E-Mails sind oft die erste Wahl für Cyberkriminelle, weil sie so einfach auszunutzen sind. Im Gegensatz zu Brute-Force-Angriffen, die viel Rechenleistung benötigen, oder ausgefeilteren Methoden, die ein hohes Maß an Fähigkeiten erfordern, kann Domain-Spoofing so einfach sein wie das Schreiben einer E-Mail, die vorgibt, jemand anderes zu sein. In vielen Fällen handelt es sich bei dieser "anderen Person" um eine große Software-Service-Plattform, auf die sich Menschen bei der Erledigung ihrer Arbeit verlassen.

Genau das geschah zwischen dem 15. und 30. April 2020, als unsere Sicherheitsanalysten von PowerDMARC eine neue Welle von Phishing-E-Mails entdeckten, die auf führende Versicherungsunternehmen im Nahen Osten abzielten. Dieser Angriff war nur einer unter vielen anderen in der jüngsten Zunahme von Phishing- und Spoofing-Fällen während der Covid-19-Krise. Bereits im Februar 2020 ging ein anderer großer Phishing-Betrug so weit, dass er sich als Weltgesundheitsorganisation ausgab und E-Mails an Tausende von Menschen mit der Bitte um Spenden für die Coronavirus-Hilfe verschickte.

In dieser jüngsten Serie von Vorfällen erhielten Benutzer des Office 365-Dienstes von Microsoft scheinbar routinemäßige Update-E-Mails zum Status ihrer Benutzerkonten. Diese E-Mails kamen von den Domänen der jeweiligen Unternehmen und forderten die Benutzer auf, ihre Kennwörter zurückzusetzen oder auf Links zu klicken, um ausstehende Benachrichtigungen anzuzeigen.

Wir haben eine Liste mit einigen der E-Mail-Titel zusammengestellt, die nach unserer Beobachtung verwendet wurden:

Ungewöhnliche Anmeldeaktivität bei Microsoft-Konto
Sie haben (3) Nachrichten auf Ihrem e-Mail [email protected]* Portal zur Zustellung anstehen!
[email protected] Sie haben ausstehende Microsoft Office UNSYNC-Meldungen
Reaktivierungs-Sammelbenachrichtigung für [email protected]

*Kontodaten zum Schutz der Privatsphäre der Benutzer geändert

Sie können sich auch ein Beispiel für einen Mail-Header ansehen, der in einer gefälschten E-Mail an ein Versicherungsunternehmen verwendet wurde:

Empfangen: von [malicious_ip] (helo= bösartige_domain)

id 1jK7RC-000uju-6x

für [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signatur: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Empfangen: von [xxxx] (port=58502 helo=xxxxx)

von bösartige_domäne mit esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Von: "Microsoft Account Team"

An: [email protected]

Betreff: Microsoft Office-Benachrichtigung für [email protected] am 4/1/2020 23:46

Datum: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Inhalt-Typ: text/html;

charset="utf-8″

Inhalt-Transfer-Encoding: quoted-printable

X-AntiAbuse: Dieser Header wurde hinzugefügt, um Missbrauch zu verfolgen, bitte fügen Sie ihn jedem Missbrauchsbericht bei

X-AntiAbuse: Primärer Hostname - bösartige_domain

X-AntiAbuse: Original Domain - domain.com

X-AntiAbuse: Absender/Anrufer UID/GID - [47 12] / [47 12]

X-AntiAbuse: Absender Adresse Domäne - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authentifizierter Absender: malicious_domain: [email protected]_domain

X-Quelle:

X-Quelle-Args:

X-Source-Dir:

Received-SPF: fail ( Domain von domain.com benennt nicht bösartige_ip_Adresse als erlaubten Absender) client-ip= malicious_ip_address ; envelope-from=[email protected]; helo=bösartige_domain;

X-SPF-Result: Domain von domain.com benennt nicht bösartige_IP_Adresse als erlaubten Absender

X-Absender-Warnung: Reverse-DNS-Lookup fehlgeschlagen für bösartige_ip_Adresse (fehlgeschlagen)

X-DKIM-Status: keine / / domain.de / / /

X-DKIM-Status: pass / / bösartige_domain / bösartige_domain / / Standard

Unser Security Operation Center verfolgte die E-Mail-Links zu Phishing-URLs, die auf Microsoft Office 365-Benutzer abzielten. Die URLs leiteten zu kompromittierten Websites an verschiedenen Standorten auf der ganzen Welt um.

Wenn man sich diese E-Mail-Titel ansieht, ist es unmöglich zu erkennen, dass sie von jemandem gesendet wurden, der die Domäne Ihres Unternehmens gefälscht hat. Wir sind an einen ständigen Strom von arbeitsoder kontobezogenen E-Mails gewöhnt, die uns auffordern, uns bei verschiedenen Online-Diensten wie Office 365 anzumelden. Domain-Spoofing macht sich das zunutze, indem es gefälschte, bösartige E-Mails ununterscheidbar von echten E-Mails macht. Es gibt praktisch keine Möglichkeit, ohne eine gründliche Analyse der E-Mail zu erkennen, ob sie von einer vertrauenswürdigen Quelle stammt. Und bei Dutzenden von E-Mails, die täglich eingehen, hat niemand die Zeit, jede einzelne sorgfältig zu prüfen. Die einzige Lösung wäre der Einsatz eines Authentifizierungsmechanismus, der alle E-Mails, die von Ihrer Domain aus gesendet werden, überprüft und nur diejenigen blockiert, die von jemandem gesendet wurden, der sie unberechtigt verschickt hat.

Dieser Authentifizierungsmechanismus heißt DMARC. Und als einer der weltweit führenden Anbieter von E-Mail-Sicherheitslösungen haben wir von PowerDMARC es uns zur Aufgabe gemacht, Ihnen die Bedeutung des Schutzes der Domain Ihres Unternehmens näher zu bringen. Nicht nur für Sie selbst, sondern für jeden, der darauf vertraut und sich darauf verlässt, dass Sie sichere und zuverlässige E-Mails in ihrem Posteingang zustellen, und zwar jedes einzelne Mal.

Über die Risiken von Spoofing können Sie hier lesen: https://powerdmarc.com/stop-email-spoofing/

Erfahren Sie hier, wie Sie Ihre Domain vor Spoofing schützen und Ihre Marke stärken können: https://powerdmarc.com/what-is-dmarc/