Sind DMARC Failure Forensic Reports (RUF) tot? Vermissen Sie diesen Blickwinkel der Sichtbarkeit?

Wenn Sie dies lesen, sind Sie wahrscheinlich mit DMARC-Berichten vertraut. Oder zumindest mit Aggregate Reports (RUA), die Sie erhalten, wenn Sie DMARC implementieren. Aggregate Reports werden täglich gesendet und enthalten unglaublich nützliche Informationen über E-Mails, die von Ihrer Domain gesendet wurden und die DMARC-, SPF- oder DKIM-Authentifizierung nicht bestanden haben. Sie können die IP-Adressen der Absender sehen, die Anzahl der E-Mails und den Tag, an dem sie gesendet wurden, und vieles mehr. Sehen Sie sich hier unsere ausführlichen DMARC-Aggregate-Berichte an.

Aber es gibt noch eine andere Art von Bericht, von der Sie vielleicht noch nichts gehört haben, sozusagen der weniger populäre Cousin der Aggregatberichte. Ich spreche von DMARC Forensic Reports (RUF), auch bekannt als Failure Reports. Obwohl diese im Großen und Ganzen dieselbe Funktion erfüllen wie die Aggregatberichte, unterscheiden sie sich in vielerlei Hinsicht. Lassen Sie mich Ihnen zeigen, was ich meine.

Was sind überhaupt Störungs-/Forensikberichte?

Der beste Weg, über RUF zu sprechen, ist zu verstehen, wie sie sich von RUA unterscheiden. Aggregierte Berichte sollen Ihnen einen allgemeinen Überblick über den Status von E-Mails in Ihrer Domain geben, damit Sie verstehen, welche und wie viele Ihrer E-Mails Probleme bei der Authentifizierung haben, sowie Sendequellen, die autorisiert oder nicht autorisiert sein können.

Forensische Berichte tun so ziemlich das Gleiche, aber in übertriebener Form. Anstatt einen täglichen Bericht mit einer Zusammenfassung aller E-Mails mit Authentifizierungsproblemen zu senden, werden forensische Berichte für jede einzelne E-Mail gesendet, die die DMARC-Validierung nicht bestanden hat. Sie funktionieren fast wie eine Benachrichtigung und enthalten nur Details, die spezifisch für diese eine E-Mail sind, die das Problem verursacht hat.

Dies geht weit über die Menge an Informationen hinaus, die ein aggregierter Bericht liefert, und kann Ihre Chancen, die Ursache des Problems so früh und so genau wie möglich zu lokalisieren, erheblich verbessern. Erfahren Sie mehr über forensische Berichte, indem Sie hier klicken.

Warum unterstützen viele Empfänger keine forensischen Berichte?

Viele Empfangsserver unterstützen das Senden von forensischen Berichten an den Domänenbesitzer nicht, was bedeutet, dass Sie, selbst wenn Sie RUF aktiviert haben, möglicherweise nicht für alle E-Mails, deren Authentifizierung fehlschlägt, Berichte erhalten. Dafür gibt es einen wichtigen Grund:

Bedenken hinsichtlich des Datenschutzes

Obwohl forensische Berichte in der Regel fast alle persönlich identifizierbaren Informationen aus der E-Mail herausfiltern, gibt es einige Daten wie den E-Mail-Betreff oder die E-Mail-Adresse des Empfängers, die bei Offenlegung eine Verletzung der Privatsphäre des Benutzers darstellen könnten. Viele E-Mail-Empfänger sind sehr genau, welche Arten von Informationen aus der E-Mail in einem Bericht angezeigt werden können.

Weitere Informationen zum Datenschutz mit DMARC finden Sie in unserer vollständigen Aufschlüsselung darüber, wie PowerDMARC die Privatsphäre der Benutzer schützt.

Das soll aber nicht heißen, dass forensische Berichte nicht eine wichtige Ressource für Ihre E-Mail-Sicherheitsstrategie sind. Mit der Menge an granularen Daten, die sie bereitstellen, können sie unglaubliche Einblicke in die Vorgänge bei Ihren nicht authentifizierten E-Mails bieten.

Warum sind forensische Berichtsdaten wichtig?

Auch wenn es den Anschein hat, dass forensische Berichte doch keine so gute Idee sind, wären Sie überrascht, wie nützlich sie sein können, um herauszufinden, was mit Ihren E-Mails schief läuft. Denn je mehr Daten Sie haben, desto genauer können Sie das Problem diagnostizieren.

Forensische Berichte enthalten sehr detaillierte Informationen über die betreffende E-Mail, einschließlich:

  • Empfänger-E-Mail-Adresse
  • SPF- und DKIM-Authentifizierungsergebnisse
  • Uhrzeit, zu der die E-Mail empfangen wurde
  • DKIM-Signatur
  • E-Mail-Betreff
  • E-Mail-Kopfzeilen, einschließlich benutzerdefinierter Kopfzeilen
  • Host, der die E-Mail gesendet hat
  • E-Mail-Nachrichten-ID

All diese Datenpunkte sind wie Teile eines Puzzles, und wenn Sie sie zusammensetzen, sind Sie in einer weitaus besseren Position, um die genaue Quelle Ihrer E-Mail-Zustellungsprobleme sicher zu bestimmen. Sie bieten eine noch nie dagewesene Transparenz darüber, wer genau Ihre Domain zu kompromittieren droht, und geben Ihnen eine Fülle von Daten, mit denen Sie arbeiten können. Je mehr Daten Sie über Ihre Sendequellen haben, insbesondere über die böswilligen, desto besser kann Ihr Unternehmen gegen diese vorgehen, indem es die missbräuchliche IP lokalisiert und sie vom Netz nimmt oder auf eine schwarze Liste setzt.

