E-Mail-Spoofing bezieht sich auf eine Technik, mit der Cyberkriminelle betrügerische E-Mails so aussehen lassen, als kämen sie von einer bekannten, vertrauenswürdigen Einrichtung. Die Angreifer verändern absichtlich Teile der E-Mail, um die Nachricht so aussehen zu lassen, als ob sie von einer anderen Person verfasst worden wäre. Diese Methode wird bei Spam- und Phishing-Angriffen eingesetzt und ist äußerst effektiv, da sie eine Schwachstelle im Simple Mail Transfer Protocol (SMTP) ausnutzt. Das SMTP, das von E-Mail-Systemen zum Senden, Empfangen oder Weiterleiten ausgehender E-Mails verwendet wird, verfügt nicht über einen Mechanismus zur Authentifizierung von E-Mail-Adressen.
Bei SMTP können Cyberkriminelle die "An"- und "Von"-Adressen manuell ändern - ein wesentliches Element des Spoofing. Dies bedeutet, dass ein Angreifer seine Absenderadresse verschleiern und die Nachricht so aussehen lassen kann, als käme sie von einem Lieferanten, einem hochrangigen Manager oder einem vertrauenswürdigen Mitarbeiter. Indem sie sich als eine Person ausgeben, die der Benutzer kennt und der er vertraut, können Cyberkriminelle sensible Informationen oder Anmeldedaten von den Empfängern erlangen.
Häufige Arten von E-Mail-Spoofing
Look-Alike Domain Spoofing
Look-alike Domain Spoofing liegt vor, wenn ein Cyberkrimineller sich als eine Organisation mit einer Domain ausgibt, die der des Zielunternehmens ähnlich sieht. Bei diesen ähnlich aussehenden Domänen kann ein Buchstabe im Domänennamen fehlen, oder sie können einen korrekt geschriebenen Domänennamen mit einer anderen Erweiterung wie .net oder .biz haben.
Im August 2019 wurde die britische Wohltätigkeitsorganisation Red Kite Community Housing Opfer eines solchen Angriffs. Cyberkriminelle fanden die Namen von Personen bei einem Anbieter heraus, die für die Wohltätigkeitsorganisation arbeiteten. Sie kauften eine ähnlich aussehende Domain und gaben sich als einige Mitarbeiter des Anbieters aus. Die Cyberkriminellen setzten ausgeklügelte Social-Engineering-Taktiken ein, um die Mitarbeiter der Wohltätigkeitsorganisation dazu zu bringen, ihnen fast 1 Million Pfund zu überweisen. Red Kite Community Housing gab an, über Verfahren zu verfügen, mit denen Änderungen an Zahlungsinformationen überprüft werden können. Die Mitarbeiter umgingen jedoch die Verfahren und versäumten es, den Fehler zu erkennen, bevor das Geld den Besitzer wechselte.
Spoofing von Anzeigenamen
Spoofing von Anzeigenamen liegt vor, wenn ein böser Akteur einen gefälschten Anzeigenamen verwendet, um sich als eine Person oder ein Unternehmen auszugeben. Viele E-Mail-Programme zeigen nur den Anzeigenamen eines E-Mail-Absenders an, und der Empfänger kann leicht davon überzeugt werden, dass die Nachricht legitim ist. Die meisten E-Mail-Programme erlauben es den Empfängern, den Anzeigenamen zu öffnen und die E-Mail-Adresse zu sehen, die hinter der Nachricht steht. Die Adresse kann in keinem Zusammenhang mit dem vorgetäuschten Unternehmen stehen, was ein Indiz dafür ist, dass die Nachricht gefälscht ist. Die E-Mail-Adresse, die sich hinter dem Anzeigenamen verbirgt, kann jedoch auch der Domäne des vorgetäuschten Unternehmens ähnlich sein. In diesen Fällen ist es für einen E-Mail-Empfänger viel schwieriger zu erkennen, dass die Nachricht nicht legitim ist.
Legitimes Domain-Spoofing
Legitimes Domänen-Spoofing liegt vor, wenn ein böser Akteur einfach die Domäne des gefälschten Unternehmens in den "Von"-Abschnitt einer E-Mail einfügt. Der Cyberkriminelle sendet die E-Mail-Nachricht tatsächlich von einer anderen Adresse, aber die Empfänger erkennen dies nicht, es sei denn, sie überprüfen die E-Mail-Header und verfolgen den SMTP-Pfad der Nachricht über die E-Mail-Server.
Die Auswirkungen von E-Mail-Spoofing
E-Mail-Spoofing wirkt sich auf die meisten Unternehmen auf die gleiche Weise aus, jedoch in unterschiedlichem Ausmaß, je nach dem Motiv des Cyberangriffs.
Schädigung des Rufs
Der Aufbau und die Pflege enger beruflicher Beziehungen ist für alle Unternehmen von größter Bedeutung. Gefälschte E-Mails können diese Beziehungen schnell untergraben, da die E-Mail-Empfänger daran zweifeln, ob die E-Mails eines Unternehmens seriös sind oder nicht. Wenn die wertvollen Kunden eines Unternehmens immer wieder betrügerische E-Mails im Namen des Unternehmens erhalten, ist es unwahrscheinlicher, dass sie legitime E-Mails öffnen, insbesondere solche, die sie zu wichtigen Handlungen auffordern.
Finanzieller Verlust
Seit 2016 haben E-Mail-Spoofing- und Phishing-Angriffe die Welt schätzungsweise 26 Milliarden US-Dollar gekostet. Durch die Kombination von Spoofing- und Social-Engineering-Methoden können Cyberkriminelle Mitarbeiter dazu bringen, persönliche Daten preiszugeben, auf einen bösartigen Link zu klicken oder einen mit Malware verseuchten Anhang zu öffnen. Sie können dann damit drohen, Daten zu veröffentlichen, zu blockieren oder zu beschädigen, wenn das Zielunternehmen kein Lösegeld zahlt.
