Mit Absenderreputation gegen E-Mail-Phishing

Lesezeit
3 Minuten
Bis jetzt gelesen

Mit Absenderreputation gegen E-Mail-Phishing

28.02.2018 - 14:00
Veröffentlicht in:
Wer als Unternehmen nicht konsequent die Möglichkeiten der Absenderreputation im E-Mail-Verkehr nutzt, lädt Kriminelle unmittelbar zum Betrug an seinen Geschäftspartnern ein. Ein Angriff auf mehr als 110 Millionen Netflix-Abonnenten machte Ende 2017 die Gefahr deutlich. Dabei kann jeder Administrator mit den richtigen Einstellungen zur Senderreputation – genauer SPF, DKIM und DMARC – sein Unternehmen schützen. Wir erklären den Sachverhalt an einem Beispiel und gibt konkrete Tipps zur Umsetzung.
Im November 2017 hatten viele Abonnenten des Streaming-Services Netflix eine nahezu perfekt gemachte Phishing-E-Mail in ihrem Postfach – oder eben glücklicherweise auch nicht. Aber fangen wir von vorne an: Das Abgreifen von Kundenaccounts oder Kreditkarteninformationen mittels gefälschter Mails ist eigentlich ein alter Hut und äußerst wirksame Schutzmaßnahmen sind frei verfügbar. Umso mehr verwundert es, dass diese Form des Betrugs noch immer so gut funktioniert, dass die Kriminellen ihre Aktivitäten weiter ausbauen.

Schludern bei der Absenderprüfung
Woran liegt es also, dass diese Plage bisher nicht abgewendet ist? Die Antwort ist ebenso einfach wie frustrierend: Es liegt am mangelnden Interesse der Verantwortlichen. Verantwortlich sind dabei immer zwei Seiten: Alle Unternehmen und Organisationen die als potenzielle Absender in Frage kommen, aber auch die Administratoren auf der Empfängerseite.

Um auf den geschilderten Fall vom vergangenen Jahr zurückzukommen: Mangelndes Interesse lässt sich Netflix wohl nicht vorwerfen. Das Unternehmen hat schon im Vorfeld des Vorfalls vorbildlich gehandelt und alles in seiner Macht Stehende dafür getan, solche Attacken zu unterbinden. Wenn aber die Empfänger der Mails – genauer die Verantwortlichen für die Mailsysteme, sei es in einem Unternehmen oder auch der Mailprovider für Privatpersonen – nicht mitspielen, fruchten alle Bemühungen von Netflix nicht.

Anti-Spoofing nur die halbe Miete
Sehen wir uns den Angriff genauer an. Die Phishing-Mail sah täuschend echt aus. Weder fehlte das Netflix-Logo noch ein ordentlicher Abspann zur Mail. Sogar Banner-Werbung für die neuen Staffeln bekannter Produktionen wie House of Cards oder The Crown waren enthalten. Ein fehlerfreier Text informierte über die drohende Suspendierung des Accounts, da die Kreditkartendaten nicht korrekt seien. Wer dem enthaltenen Link folgte und seine Informationen aktualisierte, lieferte den Betrügern seine Kreditkartendaten frei Haus.

Einen Schönheitsfehler hatte die Phishing-Mail jedoch, der zumindest den geschulten E-Mail-Nutzer stutzig machen konnte: Als Absender war lediglich "No Sender" aufgeführt. Denn die E-Mail-Sicherheitsmechanismen von Netflix verhindern, dass ein unautorisierter Sender unentdeckt so tun kann, als verschicke er Nachrichten im Auftrag von Netflix. Beim sogenannten Spoofing tut ein Angreifer genau dies. Er gaukelt dem Empfänger vor, von einer bestimmten Domain zu kommen. Da Netflix dies deutlich erschwert, hatten die Angreifer darauf verzichtet.

Wer als Empfänger also das Glück hatte, dass seine E-Mail-Security-Infrastruktur die Reputation des Senders gewissenhaft prüft, bekam diese Phishing-Mail gar nicht erst zu Gesicht. Sie wurde schnell als Phishing-Versuch erkannt und aussortiert. Allerdings ist es immer noch erstaunlich, wie viele bekannte und hochgelobte Anti-Spam und Anti-Malware-Lösungen bei der Auswertung der Senderreputation schludern.

