Foto: Pentium5 - shutterstock.com
Alle Unternehmen haben mit Phishing-Angriffen zu kämpfen - die E-Mail ist weiterhin der Angriffsvektor der Wahl für Cyberkriminelle, wenn es darum geht, Malware zu verbreiten.
Die meisten Phishing-Attacken liefern ihre Payloads über betrügerische E-Mails aus, die von vermeintlich autorisierten Absendern stammen. Tatsächlich entstammen sie allerdings Domains, die zu rein maliziösen Zwecken aufgesetzt wurden. Für die Mehrheit der E-Mail-Nutzer ist es dabei nahezu unmöglich, gefälschte E-Mails immer zuverlässig zu erkennen. Deswegen ist Phishing immer noch ein Problem im Unternehmensumfeld - und wird es auch auf absehbare Zeit bleiben. Speziell nachdem Computerwissenschaftler 18 neue Sicherheitslücken aufgedeckt haben, die die Absender-Authentifizierung von E-Mail-Systemen betreffen.
18 neue Wege zum E-Mail-Betrug
Ihre Erkenntnisse haben die Forscher in einem Research Paper gebündelt. Demnach bringen E-Mail-Server verschiedene SMTP Extensions wie SPF, DKIM und DMARC zum Einsatz, um E-Mail-Betrug zu verhindern und Absender zuverlässig zu authentifizieren. Die Zusammensetzung dieser Softwarekomponenten sorgt für neue Sicherheitslücken, mit deren Hilfe sich Angreifer als vermeintlich legitime Person tarnen können.
"Aufgrund minimaler Unterschiede, wie die verschiedenen Komponenten Daten interpretieren, können Angreifer diese Systeme manipulieren", erklärt Vern Paxson, Professor für Computerwissenschaft an der UC Berkeley. Im Laufe eines Jahres konnten die Forscher 18 neue Techniken entwickeln, die sich ebendiese Inkonsistenzen zunutze machen. Diese wurden auf zehn verschiedenen populären Webmail-Plattformen und mit 19 E-Mail Clients getestet. Zu den Anbietern gehörten:
Gmail.com
iCloud.com
Outlook.com
Yahoo.com
Naver.com
Fastmail.com
Zoho.com
Tutanota.com
Protonmail.com
Mail.ru
Die Forscher identifizierten drei verschiedene Typen von Angriffen, die die Sicherheitslücken in den verschiedenen Softwarekomponenten ausnutzen: "Intra-Server"-Angriffe, "UI Mismatch" und "Ambigious Replay". Im Test erwiesen sich alle Plattformen als anfällig für die beiden letztgenannten Methoden, immerhin sechs Plattformen konnten auch mit Intra-Server-Angriffen kompromittiert werden. Folgendes Video gibt Ihnen einen Einblick zum Vorgehen:
"Sie haben es einfach nicht verstanden"
"Nicht einmal Security-erfahrene Nutzer, die sich mit den Systemen und Prozessen gut auskennen, können sich sicher sein, dass E-Mails tatsächlich vom Absender stammen, der ausgegeben wird. Es sei denn, sie sind wirklich äußerst vorsichtig und sehen sich jeden Raw Header ganz genau an. Und selbst das ist in manchen Fällen nicht genug, um eine Attacke zu erkennen und verhindern", weiß Paxson.
Für den Professor unterstreichen die Forschungsergebnisse die Fragilität aller E-Mail-Systeme. Die betroffenen E-Mail Provider wurden selbstverständlich über die Sicherheitslücken unterrichtet - die meisten Anbieter zeigten sich erstaunt und erkannten das Problem an, einige schütteten auch Bug-Bounty-Prämien aus.
Im Fall von Microsoft und Yahoo ließ das Echo jedoch zu wünschen übrig: Während Microsoft das Problem schlicht als Enabler für Social Engineering abtut und damit nicht als "offizielle" Sicherheitslücke anerkennt, mangelte es bei Yahoo scheinbar völlig am Verständnis über die eingesetzten Methoden, wie Paxson berichtet: "Wir haben ihnen sogar ein Video zukommen lassen. Sie haben es einfach nicht verstanden."
Optionsmangel bei der Phishing-Prophylaxe
Ob eine der 18 aufgedeckten Angriffsmethoden bereits von kriminellen Hackern eingesetzt wird, darüber können die Forscher keine verlässliche Aussage treffen: "Um die Schwachstellen zu finden, brauchte es eine ganze Menge technischer Raffinesse. Wenn die Methoden eingesetzt werden, dann nur von wirklich erfahrenen Akteuren", so Paxson. "Wir haben leider keine Möglichkeit, das zu messen. Das könnte allerhöchstens Google bewerkstelligen, wenn der Konzern alle Gmail-Header durchsuchen würde. Davon abgesehen: Wer kann schon mit Sicherheit sagen, wie viele weitere Sicherheitslücken es noch zu entdecken gibt?"
Ein weiteres, greifbares Ergebnis der Forschungsarbeit von Paxson und seinem Team ist das Tool "espoofer", das für Privatpersonen, Systemadministratoren und Security-Forscher kostenlos auf Github zum Download bereitsteht und dabei helfen soll, E-Mail-Betrug vorzubeugen.