PowerDMARC unterstützt DMARC Forensic Reporting sowie fortschrittliche Datenschutzoptionen wie Forensic Report Encryption, um alle sensiblen Daten absolut sicher zu halten.

/von

Das kann E-Mail-Phishing für Ihr Markenimage bedeuten

Lassen Sie uns einen Moment über Spoofing sprechen. Wenn Sie Wörter wie "Phishing", "Kompromittierung von Geschäfts-E-Mails" oder "Cyberkriminalität" hören, was kommt Ihnen da als erstes in den Sinn? Die meisten Menschen würden an etwas denken, das mit E-Mail-Sicherheit zu tun hat, und die Chancen stehen gut, dass Sie das auch tun. Und das ist absolut richtig: Jeder der eben genannten Begriffe ist eine Form von Cyberangriff, bei dem ein Krimineller Social Engineering und andere Techniken einsetzt, um an sensible Informationen und Geld zu gelangen. Das ist natürlich schlimm, und Unternehmen sollten alles tun, um sich davor zu schützen.

Aber es gibt noch eine andere Seite, eine, die manche Unternehmen einfach nicht in Betracht ziehen, und die für sie genauso wichtig ist. Durch Phishing besteht nicht nur ein höheres Risiko, Daten und Geld zu verlieren, sondern auch Ihre Marke hat eine ebenso große Chance, zu verlieren. Tatsächlich liegt diese Chance bei 63 %: So viele Verbraucher kaufen eine Marke wahrscheinlich nicht mehr, nachdem sie nur eine einzige unbefriedigende Erfahrung gemacht haben.

Wie schaden E-Mail-Phishing-Attacken Ihrer Marke?

Zu verstehen, wie Phishing die Systeme Ihres Unternehmens kompromittieren kann, ist relativ einfach. Aber die langfristigen Auswirkungen eines einzelnen Cyberangriffs? Nicht so sehr.

Stellen Sie sich das so vor. In den meisten Fällen wird ein Benutzer, der seine E-Mails überprüft, wahrscheinlich auf eine E-Mail von einer Person oder Marke klicken, die er kennt und der er vertraut. Wenn die E-Mail realistisch genug aussieht, würden sie nicht einmal den Unterschied zwischen einer gefälschten und einer nicht gefälschten E-Mail bemerken. Die E-Mail könnte sogar einen Link enthalten, der zu einer Seite führt, die genau wie das Anmeldeportal Ihres Unternehmens aussieht, wo sie ihren Benutzernamen und ihr Passwort eingeben.

Später, wenn sie erfahren, dass ihre Kreditkartendaten und ihre Adresse an die Öffentlichkeit gelangt sind, können sie sich nirgendwo anders hinwenden als zu Ihrem Unternehmen. Schließlich war es "Ihre E-Mail", die das Desaster verursacht hat, Ihr Mangel an Sicherheit. Wenn Ihre eigenen Kunden das Vertrauen in Ihre Marke und deren Glaubwürdigkeit völlig verlieren, kann das große Probleme für die Optik Ihrer Marke verursachen. Sie sind nicht nur das Unternehmen, das gehackt wurde, Sie sind das Unternehmen, das zugelassen hat, dass ihre Daten durch eine von Ihnen versandte E-Mail gestohlen wurden.

Es ist nicht schwer zu erkennen, wie dies Ihrem Endergebnis auf lange Sicht ernsthaft schaden kann, insbesondere wenn neue, potenzielle Kunden durch die Aussicht, ein weiteres Opfer Ihrer E-Mails zu werden, abgeschreckt werden. Cyberkriminelle nehmen das Vertrauen und die Loyalität, die Ihre Kunden in Ihre Marke haben, und nutzen es aktiv gegen Sie aus. Und das ist es, was Business Email Compromise (BEC) zu so viel mehr als nur einem technischen Sicherheitsproblem macht.

Was sind einige der am stärksten betroffenen Branchen?

Pharmaunternehmen gehören zu den Unternehmen, die am häufigsten Ziel von Phishing- und Cyberangriffen sind. Laut einer Studie der Fortune-500-Pharmaunternehmen war jedes Unternehmen allein in den letzten drei Monaten des Jahres 2018 im Durchschnitt 71 E-Mail-Betrugsangriffen ausgesetzt. Das liegt daran, dass Pharmaunternehmen wertvolles geistiges Eigentum an neuen Chemikalien und pharmazeutischen Produkten besitzen. Wenn ein Angreifer diese Informationen stehlen kann, kann er sie auf dem Schwarzmarkt für einen saftigen Gewinn verkaufen.

Auch Bau- und Immobilienunternehmen sind nicht weit davon entfernt. Insbesondere Finanzdienstleister und Finanzinstitute sind ständig der Gefahr ausgesetzt, dass ihnen sensible Daten oder große Geldbeträge durch sorgfältig geplante Business- sowie Vendor Email Compromise (VEC)-Angriffe gestohlen werden .

