Cybercrime und Dark Web Research / Sicherheitsleit faden: E-Mail Spoofing erkennen & bekämpfen

Sicherheitsleit faden: E-Mail Spoofing erkennen & bekämpfen

Sicherheitsleit faden: E-Mail Spoofing erkennen & bekämpfen
Simon Hall
Mehr Von Simon Hall
March 15, 2021 | Lesedauer 13 Min

UM WAS GEHT ES

Ob Cybercrimegruppen, einzelne Hacker oder staatlich gesteuerte Angriffe – bei Phishing-Kampagnen können Akteure auf einen gut bestückten Werkzeugkasten an Techniken zurückgreifen. (Mehr dazu in unserem Blog: Tackling Phishing: The Most Popular Phishing Techniques and What You Can Do About It.)

In diesem Blog werfen wir einen Blick auf eine der einfachsten und gleichzeitig erfolgreichsten Techniken: E-Mail-Spoofing. Dabei erklären wir, wie E-Mail-Spoofing im Detail funktioniert. Und wie sich Unternehmen vor den gefälschten Emails – und Phishing – schützen können.

Für alle die lieber hören als lesen, gibt es zu diesem Thema auch eine Folge unseres Shadowcast Podcasts: Einfach reinhören!

ShadowTalk Threat Intelligence Podcast · Episode 59: Practitioner’s Guide to Email Spoofing

WAS IST E-MAIL-SPOOFING?

Seit Menschen miteinander kommunizieren, gibt es auch Versuche, Nachrichten abzufangen und zu fälschen. Während man im alten Rom noch mühsam ein Wachssiegel nachahmen musste, geht es beim E-Mail-Spoofing darum, die Absender-Zeile einer E-Mail zu manipulieren. Und zwar so, dass der Eindruck entsteht, die Nachricht stamme von einem vertrauenswürdigen Absender bzw. Quelle.

So gefälschte E-Mails im Postfach sind für Internetnutzer nichts Neues. Die Flut an Spam- und Junk-E-Mail mit bösartigen Anhängen und dubiosen Links hat über die Jahre eher zu- als abgenommen.

Abb. 1 – Einfacher Python-Code zum Senden einer gefälschten E-Mail über ein offenes Relais

Ein Grund ist sicherlich, dass die Manipulation des Absenders einer E-Mail (das „Spoofing“) im Grunde relativ einfach ist. Alles was die Fälscher tun müssen, ist einen Simple Mail Transfer Protocol (SMTP) Server zu finden, der sich austricksen lässt. 

Um die technischen Details des Spoofing besser zu verstehen, wollen wir uns zunächst die einzelnen Komponenten einer E-Mail ansehen.

BAUPLAN EINER E-MAIL

Eine E-Mail lässt sich mit einem formalen Brief vergleichen: Bei beiden gibt es eine bestimmte Person und/oder einen bestimmten Ort, der adressiert werden muss.

E-MailBrief

Umschlag
MAIL FROM:  sender@origin.xyz
RCPT TO:  recipient@domain.xyz
Empfänger:  Name  + Adresse
Absender:  Name  + Adresse
Inhalt An:  Empfänger (Cc,  Bcc)
Von:  Sender (automatisch)
Betreff:  E- Mail  Titel
Datum (automatisch)
Textkörper: Nachricht, Text  oder  HTML Format
Briefkopf: Anschrift Empfänger  & Absender,  Datum  / Ort
Betreffzeile: Thema
Textkörper: Anrede  + Anschreiben

Einmal abgesehen von den Adressen, sind sich E-Mail und Brief im Aufbau also gar nicht so unähnlich.

Das Versenden einer E-Mail ist jedoch deutlich bequemer. Man tippt die E-Mail-Adresse ein, wenn sie nicht im Adressbuch schon hinterlegt ist, gibt einen Betreff an und schreibt seine Nachricht. Den Rest erledigt der E-Mail-Client.

