7 Minuten Lesezeit (1477 Worte)

Phishingmails – darauf fällt doch keiner rein?

Um sich unautorisierten Zugriff auf ein System zu verschaffen, bedarf es keiner großen Hacking Skills. Social Engineering ist einfach realisierbar und zugleich sehr effektiv. Angreifer nutzen daher oft Phishingmails. Dies ermöglicht das Abgreifen sensitiver Daten, um somit Zugriff auf ein System zu erlangen. Doch wie wird eine Phishingmail erstellt und wie schützen Sie Ihr Unternehmen dagegen? 

Phishingmail

Das Fälschen einer E-Mail mit dem Ziel, den Nutzer dazu zu bringen, sensitive Daten preiszugeben, wird als Phishing bezeichnet. Der Angreifer manipuliert bspw. den Absender der E-Mail und fingiert ein Szenario, wodurch das Opfer Daten an den Angreifer übermittelt. Der psychologische Aspekt spielt hierbei eine entscheidende Rolle. Eine Kombination aus Vertrauen und Angst ist meist der Schlüssel zum Erfolg des Angreifers. Um die Glaubhaftigkeit der Nachricht zu steigern, kann sie z. B. durch Informationen aus sozialen Netzwerken personalisiert werden. Eine weitere Taktik des Angreifers ist es, Druck aufzubauen. Ein Beispiel hierfür wäre eine E-Mail aus Sicht des Chefs, der Sie zum wiederholten Male auffordert, die gesetzlich vorgeschriebene Online-Datenschutzschulung durchzuführen. Dies sei bis spätestens heute um 15:00 Uhr zu erledigen! Hierbei wird ein manipulierter Link in die E-Mail eingefügt, mit dem Hinweis, die Intranet-Zugangsdaten zu verwenden. Nach dieser Aufforderung fragt ein Angestellter den scheinbar leicht gereizten Chef nicht nach weiteren Details zu einer Datenschutzschulung, wodurch der Angriff unentdeckt bleibt. Als Opfer werden häufig Arbeitskräfte ausgewählt, die sich nicht tagtäglich mit Informationssicherheit und möglichen Gefahren auseinandersetzen. Diese sind wie gemacht für einen solchen Angriff, da Sie oft die Zugriffe auf dieselben Systeme (wie z. B. das Intranet) besitzen und längst nicht so geschult sind, wie z. B. der IT-Sicherheitsbeauftragte.

Ein Beweis dafür, dass manipulierte E-Mails trotz unzähligen Hinweisen im Internet funktionieren, wird durch das Untersuchen von erpresserischen E-Mails ersichtlich. Diese fordern jemanden auf, einen Betrag auf eine Krypto-Wallet zu überweisen. Betrachtet man die eingegangenen Transaktionen der angegebenen Wallet unter z. B. https://www.blockchain.com/explorer wird deutlich, dass oft dutzende Einzahlungen mit dem geforderten Betrag zur entsprechenden Zeit eingegangen sind.

Es wird deutlich, dass viele Menschen unzureichend oder gar nicht über betrügerische E-Mails aufgeklärt sind, wodurch Phishingmails zur realistischen Bedrohung werden.

Technische Analyse einer E-Mail

Eine E-Mail besteht aus einem Header und einem Body. Der Body gibt den eigentlichen Inhalt der E-Mail wieder. Der Header enthält vereinfacht gesagt notwendige Informationen für die Zustellung einer E-Mail wie z. B. Absender- und Empfängeradresse. Anhand dieser Informationen ist es möglich, eine Phishingmail zu erkennen.

In Outlook kann z. B. der Header einer E-Mail betrachtet werden, indem man die Mail öffnet und dabei unter „Datei“, „Eigenschaften“ auswählt. Dort wird der Header unter „Internetkopfzeilen“ angezeigt. Hierbei handelt es sich um eine unformatierte Zeichenkette, die sich in Outlook aber nur schwerlich lesen und interpretieren lässt. Durch die Zuhilfenahme von Tools wie Mxtoolbox und Gaijin können die Header deutlich einfacher analysiert werden.

Im Folgenden werden die wichtigsten Felder sowie Fachbegriffe zum E-Mail Header beschrieben, welche jedoch abhängig von der verwendeten Umgebung leicht variieren können.