All diese Branchen profitieren in hohem Maße davon, dass Kunden ihren Marken vertrauen, und ihre Beziehung zu den Marken beeinflusst direkt ihr Geschäft mit den Unternehmen. Wenn ein Verbraucher das Gefühl hätte, dass dieses Unternehmen nicht in der Lage ist, seine Daten, sein Geld oder andere Vermögenswerte sicher zu verwahren, würde dies der Marke schaden, und zwar manchmal irreparabel.

Erfahren Sie mehr über E-Mail-Sicherheit für Ihre spezielle Branche.

Wie können Sie Ihre Marke retten?

Beim Marketing geht es darum, Ihr Markenimage zu etwas aufzubauen, an das sich das Publikum nicht nur erinnert, sondern das es mit Qualität und Zuverlässigkeit assoziiert. Und der erste Schritt dazu ist die Sicherung Ihrer Domain.

Cyberkriminelle fälschen die Domain Ihres Unternehmens und geben sich als Ihre Marke aus. Wenn sie dann eine E-Mail an einen ahnungslosen Benutzer senden, sieht es so aus, als käme sie von Ihnen. Anstatt von den Benutzern zu erwarten, dass sie erkennen, welche E-Mails echt sind und welche nicht (was sehr oft fast unmöglich ist, insbesondere für den Laien), können Sie stattdessen verhindern, dass diese E-Mails überhaupt in die Posteingänge der Benutzer gelangen.

DMARC ist ein E-Mail-Authentifizierungsprotokoll, das wie eine Gebrauchsanweisung für einen empfangenden E-Mail-Server funktioniert. Jedes Mal, wenn eine E-Mail von Ihrer Domain gesendet wird, überprüft der E-Mail-Server des Empfängers Ihre DMARC-Einträge (die in Ihrem DNS veröffentlicht sind) und validiert die E-Mail. Wenn die E-Mail legitim ist, "besteht" sie die DMARC-Authentifizierung und wird an den Posteingang des Benutzers zugestellt.

Wenn die E-Mail von einem nicht autorisierten Absender stammt, kann die E-Mail je nach Ihrer DMARC-Richtlinie entweder direkt an Spam gesendet oder sogar vollständig blockiert werden.

Erfahren Sie hier mehr darüber, wie DMARC funktioniert.

DMARC kann alle Spam-E-Mails, die von Ihrer Domain stammen, fast vollständig eliminieren, da es gefälschte E-Mails nicht schon beim Verlassen Ihrer Domain blockiert, sondern erst beim Eintreffen der E-Mail auf dem Server des Empfängers auf Authentizität prüft.

Wenn Sie DMARC bereits implementiert haben und nach Möglichkeiten suchen, Ihre Markensicherheit noch weiter zu erhöhen, gibt es Brand Indicators for Message Identification (BIMI). Dieser neue E-Mail-Sicherheitsstandard bringt das Logo Ihrer Marke neben jeder E-Mail von Ihrer Domain an, die durch DMARC authentifiziert wurde.

Wenn Ihre Kunden nun eine von Ihnen gesendete E-Mail sehen, werden sie Ihr Logo mit Ihrer Marke assoziieren, was die Markenerinnerung verbessert. Und wenn sie Ihr Logo sehen, werden sie lernen, nur E-Mails zu vertrauen, die Ihr Logo neben sich haben.

Erfahren Sie hier mehr über BIMI. 

/von

Der größte Mythos über Sicherheit mit Office 365

Auf den ersten Blick scheint Microsofts Office 365-Suite ziemlich... süß zu sein, oder? Sie erhalten nicht nur eine ganze Reihe von Produktivitäts-Apps, Cloud-Speicher und einen E-Mail-Dienst, sondern sind auch mit Microsofts eigenen E-Mail-Sicherheitslösungen vor Spam geschützt. Kein Wunder, dass es die am weitesten verbreitete E-Mail-Lösung für Unternehmen ist, mit einem Marktanteil von 54 % und über 155 Millionen aktiven Benutzern. Sie sind wahrscheinlich auch einer davon.

Aber wenn ein Cybersicherheitsunternehmen einen Blog über Office 365 schreibt, muss doch mehr dahinterstecken, oder? Nun, ja. Da ist etwas. Lassen Sie uns also darüber sprechen, was genau das Problem mit den Sicherheitsoptionen von Office 365 ist, und warum Sie das wirklich wissen müssen.

Was die Sicherheit von Microsoft Office 365 ausmacht

Bevor wir über die Probleme damit sprechen, lassen Sie uns das erst einmal schnell aus dem Weg schaffen: Microsoft Office 365 Advanced Threat Protection (was für ein Zungenbrecher) ist ziemlich effektiv bei der grundlegenden E-Mail-Sicherheit. Es wird in der Lage sein, Spam-E-Mails, Malware und Viren davon abzuhalten, ihren Weg in Ihren Posteingang zu finden.

Dies ist gut genug, wenn Sie nur nach einem grundlegenden Anti-Spam-Schutz suchen. Aber genau das ist das Problem: Low-Level-Spam wie dieser stellt normalerweise nicht die größte Bedrohung dar. Die meisten E-Mail-Anbieter bieten eine Art Basisschutz, indem sie E-Mails aus verdächtigen Quellen blockieren. Die wirkliche Bedrohung - die Art, bei der Ihr Unternehmen Geld, Daten und Markenintegrität verlieren kann - sindE-Mails, die sorgfältig so gestaltet sind, dass Sie nicht erkennen, dass sie gefälscht sind.

Dies ist der Zeitpunkt, an dem Sie in den Bereich der ernsthaften Cyberkriminalität gelangen.