  • Der Client baut eine Verbindung zum SMTP-Server des E-Mail-Provider auf.
  • Der Client stellt sich dabei mit einem kurzen Hallo vor (HELO/EHLO) und gibt seinen vollständig qualifizierten Domänennamen (Fully-Qualified Domain Name, FQDN) an.
  • Bei der HELO-Nachricht kann es sich um so ziemlich alles handeln. Die FQDN hingegen wird von den meisten Mail Servern überprüft. Dabei wird festgestellt, ob der Domain Name tatsächlich existiert und ob ein damit verknüpfter Mail Exchange (MX) DNS Records vorliegt. Ist das nicht der Fall, wird die E-Mail zurückgewiesen oder die Sender-Adresse als verdächtigt gekennzeichnet.

Der Sendevorgang des Inhalts der E-Mail verläuft ebenso einfach und erfolgt über drei Befehle.

Die ersten beiden Befehle kennen wir schon von unserem Umschlag (siehe oben). Sie geben an, an wen die E-Mail gehen soll.

1.           MAIL FROM: sender@origin.xyz

2.           RCPT TO: recipient@domain.xyz

3.           DATA

Befehl Nummer drei bezieht sich auf den Inhalt (also den Brief) und umfasst den Briefkopf, die Betreffzeile, Datum und den eigentliche Text der Nachricht. Dieser DATA-Teil endet durch eine Zeile, die mit einem einzelnen Punkt gekennzeichnet ist. 

Von: “Name” absender@unternehmen.xyz

An: “Name” empfänger@domain.xyz

Betreff: Test Email – Digital Shadows

Datum: Freitag, 5. März 2021, 10:00:00

Hallo,

Das hier ist ein Test!

Schöne Grüße

Absender

WAS HEIßT SPOOFING?

Nachdem nun die Grundlagen klar sind, können wir uns das „Spoofing“ genauer ansehen. Dazu müssen die Betrüger lediglich unter „MAIL FROM“ einen andere E-Mail-Adresse angeben und die entsprechenden Befehlszeilen und Header eingeben. Dies ist möglich, da im Simple Mail Transfer Protocol (SMTP) die Absenderadresse nicht geprüft wird. Das Protokoll ist für alle E-Mail-Kommunikation zuständig und aufgrund seines Alters (1982) gelinde gesagt angreifbar. Dazu gehört auch, dass die Adresse des Absenders auf dem „Umschlag“ nicht mit der Adresse in der E-Mail übereinstimmen muss. Tatsächlich sieht der Benutzer beim Öffnen der E-Mail, nur die angegebene Adresse im Header.

Gängige Mail-Provider haben deshalb in der Regel Maßnahmen implementiert, die auf der Empfängerseite die MAIL FROM-Domain überprüfen. Eine dieser Sicherheitsvorkehrungen ist SPF, die wir uns noch genauer ansehen werden.

Grundsätzlich ist Spoofing jedoch relativ einfach und wird daher gerne für Phishing-Kampagnen verwendet. Auch beim sogenannten Sextortion wird Spoofing eingesetzt, um dem Opfer weiß zu machen, dass der Angreifer Zugriff auf das Emailkonto hat und jederzeit delikate Inhalte an alle im Adressbuch hinterlegte Kontakte verschicken kann. Bei BEC-Angriffen (Business E-Mail Compromise oder CEO-Betrug) werden gefährliche E-Mails wiederum unter dem Namen von Kollegen oder Vorgesetzten verschickt.

MAIL FROM: CEO@unternehmen. de

RCPT TO: Mitarbeiter@unternehmen.de

Phishing bietet eine ganze Reihe an Techniken, Taktiken und Prozeduren (TTP). Das Angriffsziel ist dabei meistens ein Unternehmen oder eine Organisation. Tools helfen den Angreifern Landingpages zu erstellen und E-Mails möglichst „echt“ klingen zu lassen. Vor allem aber ist für das E-Mail-Spoofing ein geeigneter Mail-Server notwendig. Cyberkriminelle haben hier drei Möglichkeiten: den Mail-Server selbst einrichten, bestehende Server manipulieren oder schlecht geschützte Server nutzen.