Spoofing-Angriffe können zu kostspieligen Ransomware-Angriffen führen. Es ist nicht ungewöhnlich, dass Unternehmen viel Betriebszeit verlieren, bevor ein Ransomware-Angriff entdeckt wird und die Cyberkriminellen bezahlt werden. Dies ist gleichbedeutend mit entgangenen Einnahmen.
Gefährdete Sicherheit
Einer der größten Kostenfaktoren beim E-Mail-Spoofing sind die persönlichen Zugangsdaten, die gestohlen werden können, darunter Benutzernamen, Kennwörter und Bankdaten. Wenn bösartige Akteure diese Informationen haben, können sie Zugang zu noch mehr persönlichen Informationen, Unternehmensdaten oder sogar geistigem Eigentum erlangen. Die Folgen können für ein Unternehmen, dessen Existenz von geschützten Daten und geistigem Eigentum abhängt, besonders verheerend sein.
Wie Unternehmen vor E-Mail-Spoofing-Angriffen geschützt werden können
1. Schutz vor eingehenden Spoofing-Angriffen
Der Schutz eines Unternehmens vor Inbound-Spoofing bedeutet, dass sichergestellt werden muss, dass betrügerische E-Mails niemals in den Posteingang des Unternehmens gelangen. Die folgenden Lösungen und Protokolle können Unternehmen dabei helfen, das Risiko eingehender Spoofing-Angriffe zu mindern.
- Traditionelle E-Mail-Sicherheitskontrollen
Herkömmliche und Cloud-basierte E-Mail-Systeme verfügen über integrierte Schutzmechanismen zur Erkennung und Quarantäne von E-Mails, die bösartige Links oder Anhänge enthalten. Wenn sie richtig konfiguriert sind, blockieren diese Systeme bestimmte bösartige E-Mails automatisch.
- Identitätsbasierter Schutz
Herkömmliche E-Mail-Systeme blockieren zwar einfache gefälschte E-Mails, reichen aber nicht aus, um gezielte Social-Engineering-E-Mail-Angriffe abzuwehren. Fortschrittliche Sicherheitstools sind in der Lage, jede Nachricht zu analysieren, die in das Unternehmen und innerhalb des Unternehmens fließt, und alles, was außerhalb der Parameter typischer Interaktionen liegt, als potenzielle Bedrohung zu kennzeichnen. Diese maschinenintelligenten Sicherheitslösungen können Angriffe abwehren, die auf Identitätstäuschung beruhen und in geringem Umfang auftreten, unabhängig von ihrer Quelle.
Bösewichte suchen immer nach Möglichkeiten, die neuesten Sicherheitswerkzeuge zu überwinden. Viele Bedrohungen können jedoch durch detaillierte Cybersicherheitsverfahren vereitelt werden. Um das Risiko von E-Mail-Spoofing zu minimieren, sollten Unternehmen Zeit und Budget für die Schulung ihrer Mitarbeiter über die neuesten Bedrohungen in ihrer Branche und deren Erkennung in realen Szenarien bereitstellen.
2. Schutz vor ausgehenden Spoofing-Angriffen
Um zu verhindern, dass ihre E-Mails bei Angriffen auf Kunden, Lieferanten, Partner oder die Öffentlichkeit gefälscht werden, können Unternehmen verschiedene E-Mail-Authentifizierungsprotokolle einsetzen.
Sender Policy Framework (SPF) ist ein Protokoll, mit dem Unternehmen angeben können, welche IP-Adressen für den Versand in ihrem Namen zugelassen sind. Bei der SPF-Prüfung kann der Mailserver überprüfen, ob die IP-Adresse des Absenders auf der genehmigten Liste steht, und die im SMTP-Umschlag gefundene Domäne des Absenders validieren.
- DomainKeys Identifizierte Mail
DomainKeys Identified Mail (DKIM) verwendet asymmetrische Verschlüsselung, um jeder ausgehenden Nachricht, die mit einem bestimmten Domänennamen verknüpft ist, eine digitale Signatur oder einen privaten Schlüssel hinzuzufügen. Wenn empfangende Server eine E-Mail mit einer solchen Signatur in der Kopfzeile erhalten, prüft der Server, der die Domäne hostet und den öffentlichen Schlüssel besitzt, ob die eingehende E-Mail-Nachricht tatsächlich von einer autorisierten Domäne gesendet wurde.
- Bereichsbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität
Domain-Based Message Authentication, Reporting, and Conformance (DMARC) ist ein Industriestandard, der die Domäne in der Absenderkopfzeile einer E-Mail überprüft, um festzustellen, ob es sich um eine DKIM-SPF-authentifizierte Domäne handelt. Schlägt die Authentifizierung fehl, kennzeichnet DMARC die Nachricht und kann auch Anweisungen geben, wie die nicht autorisierten E-Mails ordnungsgemäß entfernt werden können.
Da gefälschte E-Mails so täuschend wie möglich sein sollen, sollten Unternehmen Spoofing-Prävention zu einer grundlegenden Anforderung machen. Mitarbeiterschulungen zur Erkennung von Phishing-E-Mails sollten mit den richtigen Sicherheitsprotokollen und einer zuverlässigen E-Mail-Sicherheitslösung ergänzt werden, die verhindert, dass betrügerische E-Mails in die Posteingänge der Mitarbeiter gelangen.
Wenn Sie mehr über xorlab ActiveGuard erfahren möchten und wie es helfen kann, das Risiko von E-Mail-Spoofing zu verringern, fordern Sie noch heute eine Demo an.