Bis die Software-Inkonsistenzen beseitigt sind - oder ein Ende-zu-Ende verschlüsseltes E-Mail-System entwickelt und von einer breiten Nutzerbasis gestützt wird - bleibt Unternehmen nur ein Weg, um Phishing-Attacken vorzubeugen: Nachhaltige Security-Awareness-Programme. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.
- Ignorieren Sie E-Mails, die zur Eingabe vertraulicher Daten auffordern!
<strong>Merkmal:</strong> Um eine möglichst hohe Öffnungsquote zu erreichen, wird oft versucht, Angst zu erzeugen in der Hoffnung, dass der Nutzer auf diese Weise seine übliche Vorsicht aufgibt. Besonders beliebt ist der Trick, eine Sperrung des Kontos (bei der Bank, bei PayPal oder bei Facebook) oder der Kreditkarte vorzutäuschen – verbunden mit der Aufforderung, sich auf eine von der E-Mail aus verlinkten Seite anzumelden, um die Sperrung aufzuheben. Meist versuchen die Betrüger auch, einen zeitlichen Druck aufzubauen, indem sie behaupten, die Eingabe der Daten müsse in den nächsten 24 Stunden erfolgen.<br /><br /> <strong>Tipp:</strong> Generell versenden Banken, aber auch Kreditkartenunternehmen und Online-Bezahldienste keinerlei E-Mails, die zu einer Seite verlinken, auf denen Sie Ihre Kontodaten eingeben sollen. Löschen Sie die E-Mail sofort und klicken Sie keinesfalls auf den Link! Schon der bloße Besuch der Seite kann zu einer Infektion mit einem Virus oder Trojaner führen (Drive-by-Download)! - Überprüfen Sie, ob die Website gesichert ist!
<strong>Merkmal:</strong> Webseiten, auf denen wichtige Daten eingegeben werden sollen, sind in der Regel durch eine sichere Verbindung geschützt. Dies lässt sich daran erkennen, dass die Web-Adresse (URL) mit https:// statt mit http:// beginnt. Verweist eine E-Mail, die zur Eingabe vertraulicher Daten auffordert, auf eine ungesicherte Website, ist diese mit hoher Wahrscheinlichkeit gefälscht. Oftmals verbergen die Phisher die tatsächliche Ziel-URL jedoch hinter einer angeblich gesicherten Scheinadresse.<br /><br /> <strong>Tipp:</strong> Überprüfen Sie, wohin der Link tatsächlich führt: mittels Rechtsklick auf den Link und Auswahl von „Eigenschaften“ oder, wenn Sie den Link bereits angeklickt haben, durch Überprüfung der Adresse in der Adresszeile. Auch hier gilt: Im Zweifel den Link nicht anklicken und die E-Mail löschen! - Achten Sie auf die genaue Schreibweise der URL!
<strong>Merkmal:</strong> Um an ihr Ziel zu kommen, müssen die Phisher den Anschein erwecken, die E-Mail sowie die Seite, auf welcher der Nutzer seine Daten eingeben soll, wären echt und gehörten dem angeblichen Absender. Daher wählen sie Adressen, die auf den ersten Blick wie eine echte Adresse, beispielsweise der Bank, aussehen. Dabei werden von der Bank nicht benutzte, aber plausibel erscheinende Adressen verwendet (z. B. www.sparkasseonline. de) oder unauffällige Schreibfehler eingebaut ("postank" statt "postbank").<br /><br /> <strong>Tipp:</strong> Achten Sie immer auf die Schreibweise der URL (auch schon im E-Mail-Absender!) und überprüfen Sie diese auf Schreibfehler! Überprüfen Sie auch, welche URL das Unternehmen normalerweise hat (durch Vergleich mit der Website oder mit echten E-Mails)! - Achten Sie genau darauf, welche Daten Sie eingeben sollen!
<strong>Merkmal:</strong> Zugänge zu Online-Konten, aber auch der Einsatz von Kreditkarten benötigen meist ein mehrstufiges Authentifizierungsverfahren. Bei Online-Konten sind das beispielsweise Kontonummer und TAN, bei Kreditkarten Kartennummer, Ablaufdatum und die dreistellige Prüfnummer. Als sichere Alternative gibt es seit einiger Zeit auch die Verifizierung über das so genannte 3D-Secure-Verfahren (z.B. „Verified by Visa“).<br /><br /> <strong>Tipp:</strong> Werden Sie aufgefordert, mehr als eine TAN oder sowohl ihre Prüfnummer als auch die 3D-Secure-ID einzugeben, handelt es sich um Phishing. Seriöse Websites verlangen nie beide Daten gleichzeitig. - Nicht nur Konto- und Kreditkarten-Phishing ist gefährlich!
<strong>Merkmal:</strong> Schon längst beschränkt sich das Interesse der Phisher nicht mehr nur auf Bank- oder Kreditkartendaten. Generell ist jeder Zugang zu Online-Diensten interessant, sei es das Webmail-Konto, der Zugang zu sozialen Netzwerken, selbst Business-Dienste wie Google AdWords. Dabei nutzen beispielsweise Spammer die erbeuteten Daten, um Kampagnen für eigene Seiten zu schalten – auf Kosten der betrogenen Nutzer.<br /><br /> <strong>Tipp:</strong> Behandeln sie alle Zugangsdaten zu Internetdiensten vertraulich, auch wenn sie Ihnen nicht wichtig erscheinen! Angebliche E-Mails von Facebook oder Hotmail können genauso gefährlich sein wie solche von Ihrer Bank.