BETRUGSINFRASTRUKTUR: DO-IT-YOUR-SELF

Einen eigenen Mail-Server einzurichten ist tatsächlich gar nicht so kompliziert. Das Problem liegt eher in der digitalen Spur, die eine erfolgreich versendete (und empfangene) E-Mail hinterlässt. Finden Sicherheitssysteme hier nur kleine Abweichungen, landet die E-Mail im Spam-Ordner oder wird von vornherein verweigert. Technisch sauber zu arbeiten kann für Angreifer sehr zeitaufwändig sein: DNS-Einträge (Domain Name System) müssen für den Server entsprechend konfiguriert werden. Zudem braucht die Hosting-IP eine weiße Weste und darf nicht mit ähnlichen Kampagnen in Verbindung gebracht werden, um nicht auf einer schwarzen Liste zu landen.

MANIPULATION

Die meisten Webseiten verfügen über einen SMTP-Server, um Direktnachrichten oder Marketingemails an Besucher zu verschicken. Angreifer können versuchen die Webseite zu kompromittieren und die Absender-Domäne so zu manipulieren, dass ihre eigene „Fake“-Domäne angezeigt wird. Gerade im E-Commerce werden E-Mail-Features immer wieder auf diese Weise missbraucht. Selbst gehärtete Systeme lassen sich über Brute-Force-Attacken knacken, wobei die kompromittierten Zugänge im Darknet verkauft werden. Einen Haken aber hat diese Strategie: Sie ist sehr aufwändig und setzt technisches Know-how voraus.

ZUGANG FÜR ALLE: SCHWACHE MAIL-SERVER

Einfacher und weniger aufwändig ist es, offene Mail-Relays zu finden – vor allem wenn es um den Massenversand von E-Mails geht. Offene Relays sind SMTP-Server, bei denen keine Authentifizierung nötig ist. So kann buchstäblich jeder die „An“ und „Von“ Zeile in einer E-Mail, Datum, Uhrzeit und auch den Inhalt beliebig verändern. 

Im Netz finden sich mehr als 6 Millionen SMTP-Server. Natürlich handelt es sich nicht bei allen um offene Relays. Die tatsächliche Zahl dürfte jedoch viele überraschen. Oft werden zum Beispiel Entwicklungs- oder Staging-Server mit Standard- oder nur schwachen SMTP-Service-Konfigurationen eingerichtet, die sich für Angriffe ausnutzen lassen. Bedrohungsakteure sind immer auf der Suche nach offenen Relays, prüfen sie auf ihre Tauglichkeit und stellen die Informationen auf cyberkriminellen Marktplätzen und Foren ein. Hier gibt es lange Listen an Servern, die sich für das E-Mail-Spoofing bestens eignen und keinen großen Arbeitsaufwand voraussetzen.

Abb.  2  –  SMTP-Server  weltweit

E-MAIL-SPOOFING BEKÄMPFEN

Was lässt sich gegen E-Mail-Spoofing unternehmen? Und welche Sicherheitsmaßnahmen sind tatsächlich effektiv?

Wie bereits erwähnt ist SMTP ein reichlich veralteter Standard, der eine Menge Sicherheitslücken mit sich bringt. Den Bedrohungen von heute kann das Protokoll allein nichts entgegensetzen. Daher wurden im Laufe der Zeit neue Technologien entwickelt, um die größten Schwachstellen soweit es geht zu beheben. Hier sind die drei wichtigsten Lösungsansätze im Überblick.

1. Sender Policy Framework (SPF)

SPF wurde entwickelt, um E-Mail-Spoofing zu identifizieren und zu blockieren. Richtig erfolgreich ist das Framework damit aber nicht.

SPF funktioniert nach einem einfachen Prinzip: Es überprüft, ob der Absender auf dem Umschlag (MAIL FROM) mit dem Absender im E-Mail-Header übereinstimmt und ob dieser zum Versand der E-Mail autorisiert ist.

Das ist aber leider auch schon alles. Denn wenn es darum geht, Gegenmaßnahmen zu ergreifen, verlässt sich SPF auf den Mail-Server des Empfängers. Bei SPF hinterlegt der Inhaber einer Domain (Administrator) einen TXT-Eintrag oder Resource Code in der DNS(Domain Name Server)-Zone. Darin sind alle IP-Adressen der Mail Transfer Agents (MTA) festgelegt, die zum Versand von E-Mails für diese Domain berechtigt sind. Erhält ein Mail-Server eine E-Mail, wird dieser Eintrag überprüft und die Absender-Domain mit den berechtigten Domains der Liste abgeglichen. Welche Aktion bei einer fehlenden Berechtigung ausgeführt wird, hängt jedoch nicht von SPF ab, sondern vom Spam-Filter des Mail-Servers.