Sicherheitsdreiklang: SPF, DKIM und DMARC
Technisch ist diese Prüfung kein Hexenwerk. Sie verbirgt sich hinter den Abkürzungen SPF, DKIM und DMARC. Dabei handelt es sich um Bezeichnungen für Einstellungen auf dem E-Mail-System in den sogenannten MX-Records, so etwas wie eine öffentliche Checkliste für die Richtigkeit von E-Mails dieser Domain. Vereinfacht gesagt nennen die SPF-Einträge die IP-Adressen, von denen aus Mails für diese Domain versendet werden. Durch den Abgleich der sendenden IP-Adresse mit den SPF-Einträgen lässt sich erkennen, wenn eine E-Mail von zweifelhafter Herkunft ist.

Der DKIM-Eintrag beschreibt das Äquivalent zu einem Poststempel, den eine Briefsendung trägt. Auch hier erlaubt der Vergleich, die Echtheit einer Mail zu prüfen. Der DMARC-Eintrag schließlich enthält eine klare Anweisung dazu, was sich die Domain für den Umgang mit ihren Mails wünscht. Im Fall von Netflix lautete die Empfehlung des DMARC-Records: "Mache eine SPF- und DKIM-Prüfung. Wenn dabei Fehler auftreten, weise diese Mail ab und benachrichtige uns über den Versuch, eine gefälschte E-Mail in unserem Namen zuzustellen." Die Benachrichtigung erfolgt dabei automatisiert und gebündelt.

Phishing effizient unterbinden
Um Phishing ein für alle Mal zu beenden, sind also eigentlich nur zwei Aktionen notwendig: Erstens sollten alle Unternehmen und andere Organisation, die E-Mails versenden, dafür Sorge tragen, dass die SPF-, DKIM- und DMARC-Einstellungen für alle Domains richtig gesetzt sind. Zweitens sollten alle Empfänger dafür sorgen, dass sie eine angemessene Anti-Spam- / Anti-Malware-Lösung einsetzen, die die Möglichkeiten der Senderreputationsprüfung mit DMARC und Co. vollständig und gewissenhaft nutzt.

Damit würden nicht nur Phishing und der bekannte CEO-Fraud nahezu unmöglich, sondern die Menge an Spam würde insgesamt drastisch abnehmen. Durch die Nutzung von DMARC und Co. hat beispielsweise allein das Cybersecurity-Team der britischen Finanz- und Zollbehörde laut eigenen Angaben im vergangenen Jahr rund 300 Millionen Spam- und Phishing-Mails verhindert.

Fazit
Um es noch einmal deutlich zu sagen: Unternehmen, die die Möglichkeiten der Absenderreputation im Sinne von DMARC und Co. nicht nutzen, handeln grob fahrlässig. Sie setzen Kunden und Partner der Gefahr aus, durch fingierte Mails vertrauliche Daten zu verlieren und Schäden zu erleiden – vom tatsächlichen Reputationsverlust ganz zu schweigen. Unternehmenskunden und Konsumenten sind daher aufgefordert, von Lieferanten und Kommunikationspartnern die Nutzung dieser Verfahren einzufordern.


ln/Stefan Cink, E-Mail-Security-Experte bei Net at Work

Ähnliche Beiträge

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.

Sicherheit bei Videokonferenz-Systemen

Admins und Anwender sorgen sich zurecht um den Schutz ihrer Daten. Wie gut sind etwa die Inhalte von Onlinekommunikation vor Mithören und Cyberattacken geschützt? Viele Unternehmen haben erkannt, dass Abkommen in Bezug auf die Datenübertragung in ein Drittland wie die USA aufgrund der dortigen Rechtslage problematisch sind. Neben den gesetzlichen Rahmenbedingungen geht der Artikel auf mögliche Sicherheitslecks in Videokonferenz-Systemen ein und erklärt, warum eine echte Ende-zu-Ende-Verschlüsselung so wichtig ist.