Wovor Microsoft Office 365 Sie nicht schützen kann

Die Sicherheitslösung von Microsoft Office 365 funktioniert wie ein Anti-Spam-Filter, der mithilfe von Algorithmen feststellt, ob eine E-Mail anderen Spam- oder Phishing-E-Mails ähnlich ist. Aber was passiert, wenn Sie von einem weitaus raffinierteren Angriff betroffen sind , der Social Engineering nutzt oder auf einen bestimmten Mitarbeiter oder eine Gruppe von Mitarbeitern abzielt?

Dabei handelt es sich nicht um gewöhnliche Spam-E-Mails, die an Zehntausende von Personen auf einmal verschickt werden. Business Email Compromise (BEC) und Vendor Email Compromise (VEC ) sind Beispiele dafür, wie Angreifer ein Ziel sorgfältig auswählen, durch Ausspionieren der E-Mails mehr Informationen über das Unternehmen in Erfahrung bringen und zu einem strategischen Zeitpunkt eine gefälschte Rechnung oder Anfrage per E-Mail versenden, in der sie um die Überweisung von Geld oder die Freigabe von Daten bitten.

Bei dieser Taktik, die allgemein als Spear-Phishing bekannt ist, wird der Anschein erweckt, dass die E-Mail von jemandem aus Ihrem eigenen Unternehmen oder von einem vertrauenswürdigen Partner oder Anbieter stammt. Selbst bei sorgfältiger Prüfung können diese E-Mails sehr realistisch aussehen und sind selbst für erfahrene Cybersicherheitsexperten fast unmöglich zu erkennen.

Wenn ein Angreifer vorgibt, Ihr Chef oder der CEO Ihres Unternehmens zu sein und Ihnen eine E-Mail schickt, ist es unwahrscheinlich, dass Sie überprüfen, ob die E-Mail echt aussieht oder nicht. Genau das macht BEC und CEO-Betrug so gefährlich. Office 365 ist nicht in der Lage, Sie vor dieser Art von Angriffen zu schützen, da diese scheinbar von einer echten Person stammen und die Algorithmen sie nicht als Spam-E-Mails betrachten.

Wie können Sie Office 365 gegen BEC und Spear Phishing absichern?

Domain-based Message Authentication, Reporting & Conformance, kurz DMARC, ist ein E-Mail-Sicherheitsprotokoll, das die vom Domain-Besitzer bereitgestellten Informationen nutzt, um Empfänger vor gefälschten E-Mails zu schützen. Wenn Sie DMARC auf der Domain Ihrer Organisation implementieren, überprüfen die Empfangsserver jede einzelne E-Mail, die von Ihrer Domain kommt, anhand der von Ihnen veröffentlichten DNS-Einträge.

Aber wenn Office 365 ATP gezielte Spoofing-Angriffe nicht verhindern kann, wie macht es dann DMARC?

Nun, DMARC funktioniert ganz anders als ein Anti-Spam-Filter. Während Spam-Filter eingehende E-Mails prüfen, die in Ihren Posteingang gelangen, authentifiziert DMARC ausgehende E-Mails, die von der Domain Ihrer Organisation gesendet werden. Das bedeutet, dass, wenn jemand versucht, sich als Ihre Organisation auszugeben und Ihnen Phishing-E-Mails zu senden, diese E-Mails in den Spam-Ordner geworfen oder ganz blockiert werden, solange Sie DMARC-konform sind.

Und hören Sie sich das an - es bedeutet auch, dass, wenn ein Cyberkrimineller Ihre vertrauenswürdige Marke nutzt, um Phishing-E-Mails zu versenden, auch Ihre Kunden nicht damit zu tun hätten. DMARC hilft tatsächlich auch, Ihr Unternehmen zu schützen.

Aber es gibt noch mehr: Office 365 gibt Ihrem Unternehmen eigentlich keinen Einblick in einen Phishing-Angriff, es blockiert lediglich Spam-E-Mails. Aber wenn Sie Ihre Domain richtig absichern wollen, müssen Sie genau wissen, wer oder was versucht, sich als Ihre Marke auszugeben, und sofort Maßnahmen ergreifen. DMARC liefert diese Daten, einschließlich der IP-Adressen der missbräuchlich sendenden Quellen, sowie die Anzahl der von ihnen gesendeten E-Mails. PowerDMARC hebt dies auf die nächste Stufe mit erweiterten DMARC-Analysen direkt auf Ihrem Dashboard.

Erfahren Sie mehr darüber, was PowerDMARC für Ihre Marke tun kann.

 

/von

Diese E-Mail war nicht von Ihrem Chef: 6 Wege, um CEO-Betrug zu stoppen

Wissen Sie, was die schlimmste Art von Phishing-Betrug ist? Die Art, die Sie nicht einfach ignorieren können: wie CEO Fraud. E-Mails, die angeblich von der Regierung stammen und Sie auffordern, die ausstehende Steuerzahlung zu leisten oder rechtliche Schritte zu riskieren. E-Mails, die aussehen, als wären sie von Ihrer Schule oder Universität und Sie auffordern, die eine verpasste Studiengebühr zu bezahlen. Oder sogar eine Nachricht von Ihrem Chef oder CEO, in der Sie aufgefordert werden, ihm "als Gefallen" etwas Geld zu überweisen.