Header-Analyse:

Received Enthält Informationen über die Zustellung, also Absender, Empfänger und Zustellungszeitpunkt.
Authentification-Results In diesem Feld werden die Authentifizierungsergebnisse eines Mailservers festgehalten.
Content-TypeHier wird der Typ der Nachricht angegeben. Dabei handelt es sich zum Beispiel um einen Text, HTML oder Bilder.
FromEnthält E-Mail-Adresse und meistens den Namen des Senders.
ToEnthält die E-Mail-Adresse des Empfängers.
SubjectEnthält den Betreff der Nachricht.
Message-IDDiese vom Mailprogramm oder Mailserver generierte ID ermöglicht es, die Nachricht eindeutig zu identifizieren.
X-MS-AttachEnthält "Yes", falls die Mail einen Anhang hat.
X-MS-Exchange-Organization-SCLDieses Feld gibt den Grad der Wahrscheinlichkeit an, dass es sich um eine Spam-Mail handelt. Bei -1 ist die Quelle auf jeden Fall vertrauenswürdig, bei 9 nicht.
Return-PathHier wird die E-Mail-Adresse angegeben, zu der die Bouncer-Mail gesendet wird, wenn die E-Mail nicht zugestellt werden kann.
X-Spam-Checker-VersionEnthält Informationen zum Spam-Assassin.
X-Spam-LevelGibt das Rating des Spam-Levels an.
X-Spam-StatusAnhand von verschiedenen Kriterien, wie z. B. Schlüsselwörtern wird bewertet, ob es sich um eine Spam-Mail handelt.
X-Virus-ScannedEs wird vermerkt, welcher Rechner mit welcher Software die E-Mail auf Viren geprüft hat.

Fachbegriffe

DMARC
(Domain-based Message Authentication, Reporting and Conformance)
Durch einen DMARC-Eintrag wird definiert, wie mit E-Mails umgegangen werden soll, die entsprechende Richtlinien verletzen. Es handelt sich also um ein E-Mail-Authentifizierungs- und Erfassungsprotokoll, das vor betrügerischen E-Mails schützt.
Dabei werden die Protokolle DKIM und SPF verwendet, um zu entscheiden, ob die E-Mail in einen Spam- oder Quarantäneordner kommt.
DKIM
(DomainKeys Identified Mail)
Die DKIM-Signatur wird einer Mail hinzugefügt, um sicherzustellen, dass die E-Mail tatsächlich vom Eigentümer der E-Mail stammt. Dabei wird eine Signatur vom Absender ergänzt, welche mit einem öffentlichen Schlüssel verifiziert werden kann.
SPF
(Sender Policy Framework)
Dieses Validierungssystem verhindert das Fälschen einer E-Mail, indem es die Nutzung unautorisierter Mail Transfer Agents verhindert. Dabei prüft der Empfänger-Server, ob der sendende Server die Berechtigung hat, eine bestimmte E-Mail-Adresse zu verwenden.

Erstellung einer Phishingmail

Um eine Phishingmail zu erkennen und zu verstehen, wie leicht die Erstellung solcher E-Mails ist, werden im Folgenden mögliche Szenarien für eine solche Phishing-Attacke beschrieben.

„Scriptkiddie“ Niveau

Mit dem Social-Engineer Toolkit ist das Versenden von E-Mails mit einer gefälschten Absenderadresse in wenigen Minuten durchgeführt.

Im SET-Menü kann dies wie folgt umgesetzt werden:

[root@localhost ~]$ sudo setoolkit
      1) Social-Engineering Attacks
      5) Mass Mailer Attack
      1) E-Mail Attack Single Email Address
set:Phishing> Send email to: <Empfänger Addresse>
set:phishing> 1) Use a gmail Account for your email attack
set:phishing> Your gmail email address: <Sender Addresse>
set:phishing> The FROM NAME the user will see: <Phishing Name>
set:phishing> Email password: <Passwort>
set:phishing> Flag this message/s as high priority? [yes|no]: no
set:phishing> Do you want to attach a file – [y/n]: n
set:phishing> Do you want to attach a inline file – [y/n]: n
set:phishing> Email subject: <Phishing Betreff>
set:phishing> Send the message as html or plain? 'h' or 'p' [p]: p
set:phishing> Enter the body of the message, type END (capitals) when finished: 
set:phishing> <Phishing Text>
 

Die im Tool auswählbaren E-Mail-Provider erlauben mittlerweile nicht mehr den Zugriff durch andere Anwendungen wie z. B. dem zuvor beschriebenen SET-Toolkit. Aufgrund dessen wird die Verwendung von Mail Transfer Agents zum Versand von Phishingmails näher betrachtet.

