Während Organisationen auf der ganzen Welt Wohltätigkeitsfonds zur Bekämpfung von Covid-19 einrichten, wird in den elektronischen Kanälen des Internets eine andere Art von Kampf ausgetragen. Tausende von Menschen auf der ganzen Welt sind während der Coronavirus-Pandemie Opfer von E-Mail-Spoofing und Covid-19-E-Mail-Betrug geworden. Es kommt immer häufiger vor, dass Cyberkriminelle in ihren E-Mails echte Domainnamen dieser Organisationen verwenden, um legitim zu erscheinen.
Beim jüngsten aufsehenerregenden Coronavirus-Betrug wurde weltweit eine E-Mail verschickt, die angeblich von der Weltgesundheitsorganisation (WHO) stammte und in der um Spenden für den Solidarity Response Fund gebeten wurde. Die Absenderadresse lautete "donate@who.int", wobei "who.int" der echte Domänenname der WHO ist. Die E-Mail entpuppte sich als Phishing-Betrug, aber auf den ersten Blick deutete alles darauf hin, dass der Absender echt war. Schließlich gehörte die Domäne zur echten WHO.
Dies war jedoch nur einer in einer wachsenden Reihe von Phishing-Betrügereien, die E-Mails im Zusammenhang mit dem Coronavirus verwenden, um Geld und sensible Informationen von Menschen zu stehlen. Aber wenn der Absender einen echten Domain-Namen verwendet, wie können wir dann eine legitime E-Mail von einer gefälschten unterscheiden? Warum sind Cyberkriminelle so leicht in der Lage, E-Mail-Domain-Spoofing bei einer so großen Organisation einzusetzen?
Und wie finden Einrichtungen wie die WHO heraus, wenn jemand ihre Domain für einen Phishing-Angriff nutzt?
E-Mail ist das weltweit am meisten genutzte Kommunikationsmittel im Geschäftsleben, und doch ist es ein völlig offenes Protokoll. Es gibt kaum Möglichkeiten zu überwachen, wer welche E-Mails von welcher E-Mail-Adresse aus sendet. Dies wird zu einem großen Problem, wenn sich Angreifer als vertrauenswürdige Marke oder öffentliche Person tarnen und Menschen dazu auffordern, ihnen ihr Geld und ihre persönlichen Daten zu geben. Tatsächlich waren über 90 % aller Datenschutzverletzungen in Unternehmen in den letzten Jahren mit E-Mail-Phishing in der einen oder anderen Form verbunden. Und E-Mail-Domain-Spoofing ist eine der führenden Ursachen dafür.
In dem Bemühen, E-Mails zu sichern, wurden Protokolle wie Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) entwickelt. SPF prüft die IP-Adresse des Absenders mit einer genehmigten Liste von IP-Adressen, und DKIM verwendet eine verschlüsselte digitale Signatur zum Schutz von E-Mails. Obwohl beide Verfahren für sich genommen effektiv sind, haben sie jeweils ihre eigenen Schwachstellen. DMARC, das 2012 entwickelt wurde, ist ein Protokoll, das sowohl die SPF- als auch die DKIM-Authentifizierung nutzt, um E-Mails zu schützen, und verfügt über einen Mechanismus, der dem Domainbesitzer einen Bericht sendet, wenn eine E-Mail die DMARC-Validierung nicht besteht.
Das bedeutet, dass der Domain-Besitzer benachrichtigt wird, wenn eine E-Mail von einer nicht autorisierten dritten Partei gesendet wird. Und, was besonders wichtig ist, er kann dem E-Mail-Empfänger mitteilen, wie er mit nicht authentifizierten E-Mails verfahren soll: Er kann sie in den Posteingang stellen, in Quarantäne verschieben oder sie ganz ablehnen. Theoretisch sollte dies die Überflutung der Posteingänge mit schlechten E-Mails verhindern und die Zahl der Phishing-Angriffe reduzieren. Warum funktioniert es also nicht?
Kann DMARC Domain-Spoofing und Covid-19-E-Mail-Betrug verhindern?
Für die E-Mail-Authentifizierung müssen Absenderdomänen ihre SPF-, DKIM- und DMARC-Einträge im DNS veröffentlichen. Laut einer Studie hatten 2018 nur 44,9 % der Alexa Top 1 Million Domains einen gültigen SPF-Datensatz veröffentlicht, und nur 5,1 % hatten einen gültigen DMARC-Datensatz. Und das, obwohl Domains ohne DMARC-Authentifizierung fast viermal so häufig von Spoofing betroffen sind wie Domains, die gesichert sind. Es mangelt an einer ernsthaften DMARC-Implementierung in der gesamten Unternehmenslandschaft, und die Situation hat sich im Laufe der Jahre nicht wesentlich verbessert. Selbst Organisationen wie UNICEF haben DMARC noch nicht für ihre Domains implementiert, und sowohl das Weiße Haus als auch das US-Verteidigungsministerium haben eine DMARC-Richtlinie von p = none, was bedeutet, dass sie nicht durchgesetzt wird.