Das Problem bei solchen E-Mails ist, dass sie sich als eine Autoritätsperson ausgeben, sei es die Regierung, Ihr Universitätsvorstand oder Ihr Chef auf der Arbeit. Das sind wichtige Leute, und das Ignorieren ihrer Nachrichten wird mit ziemlicher Sicherheit ernsthafte Konsequenzen haben. Sie sind also gezwungen, sich die E-Mails anzusehen, und wenn sie überzeugend genug erscheinen, könnten Sie tatsächlich darauf hereinfallen.

Aber lassen Sie uns einen Blick auf den CEO-Betrug werfen. Was genau ist das? Kann er auch Ihnen passieren? Und wenn ja, was sollten Sie tun, um ihn zu verhindern?

Sie sind nicht immun gegen CEO-Betrug

Es handelt sich umeinen Betrug im Wert von 2,3 Milliarden Dollar pro Jahr. Sie fragen sich vielleicht: "Wie können Unternehmen so viel Geld durch einen einfachen E-Mail-Betrug verlieren?" Aber Sie würden überrascht sein, wie überzeugend CEO-Betrugs-E-Mails sein können.

Im Jahr 2016 verlor Mattel fast 3 Millionen Dollar durch einen Phishing-Angriff, als eine Finanzmanagerin eine E-Mail vom CEO erhielt, in der sie angewiesen wurde, eine Zahlung an einen ihrer Lieferanten in China zu senden. Aber erst als sie später beim CEO nachfragte, stellte sie fest, dass er die E-Mail gar nicht gesendet hatte. Glücklicherweise arbeitete das Unternehmen mit den Strafverfolgungsbehörden in China und den USA zusammen, um das Geld ein paar Tage später zurückzubekommen, aber das passiert bei diesen Angriffen fast nie.

Die Menschen neigen dazu zu glauben, dass ihnen diese Betrügereien nicht passieren werden... bis es ihnen passiert. Und das ist ihr größter Fehler: sich nicht auf CEO-Betrug vorzubereiten.

Phishing-Betrügereien können Ihr Unternehmen nicht nur Millionen von Dollar kosten, sie können auch den Ruf und die Glaubwürdigkeit Ihrer Marke nachhaltig beeinträchtigen. Sie laufen Gefahr, als das Unternehmen gesehen zu werden, das durch einen E-Mail-Betrug Geld verloren hat und das Vertrauen Ihrer Kunden zu verlieren, deren sensible persönliche Daten Sie speichern.

Anstatt sich im Nachhinein um Schadensbegrenzung zu bemühen, ist es viel sinnvoller, Ihre E-Mail-Kanäle gegen Spear-Phishing-Betrug wie diesen zu sichern. Hier sind einige der besten Möglichkeiten, wie Sie sicherstellen können, dass Ihre Organisation nicht zu einer Statistik im BEC-Bericht des FBI wird.

Wie Sie CEO-Betrug verhindern: 6 einfache Schritte

  1. Informieren Sie Ihr Personal über Sicherheit
    Dieser Punkt ist absolut entscheidend. Die Mitglieder Ihrer Belegschaft - insbesondere die im Finanzwesen - müssen verstehen, wie Business Email Compromise funktioniert. Und damit meinen wir nicht nur eine langweilige, zweistündige Präsentation darüber, dass man sein Passwort nicht auf einen Post-it-Zettel schreibt. Sie müssen sie darin schulen, wie sie auf verdächtige Anzeichen achten, dass eine E-Mail gefälscht ist, wie sie auf gefälschte E-Mail-Adressen achten und wie sie abnormale Anfragen stellen, die andere Mitarbeiter per E-Mail zu stellen scheinen.
  2. AchtenSie auf verräterische Anzeichen für Spoofing
    E-Mail-Betrüger verwenden alle möglichen Taktiken, um Sie dazu zu bringen, ihren Aufforderungen nachzukommen. Diese können von dringenden Anfragen/Anweisungen zur Überweisung von Geld reichen, um Sie zu schnellem und unüberlegtem Handeln zu bewegen, bis hin zur Bitte um Zugang zu vertraulichen Informationen für ein "geheimes Projekt", das die höheren Stellen noch nicht mit Ihnen teilen wollen. Dies sind ernstzunehmende Warnsignale, die Sie doppelt und dreifach überprüfen müssen, bevor Sie überhaupt etwas unternehmen.
  3. Schützen Sie sich mit DMARC
    Der einfachste Weg, einen Phishing-Betrug zu verhindern, ist, die E-Mail gar nicht erst zu erhalten. DMARC ist ein E-Mail-Authentifizierungsprotokoll, das E-Mails, die von Ihrer Domain kommen, verifiziert, bevor sie zugestellt werden. Wenn Sie DMARC auf Ihrer Domain erzwingen, wird jeder Angreifer, der sich als jemand aus Ihrer eigenen Organisation ausgibt, als nicht autorisierter Absender erkannt, und seine E-Mail wird in Ihrem Posteingang blockiert. Sie müssen sich nicht mehr mit gefälschten E-Mails herumschlagen.
  4. Holen Sie die ausdrückliche Genehmigung für Überweisungen ein
    Dies ist eine der einfachsten und unkompliziertesten Möglichkeiten, um Geldüberweisungen an die falschen Personen zu verhindern. Bevor Sie sich zu einer Transaktion verpflichten, sollten Sie die ausdrückliche Zustimmung der Person, die das Geld anfordert, über einen anderen Kanal als E-Mail einholen. Bei größeren Überweisungen sollten Sie eine mündliche Bestätigung verlangen.
  5. E-Mails mit ähnlichen Erweiterungen kennzeichnen
    Das FBI empfiehlt, dass Ihr Unternehmen Systemregeln erstellt, die automatisch E-Mails kennzeichnen, die zu ähnliche Erweiterungen wie Ihre eigenen verwenden. Wenn Ihr Unternehmen zum Beispiel "123-business.com" verwendet, könnte das System E-Mails mit Erweiterungen wie "123_business.com" erkennen und kennzeichnen.
  6. Kaufen Sie ähnliche Domain-Namen
    Angreifer verwenden oft ähnlich aussehende Domain-Namen, um Phishing-E-Mails zu versenden. Wenn Ihr Unternehmen z. B. ein kleines "i" im Namen hat, verwenden sie vielleicht ein großes "I" oder ersetzen den Buchstaben "E" durch die Zahl "3". Auf diese Weise können Sie die Wahrscheinlichkeit verringern, dass jemand einen extrem ähnlichen Domainnamen verwendet, um Ihnen E-Mails zu senden.

