Cyberrisiko E-Mail-Spoofing: So schützen sich KMU

Cyberrisiko E-Mail-SpoofingMit immer raffinierteren Methoden gelingt es Cyberkriminellen, an sensible Daten von KMU heranzukommen oder Schadsoftware in der IT-Infrastruktur der Firma einzuschleusen. Zu den besonders perfiden Methoden gehört das E-Mail-Spoofing.



Um die Herkunft einer E-Mail zu verschleiern und beim Empfänger den Eindruck zu erwecken, die E-Mail stamme von einer vertrauenswürdigen Quelle, setzen Cyberkriminelle E-Mail-Spoofing ein. Dabei handelt es sich um eine Form des Cyberangriffs, bei dem ein Hacker seine E-Mail-Absenderadresse so manipuliert, dass sie sich auch von erfahreneren Nutzern kaum als Fälschung identifizieren lässt. Es geht also darum, die wahre Identität des Absenders zu verbergen.

E-Mail-Spoofing kommen meist bei Phishing-Kampagnen zum Einsatz. Die Cyber-Betrüger wissen, dass die Empfänger eher bereit sind, eine E-Mail zu öffnen, die von einem bekannten Absender stammen. Das primäre Ziel von E-Mail-Spoofing ist es, die Empfänger dazu zu verleiten, die gefälschte Nachricht zu öffnen und darauf zu reagieren.

Was ist E-Mail-Spoofing?

Für Cyberkriminelle ist es einfach, E-Mail-Spoofing zu realisieren. Schon mit einer der weit verbreiteten E-Mail-Plattformen wie etwa Outlook oder Gmail und dem zugehörigen Zugang zu einem SMTP-E-Mail Server können sie ihre betrügerischen Absichten umsetzen. Hat der Angreifer eine authentisch wirkende E-Mail-Nachricht verfasst, so kann er die bedeutenden Felder in der Kopfzeile der Nachricht fälschen, z.B. die Adresse, die im «Von»-Feld erscheint. Der Empfänger, der die E-Mail erhält, hat den Eindruck, dass die Nachricht tatsächlich von der gefälschten Adresse kommt, da diese in seinem «Von»-Feld sichtbar ist. Dabei ist die sichtbare Adresse zu 100% identisch mit der Original-Adresse, lautet also z.B. info@microsoft.ch. Angreifer, die Phishing-E-Mails ohne Spoofing einsetzen zeigen meist eine leicht modifizierte Adresse wie etwa info@microsft.ch – derartige Attacken sind bei genauerem Hinsehen etwas leichter erkennbar.

Zielsetzungen von E-Mail-Spoofing

Angreifer setzen E-Mail-Spoofing meist mit folgenden Absichten ein:

  • Vortäuschen einer vertrauenswürdigen Person, etwa ein Arbeitskollege, ein Vorgesetzter, um an vertrauliche Informationen zu kommen (Phishing)
  • Vortäuschen einer vertrauenswürdigen Organisation, z.B. die Bank des Unternehmens oder die Post, um Zugriff auf Kreditkartendaten zu erhalten (Phishing)
  • Umgehen von Spam-Filtern und Blocklisten in den Unternehmensservern
  • Verbreiten von im Anhang des E-Mails versteckter Schadsoftware oder Ransomware, um anschliessend Daten zu verschlüsseln und das Unternehmen zur Zahlung von Lösegeld zu zwingen
  • Schädigen des Rufs der (gefälschten) Absender-Organisation oder -Person

Wie lässt sich eine mit Spoofing gefälschte E-Mail erkennen?

Wenn Nutzer den Eindruck haben, dass mit einer E-Mail etwas nicht stimmt, können sie als ersten Schritt die fünf möglichen Merkmale einer Phishing-E-Mail überprüfen. Wenn dies noch keine Gewissheit vermittelt, dann lässt sich als nächster Schritt der Quellcode der E-Mail öffnen und untersuchen. Dies lässt sich etwa bei Outlook innerhalb der jeweiligen E-Mail durch Klick auf «Datei» und anschliessend auf «Eigenschaften» anzeigen. Hier können die Empfänger die ursprüngliche IP-Adresse der E-Mail finden und damit den ungefähren geografischen Standort des echten Absenders ermitteln (z.B. über https://www.geolocation.com/). Die IP-Adresse besteht meist aus 4 ein- bis dreistelligen Zahlen, die jeweils durch einen Punkt getrennt sind. Liegt der so ermittelte Standort des Absenders an einem eher unwahrscheinlichen Standort (z.B. USA für eine Schweizer Bank, oder Russland für die Post oder China bei einem amerikanischen Unternehmen), dann liegt mit grosser Wahrscheinlichkeit ein Versuch einer Cyberattacke vor.

Massnahmen, um E-Mail-Spoofing zu verhindern

KMU können den Zugriff von E-Mail-Spoofing auf ihre IT-Infrastruktur mit verschiedenen technischen Massnahmen und durch Sensibilisierung der Mitarbeitenden verhindern:

1. Verschlüsselung von E-Mails und digitale Signaturen

Ein E-Mail-Signaturzertifikat verschlüsselt E-Mails, so dass nur der vorgesehene Empfänger auf den Inhalt zugreifen kann. Bei einer wirksamen Verschlüsselung verschlüsselt ein öffentlicher Schlüssel die E-Mail und ein privater Schlüssel, der dem Empfänger gehört, entschlüsselt die Nachricht. Mit einer zusätzlichen digitalen Signatur stellt der Empfängersicher, dass der Absender eine gültige Quelle ist.

