Bitly-Links machen die Online-Welt seit mittlerweile 12 Jahren etwas weniger kompliziert und übersichtlicher. Die praktischen Shortlinks, die jede noch so lange URL auf ein Minimum kürzen, nutzen nun aber Cyberkriminelle, um großflächige Phishing-Attacken zu realisieren.
Wir verraten, wie die Masche funktioniert und wie Sie sich und Ihr Unternehmen schützen können.
Bitly-Links – beliebt seit 2008
Ob Unternehmen, Influencer oder Privatperson: Bitly dürfte jedem ein Begriff sein, der schon einmal im World Wide Web einen Link teilen wollte, dessen URL viel zu lang und kompliziert erschien. Und weil überdimensional lange Web-Adressen in einem Posting, Tweet, Blog oder auf einer Webseite einfach nicht schön aussehen, entwickelte Peter Stern im Jahr 2008 den kostenlosen Dienst Bitly, der bis heute in New York ansässig ist.
Mit knapp 50 Prozent Anteil aller URL-Shortener ist Bitly mittlerweile Marktführer. Einen enormen Anteil daran hat der Kurznachrichtendienst Twitter, der in den ersten Jahren maximal 140 Zeichen pro Tweet erlaubte, was das Posten langer URLs quasi unmöglich machte.
Bitly verwendet für das Kürzen von Links bestimmte Algorithmen und so genannte Hash-Codes, die dann einen Shortlink erzeugen. Dieser ist eindeutig der ursprünglichen Internetadresse zugeordnet. Und gerade weil dieses Konzept so erfolgreich und beliebt ist, hat es nun Hacker zu einer neuen Phishing-Attacke inspiriert.
Hacker nutzen Bitly Links für Phishing
Die IT-Sicherheitsexperten von Net at Work haben mittels KI-gestützter Technologie vor kurzem eine neue Phishing-Attacke entdeckt, die Bitly-Links nutzt, um an die Daten argloser Nutzer zu gelangen. Ganz klassisch und wenig kreativ, werden die Links in E-Mails versendet, die jeweils mit einem kurzen Text an den Empfänger versehen sind. Passende Emojis unterstützen dabei die augenscheinliche Dringlichkeit, den Link anzuklicken.
Das Problem an der Sache ist, dass die kriminellen Köpfe nicht auf selbige gefallen sind und dazu gelernt haben. Ähnliche Angriffsmethoden in den vergangenen Monaten verwendeten häufig unbekannte Shortener-Dienste und/oder waren durch entsprechende Anti-Spam-Software schnell als bösartig zu erkennen.
Bitly-Shortlinks hingegen profitieren von einer Art Ur-Vertrauen, da sie häufig in der ganz normalen E-Mail-Kommunikation zum Einsatz kommen. Soll heißen: Nicht jede Security-Software kann den Angriff als solchen identifizieren. Ganz zu schweigen von gutgläubigen Nutzern.
Maßnahmen gegen Phishing-Attacken durch verseuchte E-Mails
Die aktuelle Entwicklung zeigt einmal mehr, dass im Prinzip bei jeder erhaltenden E-Mail Vorsicht und ein gesundes Misstrauen gefragt sind. Denn es ist durchaus denkbar, dass die Hacker schon bald die Bitly-Methode mit anderen Formen wie beispielsweise dem CEO-Fraud oder BEC-Angriffen kombinieren. In diesem Fall glaubt dann der arglose Empfänger, eine Nachricht vom Chef oder Kollegen empfangen zu haben. Und genau ist der Klick auf den Kurzlink noch einmal wesentlich wahrscheinlicher.
So oder so sollten Unternehmen das Thema E-Mail-Sicherheit immer im Blick haben. Um der aktuellen Bedrohung durch die Bitly-Phishing-Offensive aus dem Weg zu gehen, empfiehlt sich die Einrichtung einer Filter-Funktion, die Mails mit Shortlinks gar nicht erst im Posteingang auftauchen lässt. Allerdings sollten Sie dann auch innerhalb Ihres Unternehmens an alle Mitarbeiter kommunizieren, dass keine URL-Shortener verwendet werden sollte, damit wichtige E-Mails nicht im Nirvana verschwinden.
Professionelle Dienstleistungen rund um Ihre E-Mail- und IT-Sicherheit
Unsere Experten aus dem IT-SERVICE.NETWORK unterstützen Sie mit einer ganzen Reihe von Dienstleistungen dabei, Ihre IT und das tägliche Arbeiten im Netz und mit E-Mails so sicher wie nur möglich zu gestalten. Mit einem IT-Sicherheitscheck stellen Sie zum Beispiel Ihr gesamtes Netzwerk auf den Prüfstand und decken mögliche Schwachstellen auf. Der Vorteil dieses Checks ist, dass Sie genau erfahren, welche Maßnahmen Sie noch ergreifen müssen, um Ihren Betrieb abzusichern.
Genauso können Ihnen unsere Fachleute aber auch spezielle Securiy-Awareness-Trainings vermitteln. Durch diese bekommen Ihre Mitarbeiter ein Gespür dafür, bei welchen Indizien sie bezüglich der Echtheit einer E-Mail stutzig werden sollten.
Nehmen Sie gern unverbindlich Kontakt zu einem unserer Partner in Ihrer Region auf. Er berät Sie gern zu den vielfältigen Möglichkeiten. Wir freuen uns auf Ihre Kontaktaufnahme!
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung