E-Mails sind oft die erste Wahl für Cyberkriminelle, weil sie so einfach auszunutzen sind. Im Gegensatz zu Brute-Force-Angriffen, die viel Rechenleistung benötigen, oder ausgefeilteren Methoden, die ein hohes Maß an Fähigkeiten erfordern, kann Domain-Spoofing so einfach sein wie das Schreiben einer E-Mail, die vorgibt, jemand anderes zu sein. In vielen Fällen handelt es sich bei dieser "anderen Person" um eine große Software-Service-Plattform, auf die sich Menschen bei der Erledigung ihrer Arbeit verlassen.

Genau das geschah zwischen dem 15. und 30. April 2020, als unsere Sicherheitsanalysten von PowerDMARC eine neue Welle von Phishing-E-Mails entdeckten, die auf führende Versicherungsunternehmen im Nahen Osten abzielten. Dieser Angriff war nur einer unter vielen anderen in der jüngsten Zunahme von Phishing- und Spoofing-Fällen während der Covid-19-Krise. Bereits im Februar 2020 ging ein anderer großer Phishing-Betrug so weit, dass er sich als Weltgesundheitsorganisation ausgab und E-Mails an Tausende von Menschen mit der Bitte um Spenden für die Coronavirus-Hilfe verschickte.

In dieser jüngsten Serie von Vorfällen erhielten Benutzer des Office 365-Dienstes von Microsoft scheinbar routinemäßige Update-E-Mails zum Status ihrer Benutzerkonten. Diese E-Mails kamen von den Domänen der jeweiligen Unternehmen und forderten die Benutzer auf, ihre Kennwörter zurückzusetzen oder auf Links zu klicken, um ausstehende Benachrichtigungen anzuzeigen.

Wir haben eine Liste mit einigen der E-Mail-Titel zusammengestellt, die nach unserer Beobachtung verwendet wurden:

  • Ungewöhnliche Anmeldeaktivität bei Microsoft-Konto
  • Sie haben (3) Nachrichten auf Ihrem e-Mail [email protected]* Portal zur Zustellung anstehen!
  • [email protected] Sie haben ausstehende Microsoft Office UNSYNC-Meldungen
  • Reaktivierungs-Sammelbenachrichtigung für [email protected]

*Kontodaten zum Schutz der Privatsphäre der Benutzer geändert

Sie können sich auch ein Beispiel für einen Mail-Header ansehen, der in einer gefälschten E-Mail an ein Versicherungsunternehmen verwendet wurde:

Empfangen: von [malicious_ip] (helo= bösartige_domain)

id 1jK7RC-000uju-6x

für [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signatur: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Empfangen: von [xxxx] (port=58502 helo=xxxxx)

von bösartige_domäne mit esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Von: "Microsoft Account Team" 

An: [email protected]

Betreff: Microsoft Office-Benachrichtigung für [email protected] am 4/1/2020 23:46

Datum: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Inhalt-Typ: text/html;

charset="utf-8″

Inhalt-Transfer-Encoding: quoted-printable

X-AntiAbuse: Dieser Header wurde hinzugefügt, um Missbrauch zu verfolgen, bitte fügen Sie ihn jedem Missbrauchsbericht bei

X-AntiAbuse: Primärer Hostname - bösartige_domain

X-AntiAbuse: Original Domain - domain.com

X-AntiAbuse: Absender/Anrufer UID/GID - [47 12] / [47 12]

X-AntiAbuse: Absender Adresse Domäne - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authentifizierter Absender: malicious_domain: [email protected]_domain

X-Quelle: 

X-Quelle-Args: 

X-Source-Dir: 

Received-SPF: fail ( Domain von domain.com benennt nicht bösartige_ip_Adresse als erlaubten Absender) client-ip= malicious_ip_address ; envelope-from=[email protected]; helo=bösartige_domain;

X-SPF-Result: Domain von domain.com benennt nicht bösartige_IP_Adresse als erlaubten Absender

X-Absender-Warnung: Reverse-DNS-Lookup fehlgeschlagen für bösartige_ip_Adresse (fehlgeschlagen)

X-DKIM-Status: keine / / domain.de / / /

X-DKIM-Status: pass / / bösartige_domain / bösartige_domain / / Standard

 

Unser Security Operation Center verfolgte die E-Mail-Links zu Phishing-URLs, die auf Microsoft Office 365-Benutzer abzielten. Die URLs leiteten zu kompromittierten Websites an verschiedenen Standorten auf der ganzen Welt um.

Wenn man sich diese E-Mail-Titel ansieht, ist es unmöglich zu erkennen, dass sie von jemandem gesendet wurden, der die Domäne Ihres Unternehmens gefälscht hat. Wir sind an einen ständigen Strom von arbeitsoder kontobezogenen E-Mails gewöhnt, die uns auffordern, uns bei verschiedenen Online-Diensten wie Office 365 anzumelden. Domain-Spoofing macht sich das zunutze, indem es gefälschte, bösartige E-Mails ununterscheidbar von echten E-Mails macht. Es gibt praktisch keine Möglichkeit, ohne eine gründliche Analyse der E-Mail zu erkennen, ob sie von einer vertrauenswürdigen Quelle stammt. Und bei Dutzenden von E-Mails, die täglich eingehen, hat niemand die Zeit, jede einzelne sorgfältig zu prüfen. Die einzige Lösung wäre der Einsatz eines Authentifizierungsmechanismus, der alle E-Mails, die von Ihrer Domain aus gesendet werden, überprüft und nur diejenigen blockiert, die von jemandem gesendet wurden, der sie unberechtigt verschickt hat.

Dieser Authentifizierungsmechanismus heißt DMARC. Und als einer der weltweit führenden Anbieter von E-Mail-Sicherheitslösungen haben wir von PowerDMARC es uns zur Aufgabe gemacht, Ihnen die Bedeutung des Schutzes der Domain Ihres Unternehmens näher zu bringen. Nicht nur für Sie selbst, sondern für jeden, der darauf vertraut und sich darauf verlässt, dass Sie sichere und zuverlässige E-Mails in ihrem Posteingang zustellen, und zwar jedes einzelne Mal.

Über die Risiken von Spoofing können Sie hier lesen: https://powerdmarc.com/stop-email-spoofing/

Erfahren Sie hier, wie Sie Ihre Domain vor Spoofing schützen und Ihre Marke stärken können: https://powerdmarc.com/what-is-dmarc/

 

Während Organisationen auf der ganzen Welt Wohltätigkeitsfonds zur Bekämpfung von Covid-19 einrichten, wird in den elektronischen Kanälen des Internets eine andere Art von Kampf ausgetragen. Tausende von Menschen auf der ganzen Welt sind während der Coronavirus-Pandemie Opfer von E-Mail-Spoofing und Covid-19-E-Mail-Betrug geworden. Es kommt immer häufiger vor, dass Cyberkriminelle in ihren E-Mails echte Domainnamen dieser Organisationen verwenden, um legitim zu erscheinen.

Beim jüngsten aufsehenerregenden Coronavirus-Betrug wurde weltweit eine E-Mail verschickt, die angeblich von der Weltgesundheitsorganisation (WHO) stammte und in der um Spenden für den Solidarity Response Fund gebeten wurde. Die Absenderadresse lautete "[email protected]", wobei "who.int" der echte Domänenname der WHO ist. Die E-Mail entpuppte sich als Phishing-Betrug, aber auf den ersten Blick deutete alles darauf hin, dass der Absender echt war. Schließlich gehörte die Domäne zur echten WHO.

Antwortfonds spenden

Dies war jedoch nur einer in einer wachsenden Reihe von Phishing-Betrügereien, die E-Mails im Zusammenhang mit dem Coronavirus verwenden, um Geld und sensible Informationen von Menschen zu stehlen. Aber wenn der Absender einen echten Domain-Namen verwendet, wie können wir dann eine legitime E-Mail von einer gefälschten unterscheiden? Warum sind Cyberkriminelle so leicht in der Lage, E-Mail-Domain-Spoofing bei einer so großen Organisation einzusetzen?

Und wie finden Einrichtungen wie die WHO heraus, wenn jemand ihre Domain für einen Phishing-Angriff nutzt?

E-Mail ist das weltweit am meisten genutzte Kommunikationsmittel im Geschäftsleben, und doch ist es ein völlig offenes Protokoll. Es gibt kaum Möglichkeiten zu überwachen, wer welche E-Mails von welcher E-Mail-Adresse aus sendet. Dies wird zu einem großen Problem, wenn sich Angreifer als vertrauenswürdige Marke oder öffentliche Person tarnen und Menschen dazu auffordern, ihnen ihr Geld und ihre persönlichen Daten zu geben. Tatsächlich waren über 90 % aller Datenschutzverletzungen in Unternehmen in den letzten Jahren mit E-Mail-Phishing in der einen oder anderen Form verbunden. Und E-Mail-Domain-Spoofing ist eine der führenden Ursachen dafür.

In dem Bemühen, E-Mails zu sichern, wurden Protokolle wie Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) entwickelt. SPF prüft die IP-Adresse des Absenders mit einer genehmigten Liste von IP-Adressen, und DKIM verwendet eine verschlüsselte digitale Signatur zum Schutz von E-Mails. Obwohl beide Verfahren für sich genommen effektiv sind, haben sie jeweils ihre eigenen Schwachstellen. DMARC, das 2012 entwickelt wurde, ist ein Protokoll, das sowohl die SPF- als auch die DKIM-Authentifizierung nutzt, um E-Mails zu schützen, und verfügt über einen Mechanismus, der dem Domainbesitzer einen Bericht sendet, wenn eine E-Mail die DMARC-Validierung nicht besteht.

Das bedeutet, dass der Domain-Besitzer benachrichtigt wird, wenn eine E-Mail von einer nicht autorisierten dritten Partei gesendet wird. Und, was besonders wichtig ist, er kann dem E-Mail-Empfänger mitteilen, wie er mit nicht authentifizierten E-Mails verfahren soll: Er kann sie in den Posteingang stellen, in Quarantäne verschieben oder sie ganz ablehnen. Theoretisch sollte dies die Überflutung der Posteingänge mit schlechten E-Mails verhindern und die Zahl der Phishing-Angriffe reduzieren. Warum funktioniert es also nicht?

Kann DMARC Domain-Spoofing und Covid-19-E-Mail-Betrug verhindern?

Die E-Mail-Authentifizierung erfordert, dass Absenderdomänen ihre SPF-, DKIM- und DMARC-Einträge im DNS veröffentlichen. Laut einer Studie hatten 2018 nur 44,9 % der Alexa-Top-1-Millionen-Domains einen gültigen SPF-Eintrag veröffentlicht, und nur 5,1 % hatten einen gültigen DMARC-Eintrag. Und das, obwohl Domains ohne DMARC-Authentifizierung fast viermal so häufig von Spoofing betroffen sind wie Domains, die gesichert sind. Es mangelt an einer ernsthaften DMARC-Implementierung in der gesamten Unternehmenslandschaft, und es ist über die Jahre nicht viel besser geworden. Selbst Organisationen wie UNICEF haben DMARC noch nicht mit ihren Domains implementiert, und sowohl das Weiße Haus als auch das US-Verteidigungsministerium haben eine DMARC-Richtlinie von p = none, was bedeutet, dass sie nicht durchgesetzt wird.

Eine Umfrage, die von Experten der Virginia Tech durchgeführt wurde, hat einige der schwerwiegendsten Bedenken ans Licht gebracht, die von großen Firmen und Unternehmen genannt werden, die die DMARC-Authentifizierung noch nicht einsetzen:

  1. Einsatzschwierigkeiten: Die strikte Durchsetzung von Sicherheitsprotokollen bedeutet in großen Institutionen oft einen hohen Koordinationsaufwand, für den sie oft nicht die Ressourcen haben. Darüber hinaus haben viele Organisationen keine große Kontrolle über ihr DNS, so dass die Veröffentlichung von DMARC-Einträgen zu einer noch größeren Herausforderung wird.
  2. Der Nutzen überwiegt nicht die Kosten: Die DMARC-Authentifizierung hat in der Regel direkte Vorteile für den Empfänger der E-Mail und nicht für den Domaininhaber. Das Fehlen einer ernsthaften Motivation, das neue Protokoll zu übernehmen, hat viele Unternehmen davon abgehalten, DMARC in ihre Systeme zu integrieren.
  3. Risiko des Bruchs des bestehenden Systems: Die relative Neuheit von DMARC macht es anfälliger für eine unsachgemäße Implementierung, was das sehr reale Risiko mit sich bringt, dass legitime E-Mails nicht durchgelassen werden. Unternehmen, die auf den E-Mail-Verkehr angewiesen sind, können sich das nicht leisten und führen DMARC daher gar nicht erst ein.

Erkennen, warum wir DMARC brauchen

Obwohl die von den Unternehmen in der Umfrage geäußerten Bedenken offensichtlich berechtigt sind, macht dies die DMARC-Implementierung für die E-Mail-Sicherheit nicht weniger zwingend erforderlich. Je länger Unternehmen weiterhin ohne eine DMARC-authentifizierte Domain arbeiten, desto mehr setzen wir uns alle der sehr realen Gefahr von E-Mail-Phishing-Angriffen aus. Wie uns die Coronavirus-E-Mail-Spoofing-Betrügereien gelehrt haben, ist niemand davor sicher, ins Visier von Phishing-Angreifern zu geraten oder sich für sie auszugeben. Stellen Sie sich DMARC wie einen Impfstoff vor - je mehr Menschen es nutzen, desto geringer ist die Wahrscheinlichkeit, sich eine Infektion einzufangen.

Es gibt echte, praktikable Lösungen für dieses Problem, die die Bedenken der Leute bezüglich der DMARC-Einführung ausräumen könnten. Hier sind nur ein paar, die die Implementierung um ein Vielfaches steigern könnten:

  1. Reduzierung der Reibungsverluste bei der Implementierung: Die größte Hürde, die der Einführung von DMARC in Unternehmen im Wege steht, sind die damit verbundenen Implementierungskosten. Die Wirtschaft befindet sich in einer Flaute und die Ressourcen sind knapp. Aus diesem Grund ist PowerDMARC zusammen mit unserem Industriepartner Global Cyber Alliance (GCA) stolz darauf, ein zeitlich begrenztes Angebot während der Covid-19-Pandemie bekannt zu geben - 3 Monate unserer kompletten Suite von Apps, DMARC-Implementierung und Anti-Spoofing-Services, völlig kostenlos. Richten Sie Ihre DMARC-Lösung in wenigen Minuten ein und beginnen Sie jetzt mit der Überwachung Ihrer E-Mails mit PowerDMARC.
  2. Verbesserung der wahrgenommenen Nützlichkeit: Damit DMARC einen großen Einfluss auf die E-Mail-Sicherheit hat, braucht es eine kritische Masse an Benutzern, die ihre SPF-, DKIM- und DMARC-Einträge veröffentlichen. Indem DMARC-authentifizierte Domains mit einem "Trusted"- oder "Verified"-Symbol belohnt werden (ähnlich wie bei der Förderung von HTTPS bei Websites), können Domain-Besitzer einen Anreiz erhalten, eine positive Reputation für ihre Domain zu erhalten. Sobald diese einen bestimmten Schwellenwert erreicht, werden Domains, die durch DMARC geschützt sind, wohlwollender betrachtet als solche, die es nicht sind.
  3. Rationalisierte Bereitstellung: Durch die Vereinfachung der Bereitstellung und Konfiguration von Anti-Spoofing-Protokollen werden mehr Domänen der DMARC-Authentifizierung zustimmen. Eine Möglichkeit, dies zu erreichen, besteht darin, das Protokoll in einem "Überwachungsmodus" laufen zu lassen, der es E-Mail-Administratoren ermöglicht, die Auswirkungen auf ihre Systeme zu beurteilen, bevor sie sich für eine vollständige Implementierung entscheiden.

Jede neue Erfindung bringt neue Herausforderungen mit sich. Jede neue Herausforderung zwingt uns dazu, einen neuen Weg zu finden, um sie zu bewältigen. DMARC gibt es nun schon seit einigen Jahren, doch Phishing existiert schon viel länger. In den letzten Wochen hat es durch die Covid-19-Pandemie nur ein neues Gesicht bekommen. Wir von PowerDMARC helfen Ihnen, diese neue Herausforderung anzunehmen. Melden Sie sich hier für Ihren kostenlosen DMARC-Analysator an, damit Sie zu Hause vor dem Coronavirus geschützt sind und Ihre Domain vor E-Mail-Spoofing sicher ist.