Drei Tipps zur Erkennung von gefälschten E-Mails anhand eines Beispiels

Dr. Guy Bunker Clearswift

Dr. Guy Bunker, VP Products & Marketing bei Clearswift RUAG Cyber Security

Bei uns im Hause benutzen wir die eigenen Produkte. Vor Kurzem wurden unsere Aufmerksamkeit auf eine E-Mail im PMM (Personal Message Manager, einer Komponente von Clearswift SECURE Email Gateway) gelenkt. Hier wird eigentlich angezeigt, welche E-Mails nicht an den Posteingang geleitet wurden, weil sie von der Anwendung her als Spam oder (möglicherweise) als Newsletter eingestuft wurden. Die E-Mail fiel besonders auf, da der Absender angeblich „quarantine@clearswift.com“ lautete. Sie informierte darüber, dass eine Reihe von E-Mails in Quarantäne gestellt worden seien und dass das Konto gesperrt werden, wenn man nichts unternehmen würde.

Warum fiel diese E-Mail auf?  Zunächst einmal stammte sie von einer E-Mail-Adresse, von der man weiß, dass es sie bei uns im Unternehmen nicht gibt. Sie klang jedoch plausibel und würde zweifelsohne die Aufmerksamkeit einiger Kollegen erwecken. Zweitens schienen auch die angeblich in Quarantäne gestellten E-Mails in Ordnung. Das heißt, sie wirkten legitim: angezeigt wurden lediglich eine teilweise anonymisierte E-Mail-Adresse und die Betreffzeile, und beides schien angemessen.

Zeit für genauere Nachforschungen. Hinter der Fassade verbarg sich natürlich eine gefälschte E-Mail-Adresse, und wenn es nach dem Absender ging, sollte man auf die Links klicken, über die die isolierten E-Mails angeblich freigegeben werden würden. Dies war ein hervorragendes Beispiel für eine Phishing-E-Mail mit einem böswilligen Link, die sich darauf verließ, dass die E-Mail-Adresse legitim wirkte, da sie clever gefälscht worden war.

Doch zurück zum Anfang, als die Mail im PMM auftauchte. Die Nachricht hatte es nicht geschafft im Posteingang weiter vorzudringen, weil sie von der Sicherheitssoftware „erwischt“ worden war.  Bei genauerem Hinsehen war sie sogar in mehrerer Hinsicht aufgefallen. Der Wert für die Spam-Erkennung hatte die Grenze überschritten, daher war sie nicht zugestellt, sondern an PMM geleitet worden. Das verwendete SPF (Sender Policy Framework) war durch die Nachricht ebenfalls ausgelöst worden.  Zusätzlich gibt es in unserem Fall eine sogenannte „Soft-Spoofing“-Richtlinie, die auf E-Mails mit der eigenen Unternehmensdomain achtet (in diesem Fall „clearswift.com“), aber von außen kommt. Die Nachricht war somit auch aufgrund dieser Richtlinie aufgefallen. Wenn es um Sicherheit geht, gibt es kein Allheilmittel, deshalb sind mehrere Schutzmechanismen nötig, die für ineinander geschachtelte Schutzwälle sorgen. Der Gedanke dahinter ist, dass, wenn ein Angriff den ersten Schutzwall durchdringt, er vom nächsten erwischt wird. Im vorliegenden Fall wurden mehrere Richtlinien ausgelöst.

Gefälschte E-Mails sind zunehmend ein Problem, das auch Business Email Compromise (BEC) einschließt. Einer aktuellen amerikanischen Umfrage zufolge ist BEC für Verluste in Höhe von 650 Millionen US-Dollar verantwortlich – im Gegensatz dazu wirkt der Verlust von 2,3 Millionen US-Dollar durch Ransomware geradezu gering.

Drei Maßnahmen, mit denen vermieden werden kann, Opfer einer gefälschten E-Mail zu werden:

  • Mitarbeiteraufklärung über gefälschte E-Mails – besonders, wenn man eine empfangen hat und diese möglicherweise auch an andere Empfänger verschickt wurde. Es reicht, wenn ein Mitarbeiter auf den Link klickt, um das gesamte Netzwerk zu gefährden. In Clearswift SECURE Email Gateway gibt es Standardfunktionen, mit denen sich E-Mails, die von außerhalb des Unternehmens stammen, kennzeichnen lassen, um darauf aufmerksam zu machen, dass es sich um externe Nachrichten handelt. Mitarbeiter müssen genau wissen, wie solch eine Kennzeichnung aussieht und welche weiteren Hinweise es gibt evtl. (auch von anderen Systemen), um gefälschte E-Mails leichter zu erkennen.

 

  • Sicherstellen, dass auf dem vorhandenen E-Mail-Gateway sämtliche Anti-Spoofing-Optionen aktiviert und korrekt konfiguriert sind. Auch der Einsatz der SPF-/DKIM-/DMARC-Funktionen kann sinnvoll sein, um Phishing-E-Mails und gefälschte E-Mails gleichermaßen zu verringern.

 

  • Aufsetzen einer Soft-Spoofing-Richtlinie für Firmen-Domains und die Namen der Führungskräfte. Dadurch werden die Mitarbeiter vor Personen geschützt, die vorgeben, ein Vorgesetzter zu sein, der seine private E-Mail verwendet. Folgende Nachricht kommt bei BEC häufig vor – „Hallo XXX, hier ist der Leiter der Finanzabteilung. Ich arbeite gerade von zu Hause aus und kann über die Firmen-E-Mail keine Nachrichten versenden. Bitte veranlassen Sie, dass die angehängte Rechnung unverzüglich beglichen wird. MfG, XYZ.

Mittels dieser drei genannten Maßnahmen rückt man dem Thema Sicherheit wieder ein entscheidendes Stück entgegen und kann dem ein oder anderen Angriff vielleicht entkommen.

Weitere Informationen finden Sie unter https://www.clearswift.com/support/portals