Mit Absenderreputation gegen E-Mail-Phishing

Wer als Unternehmen nicht konsequent die Möglichkeiten der Absenderreputation im E-Mail-Verkehr nutzt, lädt Kriminelle unmittelbar zum Betrug an seinen Geschäftspartnern ein. Ein Angriff auf mehr als 110 Millionen Netflix-Abonnenten machte Ende 2017 die Gefahr deutlich. Dabei kann jeder Administrator mit den richtigen Einstellungen zur Senderreputation – genauer SPF, DKIM und DMARC – sein Unternehmen schützen.

Im November 2017 hatten viele Abonnenten des Streaming-Services Netflix eine nahezu perfekt gemachte Phishing-E-Mail in ihrem Postfach – oder eben glücklicherweise auch nicht. Aber fangen wir von vorne an: Das Abgreifen von Kundenaccounts oder Kreditkarteninformationen mittels gefälschter Mails ist eigentlich ein alter Hut und äußerst wirksame Schutzmaßnahmen sind frei verfügbar. Umso mehr verwundert es, dass diese Form des Betrugs noch immer so gut funktioniert, dass die Kriminellen ihre Aktivitäten weiter ausbauen.

Schludern bei der Absenderprüfung

Woran liegt es also, dass diese Plage bisher nicht abgewendet ist? Die Antwort ist ebenso einfach wie frustrierend: Es liegt am mangelnden Interesse der Verantwortlichen. Verantwortlich sind dabei immer zwei Seiten: Alle Unternehmen und Organisationen die als potenzielle Absender in Frage kommen, aber auch die Administratoren auf der Empfängerseite.

Um auf den geschilderten Fall vom vergangenen Jahr zurückzukommen: Mangelndes Interesse lässt sich Netflix wohl nicht vorwerfen. Das Unternehmen hat schon im Vorfeld des Vorfalls vorbildlich gehandelt und alles in seiner Macht Stehende dafür getan, solche Attacken zu unterbinden. Wenn aber die Empfänger der Mails – genauer die Verantwortlichen für die Mailsysteme, sei es in einem Unternehmen oder auch der Mailprovider für Privatpersonen – nicht mitspielen, fruchten alle Bemühungen von Netflix nicht.

Anti-Spoofing nur die halbe Miete

Sehen wir uns den Angriff genauer an. Die Phishing-Mail sah täuschend echt aus. Weder fehlte das Netflix-Logo noch ein ordentlicher Abspann zur Mail. Sogar Banner-Werbung für die neuen Staffeln bekannter Produktionen wie House of Cards oder The Crown waren enthalten. Ein fehlerfreier Text informierte über die drohende Suspendierung des Accounts, da die Kreditkartendaten nicht korrekt seien. Wer dem enthaltenen Link folgte und seine Informationen aktualisierte, lieferte den Betrügern seine Kreditkartendaten frei Haus.

Einen Schönheitsfehler hatte die Phishing-Mail jedoch, der zumindest den geschulten E-Mail-Nutzer stutzig machen konnte: Als Absender war lediglich „No Sender“ aufgeführt. Denn die E-Mail-Sicherheitsmechanismen von Netflix verhindern, dass ein unautorisierter Sender unentdeckt so tun kann, als verschicke er Nachrichten im Auftrag von Netflix. Beim sogenannten Spoofing tut ein Angreifer genau dies. Er gaukelt dem Empfänger vor, von einer bestimmten Domain zu kommen. Da Netflix dies deutlich erschwert, hatten die Angreifer darauf verzichtet.

Wer als Empfänger also das Glück hatte, dass seine E-Mail-Security-Infrastruktur die Reputation des Senders gewissenhaft prüft, bekam diese Phishing-Mail gar nicht erst zu Gesicht. Sie wurde schnell als Phishing-Versuch erkannt und aussortiert. Allerdings ist es immer noch erstaunlich, wie viele bekannte und hochgelobte Anti-Spam und Anti-Malware-Lösungen bei der Auswertung der Senderreputation schludern.

Sicherheitsdreiklang: SPF, DKIM und DMARC

Technisch ist diese Prüfung kein Hexenwerk. Sie verbirgt sich hinter den Abkürzungen SPF, DKIM und DMARC. Dabei handelt es sich um Bezeichnungen für Einstellungen auf dem E-Mail-System in den sogenannten MX-Records, so etwas wie eine öffentliche Checkliste für die Richtigkeit von E-Mails dieser Domain. Vereinfacht gesagt nennen die SPF-Einträge die IP-Adressen, von denen aus Mails für diese Domain versendet werden. Durch den Abgleich der sendenden IP-Adresse mit den SPF-Einträgen lässt sich erkennen, wenn eine E-Mail von zweifelhafter Herkunft ist.

Der DKIM-Eintrag beschreibt das Äquivalent zu einem Poststempel, den eine Briefsendung trägt. Auch hier erlaubt der Vergleich, die Echtheit einer Mail zu prüfen. Der DMARC-Eintrag schließlich enthält eine klare Anweisung dazu, was sich die Domain für den Umgang mit ihren Mails wünscht. Im Fall von Netflix lautete die Empfehlung des DMARC-Records: „Mache eine SPF- und DKIM-Prüfung. Wenn dabei Fehler auftreten, weise diese Mail ab und benachrichtige uns über den Versuch, eine gefälschte E-Mail in unserem Namen zuzustellen.“ Die Benachrichtigung erfolgt dabei automatisiert und gebündelt.

Phishing effizient unterbinden

Um Phishing ein für alle Mal zu beenden, sind also eigentlich nur zwei Aktionen notwendig: Erstens sollten alle Unternehmen und andere Organisation, die E-Mails versenden, dafür Sorge tragen, dass die SPF-, DKIM- und DMARC-Einstellungen für alle Domains richtig gesetzt sind. Zweitens sollten alle Empfänger dafür sorgen, dass sie eine angemessene Anti-Spam- / Anti-Malware-Lösung einsetzen, die die Möglichkeiten der Senderreputationsprüfung mit DMARC und Co. vollständig und gewissenhaft nutzt.

Damit würden nicht nur Phishing und der bekannte CEO-Fraud nahezu unmöglich, sondern die Menge an Spam würde insgesamt drastisch abnehmen. Durch die Nutzung von DMARC und Co. hat beispielsweise allein das Cybersecurity-Team der britischen Finanz- und Zollbehörde laut eigenen Angaben im vergangenen Jahr rund 300 Millionen Spam- und Phishing-Mails verhindert.

Fazit

Um es noch einmal deutlich zu sagen: Unternehmen, die die Möglichkeiten der Absenderreputation im Sinne von DMARC und Co. nicht nutzen, handeln grob fahrlässig. Sie setzen Kunden und Partner der Gefahr aus, durch fingierte Mails vertrauliche Daten zu verlieren und Schäden zu erleiden – vom tatsächlichen Reputationsverlust ganz zu schweigen. Unternehmenskunden und Konsumenten sind daher aufgefordert, von Lieferanten und Kommunikationspartnern die Nutzung dieser Verfahren einzufordern.

2018-02-28T19:16:47+00:00