Hier ein Beispiel für einen Resource Code:

v=spf1 include:mail.example.com -all

Nach dem SPF-Record wird die vollständig qualifizierten Domänennamen (FQDN) des für diese Domain autorisierten Mail-Server angegeben. Darauf folgt der Befehl „-all“, der einen „hard fail“ festlegt: Die E-Mail wird vom Mailsystem des Empfängers abgewiesen.

Die SPF-Records können auch bestimmte IP-Adressen oder gesperrte Domains beinhalten. Auch lassen sich die vom Mail-Server durchgeführten Aktionen abstufen. „~all“ zum Beispiel bezeichnet einen „soft fail“ für E-Mails, deren Quelle verdächtig ist und die so im Spam-Ordner landen. Der Befehl „?all“ hingegen ist neutraler, zum Beispiel wenn die Herkunft der E-Mail-Domain tatsächlich nicht klar ist.

Welche Aktion ausgeführt ist hängt allein vom Mail-Server des Empfängers bzw. des Spam-Filters ab. Welche E-Mails vom System durchgelassen werden lässt sich über Konfigurationen entsprechend regeln, wobei die Richtlinien häufig eher locker ausfallen.

Abb.  3  –  Spoofing-E-Mail  im  Posteingang (ohne  SPF)
Abb.  4  –  Spoofing-E-Mail  im  Spam-Ordner (SPF)

2. Domain-based  Message  Authentication, Reporting  and  Conformance  (DMARC)

Das DMARC-Protokoll versucht die Mängel von SPF auszugleichen. Anstatt wie SPF die Verantwortung auf das Mail-Server-System des Empfängers zu schieben, hilft DMARC Domänenadministratoren bei der Wahl des Schutzmechanismus (z. B. wenn eine Mail von SPF nicht richtig identifiziert wird). Auf Empfehlung von DMARC kann die E-Mail zunächst unter Quarantäne gestellt oder sofort zurückgewiesen werden. Außerdem fordert das Protokoll einen Bericht an, der an die jeweilige Adresse zurückgesendet wird. Gerade dieser letzte Schritt ist wichtig für Unternehmen, um gegen sie gerichtete Spam-/Spoofing-Mail-Kampagnen zu erkennen, zu untersuchen und idealerweise zu unterbinden.

Der von DMARC gesendete Resource Code setzt sich wie folgt zusammen:

V=DMARC1; p=none; rua=mailto:report.rua@beispiel.com; ruf=mailto:report.ruf@beispiel.com;

Wie bei SPF muss auch bei DMARC der Inhaber einer Domain (Administrator) einen TXT-Eintrag oder Resource Code in der DNS(Domain Name Server)-Zone hinterlegen. Nach diesem Record folgt die Aktion, die durchgeführt werden soll. Die Befehle reichen von „quarantine“ und „reject“ bis zu „none“. Bei Letzteren wird lediglich ein Bericht erstellt und versendet. Das Sammeln und Melden von E-Mails ermöglicht Administratoren einen guten Einblick in Mails, die von einem legitimen Absender stammen, aber trotzdem zurückgewiesen wurden. Die Berichte zeigen auch, welche E-Mail die eigene Unternehmens-Domain missbrauchen. „rua“ steht für „aggegrated report“ und gibt die Adressen an, an die zusammenfassendes Feedback geschickt werden soll. „ruf“ wiederum bezeichnet die Adressen, die nachrichtenspezifische forensische Informationen bzw. Fehlerdaten erhalten. Unter beiden lassen sich mehrere E-Mail-Adressen hinterlegen, so dass alle wichtige Informationen schnell und einfach an die Systeme verteilt werden können.

DMARC-Berichte werden von den meisten großen Mail-Providern in der Regel alle 24 Stunden gesendet. Der Zustellungszeitrahmen lässt sich im TXT-Eintrag konfigurieren, was jedoch nur selten gemacht wird.