2. Einsatz eines Sicherheits-Gateways für E-Mails

E-Mail-Sicherheits-Gateways schützen Unternehmen, indem sie sämtliche ein- und ausgehenden E-Mails überprüfen. Entspricht eine E-Mail nicht den Sicherheitsrichtlinien, die das Unternehmen hinterlegt hat, so blockiert das Gateway die betreffende E-Mail. So lassen sich bereits eine Vielzahl von Malware- und Phishing-Angriffen erkennen.

3. Einsatz von aktualisierter und korrekt eingestellter Antimalware-Software

Aktuelle Antimalware-Software kann einerseits verdächtige Websites identifizieren und blockieren, aber auch Spoofing-Attacken erkennen und betrügerische E-Mails stoppen, bevor sie den Posteingang des Benutzers erreichen.

4. Einsatz von E-Mail-Sicherheitsprotokollen

E-Mail-Sicherheitsprotokolle können Bedrohungen u reduzieren, indem sie Domänenauthentifizierung verwenden. Zusätzlich zum SMTP-Protokoll (Simple Mail Transfer Protocol) und zum SPF-Protokoll (Sender Policy Framework) können Unternehmen sogenannte Domain Keys Identified Mail (DKIM) verwenden, um mit einer digitalen Signatur eine weitere Sicherheitsebene zu schaffen.

5. Schulungen: Mitarbeiter für Spoofing sensibilisieren

Zusätzlich zu den technischen Anti-Spoofing-Massnahmen müssen Unternehmen die Mitarbeitenden über Cybersicherheit aufklären und sie auf Spoofing sensibilisieren. Wichtig ist es, Ihnen aufzuzeigen, wie sie verdächtige E-Mails erkennen und sich schützen können. In Cyber-Security-Schulungsprogrammen lässt sich den Benutzern die Fähigkeit vermitteln, Spoofing-Taktiken zu erkennen und damit umzugehen. Solche Trainings sollen regelmässig und ergänzend zu den übrigen IT-Sicherheitsthemen stattfinden. So lassen sich Inhalte gemäss den neuesten Erkenntnissen aktualisieren und auffrischen, sollten neuartige Bedrohungen auftauchen. Folgende Themen gehören spezifisch für das E-Mail-Spoofing in die Cyber-Security-Schulung: 

    • Verdächtige E-Mail-Adressen erkennen

Die E-Mail-Adressen, mit denen Benutzer kommunizieren, sind oft vorhersehbar und vertraut. Mitarbeitende sollen lernen, auf unbekannte oder seltsame E-Mail-Adressen zu achten und die Herkunft einer E-Mail zu überprüfen, bevor sie mit ihr interagieren. Angreifer verwenden oft mehrfach die gleiche Taktik.

    • Keine sensiblen oder persönlichen Informationen preisgeben

Selbst wenn gefälschte E-Mails in den Posteingang gelangen, richten sie in vielen Situationen nur dann wirklichen Schaden an, wenn ein Benutzer mit persönlichen Informationen antwortet. Indem Sie es sich zur Gewohnheit machen, niemals persönliche Informationen in E-Mails preiszugeben, können Benutzer die Auswirkungen von E-Mail-Spoofing erheblich einschränken.

    • Verdächtige Anhänge oder unbekannte Links erkennen

Benutzer sollten verdächtigen Anhängen und Links identifizieren können und diese nicht anklicken. Sie sollen darauf trainiert sein jedes verdächtige Element einer E-Mail untersuchen zu können und verräterische Zeichen zu erkennen bevor sie auf links oder Anhänge klicken. Dazu gehören z. B. Rechtschreibfehler, seltsame Anreden oder unbekannte Dateierweiterungen.

    • Blocklisten verwenden

Benutzer können die Spoofing-Bedrohung minimieren, indem sie verdächtige Internet-Service-Provider (ISP) und Internet-Protokoll-Adressen (IP-Adressen) auf Blocklisten setzen.


Technische Begleitung und Unterstützung

Oft sind gefälschte E-Mails leicht zu erkennen. Durch Löschen der Nachricht ist das Problem in solchen Fällen behoben. Doch einige Varianten sind aufgrund eines perfekt gestalteten Inhalts und eingesetztem E-Mail-Spoofing kaum als Fälschung zu erkennen. Diese Angriffe verursachen ernsthafte Probleme und bergen für KMU gefährliche Sicherheitsrisiken. Um die technische Umsetzung der erwähnten Präventionsmassnahmen zu gewährleisten, lohnt sich die Zusammenarbeit mit einem qualifizierten IT-Dienstleister. Anbieter von Managed IT Services sind in der Lage, die Unternehmens-IT derart zu konfigurieren und bei Bedarf auszustatten, dass sich solche Attacken weitgehend vermeiden lassen.

 

Themen: Cyber Security
Autor: Philipp Hollerer | 15.10.2020 | 19:09
Philipp Hollerer
Besuchen Sie mich auf Social Media:
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook
  • Blog-Beitrag teilen:
  • Share on Linkedin
  • Share on Twitter
  • Share on Facebook

Jetzt IT-Blog für KMU als E-Mail abonnieren.