In diesen Blogbeitrag beschreibe ich, wie Kriminelle besonders gut gefälschte Phishing E-Mails verschicken können und wie man sich als Unternehmen gegen den Missbrauch der eigenen Domain wehrt.
Folgende Situation kennen Sie bestimmt auch: Sie empfangen eine E-Mail, in welcher „Paypal“ Ihnen schreibt, dass Sie sich unbedingt in Ihrem Konto anmelden müssen, weil es sonst zu ungewollten Abbuchungen kommt. Die E-Mail sieht sehr statisch aus, vor Ihrem Namen steht Herr/Frau und bei genauerem Hinsehen fällt auf, dass der Absender kundenservice@payp0l.com ist. Bei dieser E-Mail handelt es sich um eine Phishing Mail. Der Angreifer versucht ihre Anmeldedaten zu „fischen“. Wenn Sie auf diese Mail reinfallen würden, auf den Link klicken und Ihre Anmeldedaten eingeben, dann meldet sich der Angreifer bei dem „echten“ Paypal in Ihrem Account an und bucht Geld ab. Glücklicherweise fallen nur noch wenige Menschen auf solche E-Mails herein. Spätestens der Blick auf den Absender deckt den Betrugsversuch auf. Doch wie würden Sie sich verhalten, wenn diese E-Mail von kundenservice@paypal.com verschickt wurde. Es scheint so, als würde Ihnen wirklich Paypal geschrieben haben. Vielleicht jetzt lieber doch einloggen? Wie verhält man sich in so einem Fall richtig? Mehr dazu weiter unten im Artikel.
Gehen wir nochmal einen Schritt zurück zu der Absenderdomain. In dem Großteil der Phising Mails wird eine so genannte Look-Alike-Domain als Absender verwendet. Look-Alike heißt gleich aussehend. Sprich, die Domain sieht dem Original sehr ähnlich, allerdings nur ähnlich. Die Domain ist nicht identisch! An einem Montagmorgen können die müden Augen den Unterschied zwischen ppi und ppl schnell mal übersehen. Nichts desto trotz kam in dem obigen Beispiel die E-Mail ja von paypal.com und nicht von palp3l.com. Wie konnte das passieren?
Tatsächlich können Angreifer in bestimmten Fällen die Absender-Domain so fälschen, dass diese identisch zum Original ist. Ein bekanntes Opfer von einem solchen Fall ist die WHO (Weltgesundheitsorganisation). Betrüger haben es geschafft, die Absender Domain zu fälschen, sodass Opfer eine E-Mail von donations@who.com bekommen haben. Die WHO hat die Mails natürlich nicht verschickt, allerdings sah es für den Empfänger so aus…
Was hätte die WHO anders machen können? Um einen solchen Fall verhindern zu können, gibt es eine Einstellung namens DMARC (Domain-based Message Authentication, Reporting and Conformance). Die Erklärung, wie genau das technisch funktioniert, würde an dieser Stelle den Rahmen sprengen, allerdings hätte der DMARC Eintrag geholfen, um dem E-Mail-Programm des Empfängers mitzuteilen, dass es eben doch nicht die WHO ist, von der die E-Mail kommt.
Wie kann man als Unternehmen nun prüfen, ob so ein DMARC Eintrag überhaupt bzw. korrekt gesetzt ist? Eine einfache und sichere Lösung dafür sind sogenannte In-Side-Out Scans. cysmo (Link zu cysmo.de) ist zum Beispiel so eine Lösung und hätte der WHO geholfen, diese Schwachstelle aufzudecken.
Und wie soll ich mich nun als Nutzer verhalten? Eigentlich kann ich mir dann doch gar nicht sicher sein, ob die E-Mail wirklich von Paypal oder von Hackern stammt. Ganz wichtig hierbei ist der Kontext. Ein Hacker würde Ihnen niemals eine E-Mail schicken, von der er nicht profitieren würde. Sprich, immer, wenn Sie Geld überweisen sollen oder sich einloggen sollen, dann sollten Sie skeptisch sein. Fragen Sie sich immer, ob z.B. Paypal Ihnen so eine E-Mail schicken würde. Und falls Sie sich unsicher sind, dann klicken Sie nicht auf den Link in der Mail, sondern loggen sich ganz normal bei paypal.com ein. Wenn an der Nachricht wirklich was dran ist, dann wird das auch auf deren Website bzw. Portal genau stehen.
Viele Grüße,
Autor: Linus Töbke