 

/von

Warum SPF nicht gut genug ist, um Spoofing zu stoppen

Als Anbieter von DMARC-Diensten wird uns diese Frage oft gestellt: "Wenn DMARC nur SPF- und DKIM-Authentifizierung verwendet, warum sollten wir uns dann mit DMARC beschäftigen? Ist das nicht einfach unnötig?"

Oberflächlich betrachtet mag es den Anschein haben, dass es kaum einen Unterschied macht, aber die Realität ist ganz anders. DMARC ist nicht nur eine Kombination aus SPF- und DKIM-Technologien, sondern ein völlig neues, eigenständiges Protokoll. Es hat mehrere Funktionen, die es zu einem der fortschrittlichsten E-Mail-Authentifizierungsstandards der Welt und zu einer absoluten Notwendigkeit für Unternehmen machen.

Aber warten Sie einen Moment. Wir haben noch nicht genau beantwortet, warum Sie DMARC brauchen. Was bietet es, was SPF und DKIM nicht können? Nun, das ist eine ziemlich lange Antwort; zu lang für nur einen Blogbeitrag. Lassen Sie uns also aufteilen und zuerst über SPF sprechen. Für den Fall, dass Sie damit nicht vertraut sind, hier eine kurze Einführung.

Was ist SPF?

SPF, oder Sender Policy Framework, ist ein E-Mail-Authentifizierungsprotokoll, das den E-Mail-Empfänger vor gefälschten E-Mails schützt. Es handelt sich im Wesentlichen um eine Liste aller IP-Adressen, die berechtigt sind, E-Mails über Ihre Kanäle (die des Domaininhabers) zu versenden. Wenn der empfangende Server eine Nachricht von Ihrer Domain sieht, überprüft er den SPF-Eintrag, der in Ihrem DNS veröffentlicht ist. Wenn die IP des Absenders in dieser "Liste" enthalten ist, wird die E-Mail zugestellt. Wenn nicht, lehnt der Server die E-Mail ab.

Mehr lesen

Wie Sie sehen können, leistet SPF eine ziemlich gute Arbeit, um viele unappetitliche E-Mails fernzuhalten, die Ihrem Gerät schaden oder die Sicherheitssysteme Ihres Unternehmens gefährden könnten. Aber SPF ist nicht annähernd so gut, wie manche Leute vielleicht denken. Das liegt daran, dass es einige sehr große Nachteile hat. Lassen Sie uns über einige dieser Probleme sprechen.

Einschränkungen des SPF

SPF-Einträge gelten nicht für die Von-Adresse

E-Mails haben mehrere Adressen, um ihren Absender zu identifizieren: die Absenderadresse, die Sie normalerweise sehen, und die Rücksprungadresse, die versteckt ist und einen oder zwei Klicks erfordert, um sie anzuzeigen. Wenn SPF aktiviert ist, schaut der empfangende E-Mail-Server auf den Return Path und prüft die SPF-Einträge der Domain von dieser Adresse.

Das Problem dabei ist, dass Angreifer dies ausnutzen können, indem sie eine gefälschte Domäne in ihrer Return Path-Adresse und eine legitime (oder legitim aussehende) E-Mail-Adresse im From-Abschnitt verwenden. Selbst wenn der Empfänger die E-Mail-ID des Absenders überprüfen würde, würde er zuerst die Absenderadresse sehen und sich normalerweise nicht die Mühe machen, den Rückweg zu überprüfen. Tatsächlich wissen die meisten Leute nicht einmal, dass es so etwas wie eine Return Path-Adresse gibt.

SPF kann mit diesem einfachen Trick recht leicht umgangen werden und macht selbst mit SPF gesicherte Domains weitgehend angreifbar.

SPF-Einträge haben ein DNS-Lookup-Limit

SPF-Datensätze enthalten eine Liste aller IP-Adressen, die vom Domain-Besitzer autorisiert sind, E-Mails zu versenden. Sie haben jedoch einen entscheidenden Nachteil. Der empfangende Server muss den Datensatz überprüfen, um festzustellen, ob der Absender autorisiert ist. Um die Belastung des Servers zu reduzieren, haben SPF-Datensätze ein Limit von 10 DNS-Lookups.

Das bedeutet, dass, wenn Ihre Organisation mehrere Drittanbieter verwendet, die E-Mails über Ihre Domain senden, der SPF-Eintrag am Ende dieses Limit überschreiten kann. Wenn sie nicht richtig optimiert sind (was nicht einfach selbst zu machen ist), haben SPF-Einträge eine sehr restriktive Grenze. Wenn Sie diese Grenze überschreiten, wird die SPF-Implementierung als ungültig betrachtet und Ihre E-Mail schlägt bei SPF fehl. Dies kann Ihre E-Mail-Zustellungsraten möglicherweise beeinträchtigen.

Mehr erfahren

 

SPF funktioniert nicht immer, wenn die E-Mail weitergeleitet wird

SPF hat einen weiteren kritischen Fehlerpunkt, der die Zustellbarkeit Ihrer E-Mails beeinträchtigen kann. Wenn Sie SPF auf Ihrer Domain implementiert haben und jemand Ihre E-Mail weiterleitet, kann die weitergeleitete E-Mail aufgrund Ihrer SPF-Richtlinie zurückgewiesen werden.

Das liegt daran, dass die weitergeleitete Nachricht den Empfänger der E-Mail geändert hat, die Adresse des E-Mail-Absenders aber gleich geblieben ist. Dies wird zu einem Problem, weil die Nachricht die Absenderadresse des ursprünglichen Absenders enthält, der empfangende Server aber eine andere IP sieht. Die IP-Adresse des weiterleitenden E-Mail-Servers ist nicht im SPF-Eintrag der Domain des ursprünglichen Absenders enthalten. Dies kann dazu führen, dass die E-Mail vom empfangenden Server zurückgewiesen wird.

Wie löst DMARC diese Probleme?

DMARC verwendet eine Kombination aus SPF und DKIM, um E-Mails zu authentifizieren. Eine E-Mail muss entweder SPF oder DKIM passieren, um DMARC zu passieren und erfolgreich zugestellt zu werden. Und es fügt auch eine Schlüsselfunktion hinzu, die es weitaus effektiver macht als SPF oder DKIM allein: Reporting.

Mit dem DMARC-Reporting erhalten Sie tägliches Feedback über den Status Ihrer E-Mail-Kanäle. Dazu gehören Informationen über Ihre DMARC-Ausrichtung, Daten über E-Mails, deren Authentifizierung fehlgeschlagen ist, und Details über mögliche Spoofing-Versuche.

Wenn Sie sich fragen, was Sie tun können, um nicht gespoofed zu werden, lesen Sie unseren praktischen Leitfaden mit den 5 besten Möglichkeiten, um E-Mail-Spoofing zu vermeiden.

/von

Warum E-Mail-Kompromittierung durch Anbieter so beängstigend ist (und was Sie dagegen tun können)

Wenn es um Cyberkriminalität und Sicherheitsbedrohungen geht, ist Vendor Email Compromise (VEC) der Big Daddy des E-Mail-Betrugs. Es ist die Art von Angriff, auf die die meisten Unternehmen am wenigsten vorbereitet sind und von der sie am ehesten betroffen sein werden. In den letzten 3 Jahren hat VEC Unternehmen über 26 Milliarden Dollar gekostet. Und es kann schockierend einfach sein, ihn auszuführen.

Ähnlich wie bei VEC gibt sich der Angreifer bei BEC-Angriffen als eine höhere Führungskraft des Unternehmens aus und sendet E-Mails an einen neu eingestellten Mitarbeiter, häufig aus der Finanzabteilung. Sie bitten um Überweisungen oder die Bezahlung gefälschter Rechnungen, die, wenn sie gut genug ausgeführt werden, einen weniger erfahrenen Mitarbeiter überzeugen können, die Transaktion einzuleiten.

Sie können sehen, warum BEC ein so großes Problem für große Unternehmen ist. Es ist schwierig, die Aktivitäten aller Mitarbeiter zu überwachen, und die weniger erfahrenen fallen eher auf eine E-Mail herein, die scheinbar von ihrem Chef oder dem CFO stammt. Wenn Unternehmen uns gefragt haben, was die gefährlichste Cyberattacke ist, auf die sie achten müssen, war unsere Antwort immer BEC.

Das heißt, bis zu Silent Starling.

Organisiertes Cybercrime-Syndikat

Der sogenannte "Silent Starling" ist eine Gruppe nigerianischer Cyberkrimineller, deren Geschichte in Sachen Betrug bis ins Jahr 2015 zurückreicht. Im Juli 2019 meldeten sie sich bei einer großen Organisation und gaben sich als Geschäftsführer eines ihrer Geschäftspartner aus. In der E-Mail wurde um eine plötzliche Änderung der Bankdaten in letzter Minute gebeten und um eine dringende Überweisung gebeten.

Zum Glück entdeckten sie, dass die E-Mail gefälscht war, bevor es zu einer Transaktion kam, aber bei den anschließenden Ermittlungen kamen die beunruhigenden Details der Methoden der Gruppe ans Licht.

Bei dem, was jetzt als Vendor Email Compromise (VEC) bezeichnet wird, starten die Angreifer einen deutlich aufwändigeren und organisierteren Angriff als bei herkömmlichen BEC-Angriffen. Der Angriff besteht aus drei separaten, aufwändig geplanten Phasen, die anscheinend viel mehr Aufwand erfordern als die meisten BEC-Angriffe. So funktioniert es.