Eine Umfrage, die von Experten der Virginia Tech durchgeführt wurde, hat einige der schwerwiegendsten Bedenken ans Licht gebracht, die von großen Firmen und Unternehmen genannt werden, die die DMARC-Authentifizierung noch nicht einsetzen:
- Einsatzschwierigkeiten: Die strikte Durchsetzung von Sicherheitsprotokollen bedeutet in großen Institutionen oft einen hohen Koordinationsaufwand, für den sie oft nicht die Ressourcen haben. Darüber hinaus haben viele Organisationen keine große Kontrolle über ihr DNS, so dass die Veröffentlichung von DMARC-Einträgen zu einer noch größeren Herausforderung wird.
- Der Nutzen überwiegt nicht die Kosten: Die DMARC-Authentifizierung hat in der Regel direkte Vorteile für den Empfänger der E-Mail und nicht für den Domaininhaber. Das Fehlen einer ernsthaften Motivation, das neue Protokoll zu übernehmen, hat viele Unternehmen davon abgehalten, DMARC in ihre Systeme zu integrieren.
- Risiko des Bruchs des bestehenden Systems: Die relative Neuheit von DMARC macht es anfälliger für eine unsachgemäße Implementierung, was das sehr reale Risiko mit sich bringt, dass legitime E-Mails nicht durchgelassen werden. Unternehmen, die auf den E-Mail-Verkehr angewiesen sind, können sich das nicht leisten und führen DMARC daher gar nicht erst ein.
Erkennen, warum wir DMARC brauchen
Auch wenn die von den Unternehmen in der Umfrage geäußerten Bedenken offensichtlich berechtigt sind, macht dies die DMARC-Implementierung für die E-Mail-Sicherheit nicht weniger zwingend erforderlich. Je länger Unternehmen ohne eine DMARC-authentifizierte Domain arbeiten, desto mehr setzen wir uns alle der sehr realen Gefahr von E-Mail-Phishing-Angriffen aus. Wie uns die Coronavirus-E-Mail-Spoofing-Betrügereien gelehrt haben, ist niemand davor sicher, ins Visier von Phishing-Angreifern zu geraten oder sich für sie auszugeben. Stellen Sie sich DMARC wie einen Impfstoff vor - je mehr Menschen es nutzen, desto geringer ist die Wahrscheinlichkeit, sich anzustecken.
Es gibt echte, praktikable Lösungen für dieses Problem, die die Bedenken der Leute bezüglich der DMARC-Einführung ausräumen könnten. Hier sind nur ein paar, die die Implementierung um ein Vielfaches steigern könnten:
- Geringere Reibungsverluste bei der Implementierung: Die größte Hürde für die Einführung von DMARC in Unternehmen sind die damit verbundenen Implementierungskosten. Die Wirtschaft befindet sich in einer Flaute und die Ressourcen sind knapp. Aus diesem Grund sind PowerDMARC und unser Industriepartner Global Cyber Alliance (GCA) stolz darauf, während der Covid-19-Pandemie ein zeitlich begrenztes Angebot zu unterbreiten: 3 Monate lang können Sie unser komplettes Paket an Anwendungen, DMARC-Implementierung und Anti-Spoofing-Services kostenlos nutzen. Richten Sie Ihre DMARC-Lösung in wenigen Minuten ein und beginnen Sie jetzt mit der Überwachung Ihrer E-Mails mit PowerDMARC.
- Verbesserung der wahrgenommenen Nützlichkeit: Damit DMARC einen großen Einfluss auf die E-Mail-Sicherheit hat, braucht es eine kritische Masse an Benutzern, die ihre SPF-, DKIM- und DMARC-Einträge veröffentlichen. Indem DMARC-authentifizierte Domains mit einem "Trusted"- oder "Verified"-Symbol belohnt werden (ähnlich wie bei der Förderung von HTTPS bei Websites), können Domain-Besitzer einen Anreiz erhalten, eine positive Reputation für ihre Domain zu erhalten. Sobald diese einen bestimmten Schwellenwert erreicht, werden Domains, die durch DMARC geschützt sind, wohlwollender betrachtet als solche, die es nicht sind.
- Rationalisierte Bereitstellung: Durch die Vereinfachung der Bereitstellung und Konfiguration von Anti-Spoofing-Protokollen werden mehr Domänen der DMARC-Authentifizierung zustimmen. Eine Möglichkeit, dies zu erreichen, besteht darin, das Protokoll in einem "Überwachungsmodus" laufen zu lassen, der es E-Mail-Administratoren ermöglicht, die Auswirkungen auf ihre Systeme zu beurteilen, bevor sie sich für eine vollständige Implementierung entscheiden.
Jede neue Erfindung bringt neue Herausforderungen mit sich. Jede neue Herausforderung zwingt uns dazu, einen neuen Weg zu finden, um sie zu bewältigen. DMARC gibt es nun schon seit einigen Jahren, doch Phishing existiert schon viel länger. In den letzten Wochen hat es durch die Covid-19-Pandemie nur ein neues Gesicht bekommen. Wir von PowerDMARC helfen Ihnen, diese neue Herausforderung anzunehmen. Melden Sie sich hier für Ihren kostenlosen DMARC-Analysator an, damit Sie zu Hause vor dem Coronavirus geschützt sind und Ihre Domain vor E-Mail-Spoofing sicher ist.