Abb.  6  –  Auszug  aus  einem  DMARC-Report

3. DomainKeys  Identified  Mail  (DKIM)

DKIM ist etwas komplexer und kann, wenn falsch konfiguriert, mehr schaden als nutzen. Richtig eingesetzt, lässt sich jedoch mit DKIM eine zusätzliche Sicherheitsebene hinzufügen, die die Integrität und Authentizität von ausgehenden Nachrichten erhöht. Dazu verpasst DKIM der E-Mail beim Verlassen des Mail-Servers des Absenders eine digitale Signatur, die die Legitimität der Nachricht nachweist.

Um die kryptografische Signatur zu prüfen wird im TXT-Eintrag in der DNS-Zone ein entsprechender Schlüssel mitveröffentlicht. Der Mail-Server des Empfänger kann so sicherstellen, dass der signierte Inhalt auch tatsächlich dem E-Mail-Header entspricht.

Der DKIM-Resource Code sieht folgendermaßen aus:

V=DKIM1; k=rsa; p=PUBLICKEY

Auch hier steht der Record am Anfang. Mit „k“ wird der Algorithmus für den öffentlichen Schlüssel angegeben. Der base64-kodierte Schlüssel selbst folgt unter „p“.

Es gibt mittlerweile eine Vielzahl an Services, die das Erstellen von öffentlichen Schlüsseln und DKIM-Records übernehmen. In den meisten cloudbasierten Mail-Lösungen gibt es dafür bereits integrierte Funktionen. Einige Cloud-Mail-Dienste arbeiten sogar direkt mit Domänenregistrierungsstellen zusammen, um die Erstellung von DKIM-Records weiter zu automatisieren.

Abb.  7  –  Erfolgreiche  Zustellung  einer  E- Mail  dank  SPF,  DMARC  und  DKIM

FAZIT

SPF, DMARC und DKIM lassen sich gut kombinieren und können so einen wirksamen Schutz gegen E-Mail-Spoofing bieten. Allerdings nur dann, wenn das Mailsystem des Empfängers auch die jeweiligen TXT-Einträge prüft und entsprechende Maßnahmen ergreift. Das ist nicht immer der Fall und viele bekannte Cloud-Mail-Dienste wie Outlook365 sind in den konfigurierten Richtlinien zu SPF und DKIM sehr großzügig. Oft werden die beiden Protokolle lediglich dazu verwendet, Nachrichten als Spam zu klassifizieren und sie dann in den Junk-Ordner zu verfrachten. Wenn clientseitig Konfigurationen wie Domain Trust implementiert sind, können die falschen Absender die Richtlinien sogar umgehen und wieder im Posteingang des Benutzers landen. 

Hinzu kommt, dass keine der drei Lösungsansätze bösartige E-Mails erkennt, die von legitimen, entführten Domänen versendet werden. Auch Probleme wie Typosquatting (z. B. Webseiten mit leicht abgeänderten Markennamen) und Domainsquatting (das Registrieren von Domainnamen, die dem Registrierenden eigentlich nicht zustehen) lassen sich so nicht lösen. Beide stellen jedoch eine unmittelbare Gefährdung für die Brand Protection dar.

Generell scheint die Cloud, vor allem was das Erstellen von TXT-Einträgen angeht, mehr Support und einen höheren Automatisierungsgrad zu bieten. Auch die DMARC-Berichte sind ein guter Ausgangspunkt, um sich einen Überblick zu verschaffen, ob es sich bei Nachrichten tatsächlich um E-Mail-Spoofing handelt oder aber um die von einen Dritten durchgeführte Marketing-Aktion des Unternehmens.

SPF, DMARC und DKIM mögen Schwächen haben. Sie sind momentan jedoch die effektivsten Schutzmechanismen, die Unternehmen im Kampf gegen E-Mail-Spoofing zur Verfügung stehen. Grundsätzlich geht es darum, Angreifern das „Spoofing“ von Domänen so schwer wie möglich zu machen, das Risiko von Phishing proaktiv zu managen und auf ein Minimum zu reduzieren und Mitarbeiter, Kunden und die eigene Marke zu schützen.