Wenn Sicherheit zur Schwachstelle wird: Raven AI enttarnt Missbrauch von Cisco Safe Links

Cyberkriminelle haben einen neuen Weg gefunden, Sicherheitsmechanismen gegen deren eigentliche Nutzer einzusetzen. Laut einer aktuellen Analyse von Raven AI nutzten Angreifer in einer Phishing-Kampagne Ciscos Funktion Safe Links, um gängige E-Mail-Scanner und Netzwerkfilter zu umgehen.

Die kontextbasierte Erkennungstechnologie von Raven AI deckte auf, dass vermeintlich sichere URLs, die eigentlich vor Schadcode schützen sollen, in diesem Fall selbst zum Einfallstor wurden. Der Vorfall verdeutlicht einen wachsenden Trend: Angreifer setzen zunehmend auf das Ausnutzen etablierter und vertrauenswürdiger Sicherheitslösungen, um ihre Attacken glaubwürdiger und schwerer erkennbar zu machen.

E-Mail mit einem Link, der mit „secure-web.cisco.com” beginnt – Grafik Quelle: Raven AI

Stellen Sie sich vor, Sie erhalten eine E-Mail mit einem Link, der mit „secure-web.cisco.com“ beginnt. Sofort verbinden Sie die Wörter „secure“ und „Cisco“ mit Sicherheit und Zuverlässigkeit – und klicken ohne zu zögern. Schließlich schützt Cisco doch, oder?

Genau auf diese Annahme setzen Cyberkriminelle. Selbst gängige E-Mail-Sicherheitslösungen können getäuscht werden. Die kontextbezogene KI von Raven AI hat kürzlich jedoch einen besonders raffinierten Angriff abgefangen. Er zeigt eindrucksvoll, wie Angreifer zunehmend vertrauenswürdige Sicherheitsinfrastrukturen als Angriffswaffen missbrauchen.

Die Ironie des Vertrauens: Wenn Schutzmechanismen selbst zur Waffe werden

Cisco Safe Links gilt als eine der elegantesten Lösungen im Bereich Cybersicherheit – und zugleich als ihre größte Schwachstelle. Die Technologie, Teil von Ciscos Secure Email Gateway- und Web Security-Suite, funktioniert wie ein digitaler Bodyguard: Verdächtige URLs in E-Mails werden umgeschrieben und Klicks zunächst über Ciscos Scan-Infrastruktur geleitet, bevor Nutzer ihr Ziel erreichen. Ähnliche Mechanismen bieten auch Microsoft Defender oder Proofpoint TAP.

Beim Klick auf einen geschützten Link analysieren die Systeme in Echtzeit mögliche Bedrohungen, blockieren bösartige Ziele und lassen legitime Seiten passieren. Ein Konzept, das zweifellos zahlreiche Phishing-Angriffe verhindert hat.

Doch genau hier schlagen Angreifer zu: Sie haben herausgefunden, wie sie Safe Links selbst zu ihrer Waffe machen können.

Der Angriff, der nicht existieren sollte

Das Vorgehen ist simpel – und deshalb so gefährlich: Cyberkriminelle integrieren legitime Cisco Safe Links direkt in ihre Phishing-Kampagnen. Das Ergebnis: Nutzer vertrauen den Links blind und Sicherheitslösungen lassen die schädlichen Inhalte oft passieren.

Die Methode funktioniert aus mehreren Gründen besonders gut:

• Vertrauen durch Assoziation: Die Domain „secure-web.cisco.com“ vermittelt automatisch Sicherheit. Für viele Nutzer wirkt der Link wie ein Freibrief von Cisco selbst.

• Umgehung von Erkennungssystemen: E-Mail-Sicherheitsgateways prüfen häufig nur die sichtbare Domain. Ein legitimer Cisco-Link wird dabei selten blockiert, selbst wenn er auf eine bösartige Zwischenstation weiterleitet.

• Zeitvorteil für Angreifer: Neue Bedrohungen brauchen Zeit, um von Sicherheitsinformationen erfasst zu werden. Angreifer nutzen dieses Fenster, indem sie frisch kompromittierte Websites oder neue Domains einsetzen, die noch nicht als gefährlich erkannt wurden.

Der Vorfall zeigt eindrucksvoll, dass selbst etablierte Sicherheitslösungen nicht immun gegen ausgeklügelte Manipulationen sind – und dass Vertrauen allein in der Cybersicherheit gefährlich sein kann.

Wie Angreifer Cisco Safe Links für ihre Zwecke nutzen

Viele fragen sich, wie Cyberkriminelle überhaupt an legitime Cisco Safe Links gelangen. Die Antworten sind überraschend pragmatisch:

1. Der Insider-Job
Angreifer kompromittieren oder erstellen Konten innerhalb von Organisationen, die durch Cisco geschützt sind. Sie senden sich selbst bösartige Links, die das Cisco-System automatisch in sichere Safe Links umwandelt – die sie dann für ihre Phishing-Kampagnen verwenden.