VEC: Wie man ein Unternehmen in 3 Schritten betrügt

Schritt 1: Einfahren

Die Angreifer verschaffen sich zunächst Zugriff auf das E-Mail-Konto einer oder mehrerer Personen im Unternehmen. Dies ist ein sorgfältig orchestrierter Prozess: Sie finden heraus, in welchen Unternehmen DMARC-authentifizierte Domains fehlen. Diese sind ein leicht zu fälschendes Ziel. Die Angreifer verschaffen sich Zugang, indem sie den Mitarbeitern eine Phishing-E-Mail schicken, die wie eine Anmeldeseite aussieht, und deren Anmeldedaten stehlen. Nun haben sie vollständigen Zugriff auf das Innenleben der Organisation.

Schritt 2: Sammeln von Informationen

Dieser zweite Schritt ist wie eine Überwachungsphase. Die Kriminellen können nun vertrauliche E-Mails lesen und damit ein Auge auf Mitarbeiter werfen, die an der Abwicklung von Zahlungen und Transaktionen beteiligt sind. Die Angreifer identifizieren die größten Geschäftspartner und Lieferanten des Zielunternehmens. Sie sammeln Informationen über das Innenleben der Organisation - Dinge wie Abrechnungspraktiken, Zahlungsbedingungen und sogar, wie offizielle Dokumente und Rechnungen aussehen.

Schritt 3: Maßnahmen ergreifen

Mit all diesen gesammelten Informationen erstellen die Betrüger eine extrem realistische E-Mail und warten auf die richtige Gelegenheit, um sie zu versenden (in der Regel kurz bevor eine Transaktion stattfinden soll). Die E-Mail zielt auf die richtige Person zur richtigen Zeit ab und kommt über ein echtes Firmenkonto, was es nahezu unmöglich macht, sie zu identifizieren.

Durch die perfekte Koordination dieser drei Schritte war Silent Starling in der Lage, die Sicherheitssysteme ihres Zielunternehmens zu kompromittieren, und es gelang ihnen beinahe, Zehntausende von Dollar zu stehlen. Sie waren unter den Ersten, die einen solch ausgeklügelten Cyberangriff versuchten, und leider werden sie sicher nicht die Letzten sein.

Ich möchte kein Opfer von VEC werden. Was muss ich tun?

Das wirklich Beängstigende an VEC ist, dass selbst wenn Sie es geschafft haben, es zu entdecken, bevor die Betrüger Geld stehlen konnten, bedeutet das nicht, dass kein Schaden entstanden ist. Die Angreifer haben es immer noch geschafft, vollständigen Zugriff auf Ihre E-Mail-Konten und die interne Kommunikation zu erhalten und waren in der Lage, ein detailliertes Verständnis darüber zu erlangen, wie die Finanzen, Abrechnungssysteme und andere interne Prozesse Ihres Unternehmens funktionieren. Informationen, insbesondere sensible Informationen wie diese, lassen Ihr Unternehmen völlig ungeschützt, und der Angreifer könnte jederzeit einen weiteren Betrugsversuch unternehmen.

Was können Sie also dagegen tun? Wie sollen Sie verhindern, dass Ihnen ein VEC-Angriff widerfährt?

1. Schützen Sie Ihre E-Mail-Kanäle

Eine der effektivsten Möglichkeiten, E-Mail-Betrug zu stoppen, ist, die Angreifer gar nicht erst mit Schritt 1 des VEC-Prozesses beginnen zu lassen. Sie können Cyberkriminelle daran hindern, den ersten Zugang zu erhalten, indem Sie einfach die Phishing-E-Mails blockieren, die sie verwenden, um Ihre Anmeldedaten zu stehlen.

Mitder PowerDMARC-Plattform können Sie die DMARC-Authentifizierung nutzen, um Angreifer davon abzuhalten, sich als Ihre Marke auszugeben und Phishing-E-Mails an Ihre eigenen Mitarbeiter oder Geschäftspartner zu senden. Sie zeigt Ihnen alles, was in Ihren E-Mail-Kanälen vor sich geht, und alarmiert Sie sofort, wenn etwas schief läuft.

2. Bilden Sie Ihr Personal aus

Einer der größten Fehler, den selbst größere Unternehmen machen, ist, dass sie nicht ein wenig mehr Zeit und Mühe investieren, um ihre Mitarbeiter mit Hintergrundwissen über gängige Online-Betrügereien zu schulen, wie sie funktionieren und worauf sie achten müssen.

Es kann sehr schwierig sein, eine echte E-Mail von einer gut gemachten Fälschung zu unterscheiden, aber es gibt oft viele verräterische Anzeichen, die auch jemand erkennen kann, der in Cybersicherheit nicht besonders geschult ist.

3. Legen Sie Richtlinien für Geschäfte über E-Mail fest

Viele Unternehmen nehmen E-Mails einfach als selbstverständlich hin, ohne wirklich über die inhärenten Risiken in einem offenen, unmoderierten Kommunikationskanal nachzudenken. Anstatt jeder Korrespondenz implizit zu vertrauen, handeln Sie mit der Annahme, dass die Person am anderen Ende nicht die ist, die sie vorgibt zu sein.

Wenn Sie eine Transaktion abschließen oder vertrauliche Informationen mit ihnen teilen müssen, können Sie einen sekundären Verifizierungsprozess verwenden. Dies kann z. B. ein Anruf beim Partner sein, um die Transaktion zu bestätigen, oder eine andere Person, die die Transaktion autorisiert.

Angreifer finden immer neue Wege, um geschäftliche E-Mail-Kanäle zu kompromittieren. Sie können es sich nicht leisten, unvorbereitet zu sein.

 

/von