Verwendung von Mail Transfer Agents

Der von der University of Cambridge entwickelte MTA Exim4 ermöglicht es in wenigen Minuten, eine Phishing-Attacke durchzuführen. Im Folgenden ein Beispiel zur Erstellung einer Phishingmail unter der Verwendung einer Ubuntu Distribution.

Installation und Konfiguration:

[ubuntu@localhost ~]$ sudo apt-get install exim4
[ubuntu@localhost ~]$ sudo dpkg-reconfigure exim4-config
      1) internet site; mail is sent and received directly using SMTP  
      2) Domain wie z.B.: example.com eintragen
      3) Eintrag leer lassen
      4) Domain wie z.B.: example.com eintragen
      5) Eintrag leer lassen
      6) Eintrag leer lassen
      7) No auswählen
      8) Maildir format in home directory auswählen
      9) No auswählen
      10) Eintrag leer lassen
 

Versenden einer Phishingmail: 

[ubuntu@localhost ~]$  mail empfänger@mail. de -r "Name <angreifer@mail. de>"
      Subject: <Betreff>
      <Body Text> <STRG>+<D>
       Cc: <Cc Mail> 

Durch den MTA ist es möglich, einen beliebigen Absender zu definieren. Des Weiteren ist eine Manipulation der zuvor erläuterten Header-Felder möglich, wodurch eine Phishing-Attacke realisierbar wird. Zum Beispiel wäre es möglich, das „Received“ Feld zu manipulieren. Hierdurch wird eine andere Empfängeradresse bei Antworten auf die Phishingmail festgelegt. 

Bedrohung für mein Unternehmen

Auf der Empfängerseite werden häufig selbst konfigurierte SMTP-Server bzw. MTAs verwendet. Diese nutzen häufig Programme wie z. B. SpamAssassin zum Schutz vor Phishingmails. Die Sicherheitseinstufungen werden hierbei oft zu niedrig eingestellt, wodurch viele Phishingmails nicht als solche erkannt werden und somit im Postfach landen. Bei bekannten E-Mail-Providern ist das Durchdringen einer Spam-Mail ebenfalls nicht unüblich. Dies ist abhängig davon, ob die zuvor erläuterten Felder SPF/DKIM Alarm schlagen, Header-Felder fehlen oder als manipuliert erkannt werden und ob bekannte Spam-Wörter wie z. B. „Gewinnspiel“ verwendet wurden. 

Der Lösungsansatz

Im Grunde gibt es zwei Lösungsmöglichkeiten: Schulung und Härtung der entsprechenden Mail Server.

Der Ansatz, Mitarbeiter aufzuklären, sollte dringend befolgt werden. Das Team ist nur so stark, wie das schwächste Glied. Dies bedeutet, dass nicht nur die Projektmanager oder Teamleiter geschult werden müssen, sondern auch die Sekretärin des Chefs oder der neue Werkstudent.

Schulungen sollten in regelmäßigen Abständen durchgeführt werden, die auf Merkmale von Phishingmails hinweisen, wie z. B.:

  • Unpersönliche Anrede
  • Texte, die dringenden Handlungsbedarf vorgeben
  • Androhung von Konsequenzen bei Missachtung
  • Aufforderung zur Eingabe persönlicher Daten
  • Enthaltene Links
  • Ungewöhnliches Anliegen

Im Falle eines eigenen aufgesetzten SMTP-Servers bzw. MTAs sollte darauf geachtet werden, dass ein korrekt konfigurierter Spamfilter vorhanden ist.

Des Weiteren sollte ein Zero Trust Model im Unternehmen eingeführt werden. Dies bedeutet, allen Geräten und Nutzern werden grundsätzlich keine Berechtigungen erteilt, ausschließlich bei denen, wo es zwingend erforderlich ist. Dies ermöglicht es, im Falle einer erfolgreichen Phishing-Attacke, einer Infizierung des gesamten Systems entgegenzuwirken.

Fazit

In diesem Blogartikel wird deutlich, wie schnell und erschreckend leicht es möglich ist, eine Phishing-Attacke umzusetzen.

Um den Verlust von sensitiven Daten sowie die Schadensminimierung mit meist hohen Kosten zu vermeiden, ist proaktives Handeln, so wie im Lösungsansatz beschrieben, der Schlüssel zu einem sicheren Unternehmen.

Seminarempfehlung

Junior Consultant bei ORDIX

 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Montag, 18. November 2024

Sicherheitscode (Captcha)

×
Informiert bleiben!

Bei Updates im Blog, informieren wir per E-Mail.

Weitere Artikel in der Kategorie