2. Der Trojaner
Über kompromittierte E-Mail-Konten innerhalb geschützter Unternehmen senden Cyberkriminelle Test-E-Mails mit Schadlinks an sich selbst. Auch hier verwandelt die Sicherheitsinfrastruktur die Links in scheinbar vertrauenswürdige Safe Links.

3. Die SaaS-Hintertür
Viele Cloud-Dienste verschicken E-Mails über durch Cisco geschützte Systeme. Angreifer registrieren sich für solche Dienste, lösen automatisierte Nachrichten mit ihren bösartigen Links aus und erhalten sie als Cisco-geschützte Versionen zurück.

4. Das Recyclingprogramm
Manchmal ist der einfachste Weg der effektivste: Angreifer durchsuchen alte Phishing-Kampagnen nach noch aktiven Cisco Safe Links und setzen diese in neuen Angriffen erneut ein.

Raven AI entdeckt raffinierten Angriff in Echtzeit

Kürzlich hat die kontextbezogene KI von Raven AI ein anschauliches Beispiel für die missbräuchliche Nutzung von Cisco Safe Links aufgedeckt. Die Phishing-E-Mail wirkte auf den ersten Blick völlig legitim: Sie gab vor, von einem E-Signatur-Dienst zu stammen und forderte die Überprüfung eines Dokuments namens „2025_Remittance_Adjustment“ an. Professionelles Branding, geschäftstaugliche Terminologie und eine klare Handlungsaufforderung machten die Nachricht besonders glaubwürdig.

Die KI von Raven AI analysiert nicht nur den Inhalt von E-Mails, sondern berücksichtigt auch den Kontext der Organisation und relevante Signale, um Bedrohungen zuverlässig zu erkennen.

Besonders raffiniert an diesem Angriff war die Einbindung von Cisco Safe Links: Die URLs wirkten vertrauenswürdig, wurden von der Sicherheitsinfrastruktur der Nutzer akzeptiert und verschleierten die eigentliche bösartige Zieladresse. Das Vorgehen entspricht exakt der zuvor beschriebenen Methodik: vertrauenswürdige Domains und legitime Parameter werden gezielt eingesetzt, um herkömmliche Erkennungssysteme zu umgehen.

Grafik Quelle: Raven AI

Warum herkömmliche Sicherheitsmaßnahmen scheitern

Dieser Angriff hätte aus mehreren Gründen viele traditionelle E-Mail-Sicherheitslösungen wahrscheinlich umgangen:

• Professionelles Erscheinungsbild: Die E-Mail wirkte wie legitime Geschäftskommunikation – mit korrekter Formatierung, passender Geschäftsterminologie und einem scheinbar standardmäßigen Dokumentenprüfungsworkflow.

• Domänenvertrauen: Auch ohne direkte Nutzung von Cisco Safe Links verwendete der Angriff eine Domänenstruktur, die vertrauenswürdig erschien.

• Kontext-Täuschung: Realistische Geschäftsszenarien wie Dokumentenprüfung oder Überweisungsanpassungen nutzten die Routine der Benutzer in professionellen Umgebungen aus.

• Mehrschichtige Irreführung: Mit einer primären Schaltfläche und einer „alternativen Zugriffsmethode“ schuf der Angreifer mehrere Angriffsvektoren, die zugleich hilfsbereit und legitim wirkten.

Das Gesamtbild: Warum kontextbezogene KI entscheidend ist

Die Entdeckung verdeutlicht einen grundlegenden Wandel in der Cybersicherheit: Angreifer nutzen nicht nur technische Schwachstellen, sondern auch menschliche Psychologie und Geschäftsprozesse als Waffe.

Dabei geht es nicht nur um den Missbrauch von Cisco Safe Links – es handelt sich um eine neue Art von Angriff, die Vertrauen in Geschäftsprozesse, Kommunikationsmuster und Sicherheitsinfrastruktur ausnutzt. Herkömmliche signatur- oder reputationsbasierte Lösungen scheitern, weil die bösartigen Elemente im Kontext, im Verhalten und in subtilen Vertrauensausnutzungen verborgen sind.

Wie kontextbezogene KI schützt:

• Kontext statt Inhalt: Sie bewertet nicht nur den E-Mail-Inhalt, sondern erkennt, ob die Absicht der Nachricht mit legitimen Geschäftsprozessen übereinstimmt.

• Vertrauensüberprüfung: Professionelles Erscheinungsbild oder vertrauenswürdige Domains genügen nicht – die KI prüft aktiv die Angemessenheit der Kommunikation.

• Adaptives Lernen: Neue Techniken zur Ausnutzung von Vertrauen, wie der Missbrauch sicherer Links, werden automatisch erkannt, ohne dass manuelle Regelaktualisierungen nötig sind.

• Proaktive Verteidigung: Angriffsmuster werden identifiziert, bevor Schaden entsteht, statt nur auf erfolgreiche Angriffe zu reagieren.

Die wirksamste Verteidigung gegen moderne E-Mail-Bedrohungen besteht nicht nur darin, schlechte Domains zu blockieren oder Anhänge zu scannen, sondern die Absichten der Angreifer zu verstehen und zu erkennen, wann scheinbar legitime Mitteilungen böswilligen Zwecken dienen.

Lesen Sie auch

---