etablierte Beziehung zur Organisation aufweist, die sie impersoniert, und fast immer neu registriert wurde. Die Erkennung des Domain-Alters erfasst den AiTM-Proxy bereits auf derselben Ebene, auf der auch ein statischer Klon erkannt wird.

Die Markenanalyse liefert weiterhin Signale, da die Identität des Proxy-Hosts niemals mit der Marke übereinstimmt, die er bedient. Dies ist keine vollständige Gegenmaßnahme gegen AiTM, und CyberCheck360 gibt dies auch nicht vor.

Sicherheitslage und Risiko

Es handelt sich um eine zusätzliche Reibungsebene, die die Hosting-Infrastruktur vor der Einreichung des Sitzungstokens markiert – was bei einem Token-Diebstahl-Angriff das einzige entscheidende Fenster darstellt. „Alles vor dem Klick ist ein probabilistischer Filter", sagte Vinodh Kumar Balaraman, Gründer von CyberCheck360. „Wir haben eine Erkennung entwickelt, die auf der deterministischen Ebene läuft – auf dem tatsächlich bereitgestellten Inhalt zum Zeitpunkt des Zugriffs." Referenzierte Tools Browser-Erweiterung – Chrome, Firefox, Edge Die immer aktiven Ebene.

Es führt alle drei Prüfungen – Reputation, Domain-Alter und KI-basierte Markenanalyse – passiv durch, sobald ein Link angeklickt wird, ohne Benachrichtigung und ohne eine Entscheidung an den Nutzer zu delegieren.

Dies ist das Werkzeug, das Day-1-Klone Echtzeit erfasst, noch bevor die Anmeldeseite ein Credential sammeln kann. → Outlook-Erweiterung: Entwickelt für den Workflow der E-Mail-Triage.

Technischer Hintergrund

Ein Analyst (oder jeder andere Nutzer) kann einen verdächtigen Link oder eine Anlage für umfassende Intelligenzprüfungen einreichen, bevor er darauf klickt und ihn in einer Cloud-Sandbox detonieren lässt, um das tatsächliche Verhalten zu beobachten, ohne das Endgerät zu berühren. → Gmail-Erweiterung: Dieselbe Pre-Click-Triage und sandboxgestützte Detonation, nativ für Gmail und Google Workspace integriert.

Einreichen, untersuchen, detonieren und ein Urteil erhalten, ohne den Link jemals auf Ihrem eigenen Gerät zu öffnen. → Manueller Link-Checker – keine Installation erforderlich: Eine reibungslose Möglichkeit, eine einzelne URL sofort zu verifizieren.

Fügen Sie einen Link ein, führen Sie ihn denselben Reputation-, Domain-Alter- und Inhaltprüfungen durch und erhalten Sie eine Antwort – ideal für einmalige Verifizierungen oder für Teams, die den Engine vor der Einführung der Erweiterung testen möchten. → Schließen Sie die Lücke, die Ihr Gateway nicht erkennen kann.

Sicherheitslage und Risiko

Ihr E-Mail-Filter entfernt täglich neu registrierte Phishing-Domains – nach Design. CyberCheck360 erfasst sie beim Klick, Inhalt und Echtzeit. Kostenlose Browser-Erweiterung hinzufügen → | Testen Sie jetzt einen verdächtigen Link → Ohne Kreditkarte loslegen. Sehen Sie, wie eine Domain erkannt wird, die Ihr Gateway gerade noch zugestellt hat.

Fortinet FortiSandbox-Schwachstelle ermöglicht Angreifern die Ausführung unbefugter Befehle Google Chrome 0-Day-Schwachstelle bereits Einsatz ausgenutzt – jetzt aktualisieren