Anleitung zum Schutz vor gefälschten E-Mails
 Anleitung zum Schutz vor gefälschten E-Mails |
Anleitung zum Schutz vor gefälschten E-Mails
Warum E-Mails leicht zu fälschen sind. Gefälschte E-Mails werden ständig zum Phishing und zum Kompromittieren von Unternehmensmail verwendet. Warum ist es so einfach, sie so überzeugend zu machen?
Gefälschte E-Mails werden ständig zum Phishing und zum Kompromittieren von Unternehmensmail verwendet. Warum ist es so einfach, sie so überzeugend zu machen? Manchmal genügt es, das Feld «Von wem» zu überprüfen, um zu verstehen, dass eine Phishing-E-Mail vor Ihnen liegt. Aber Betrüger sind in der Lage, eine Nachricht zu fabrizieren, die nicht von einer echten zu unterscheiden ist. Der Täter, der eine solche Technik ist, kann eine Organisation ein ernsthaftes Problem: die meisten Menschen ohne zu zögern springt auf den Link (die bösartige) und öffnet die Dateianlage in einem Brief, der scheinbar kam vom Chef oder einem wichtigen Kunden. Es ist schwer, ihnen Unaufmerksamkeit vorzuwerfen, denn es gibt keine Anzeichen dafür, dass der Brief falsch ist.
Wie schaffen es Betrüger« "perfekte" Fälschungen zu erstellen? Andrey Konstantinov beantwortet diese Frage in seinem Bericht über die Identifizierung von E-Mails auf dem 36. Chaos Communication Congress Hacking Conference. Er spricht auch darüber, wie effektiv der Schutz vor gefälschten Nachrichten ist.
Problem Nummer 1. Die Post muss reibungslos funktionieren. In der heutigen Welt interagieren alle per E-Mail, und die Aktivitäten jeder Organisation hängen von dieser Art der Kommunikation ab. In der Regel denkt niemand über die Feinheiten seiner Arbeit nach, solange die Technologie nicht ausfällt. Aber wenn zum Beispiel irgendwann E-Mails verschwinden, wird das alles schnell merken. Deshalb schätzt jeder Administrator des Mailservers die Zuverlässigkeit am meisten: E-Mails müssen die Empfänger um jeden Preis erreichen. Der Fall wird dadurch erschwert, dass der Mailserver mit allen möglichen Posttechnologien, die weltweit eingesetzt werden, so weit wie möglich kompatibel sein muss. Das ist das Problem: Die E-Mail-Standards sind hoffnungslos veraltet.
Problem Nummer 2. E-Mail-Protokoll ohne Authentifizierung. Das primäre Protokoll für die Client-Server- und Server-Server-Kommunikation ist SMTP. Es wurde 1982 vorgeschlagen und zuletzt vor mehr als 10 Jahren, 2008, aktualisiert. Aus Sicht der SMTP-Sicherheit ist es, wie viele andere archaische Standards, ein Albtraum. Hier ist, woraus die E-Mail besteht: ein SMTP-Umschlag. Dieses Element wird in Server-zu-Server-Modellen verwendet und wird niemals in E-Mail-Clients angezeigt. Es enthält die Adressen des Absenders und des Empfängers. Ueberschriften. Sie werden in E-Mail-Clients angezeigt. Dort befinden sich die Felder «Von wem», «An», «Datum» und «Betreff», die in jeder E-Mail enthalten sind. Der Körper des Briefes. Der eigentliche Text der Nachricht und anderer Inhalt. Das Hauptproblem ist, dass der Standard keine Authentifizierungsmöglichkeiten bietet. Für die Richtigkeit der im Absenderfeld festgelegten Adresse (sowohl im SMTP-Umschlag als auch im Header) ist ausschließlich der Server des Absenders verantwortlich. Schlimmer noch, die Adresse des Absenders im SMTP-Umschlag muss nicht mit der Adresse übereinstimmen, die im Header angegeben ist (der Empfänger der E-Mail wird sie schließlich sehen). Auch wenn laut der Standardspezifikation für jede Nachricht nur ein Header vorhanden sein muss, prüft SMTP dies in keiner Weise. Wenn die E-Mail mehr als einen Titel enthält, wählt der E-Mail-Client selbst einen aus, der dem Benutzer angezeigt wird. Man muss kein professioneller Hacker sein, um zu erkennen, dass es Probleme damit geben kann. Das E-Mail-Protokoll lässt nicht erkennen, dass die Nachricht tatsächlich an diejenigen gesendet wurde, die im Feld «Von wem» aufgeführt sind.
Problem Nummer 3. Falsche ausgehende und eingehende. Da jede Korrespondenz die Kommunikation zwischen beiden Seiten beinhaltet, wird dieses Problem mit dem Mangel an Authentifizierungsmechanismus in zwei Unterprobleme unterteilt. Auf der einen Seite möchten Sie sicher sein, dass die von Ihnen empfangene E-Mail tatsächlich an die im Feld «von» aufgeführten Personen gesendet wird. Auf der anderen Seite möchten Sie nicht, dass jemand anderes Korrespondenz senden kann, die aussieht, als würde sie von Ihrer Adresse gesendet werden. Leider kann der aktuelle Standard dies nicht garantieren.
Versuch, # 1 zu reparieren. Sender Policy Framework, SPF. Der SPF basiert auf einer ziemlich einfachen Idee: Der Empfängerserver sollte überprüfen können, ob die Adresse des Servers, von dem die Nachricht tatsächlich gesendet wurde, mit der des authentischen E-Mail-Servers übereinstimmt, der der Domäne des Absenders zugeordnet ist. In Wirklichkeit war es nicht so einfach. Der SMTP-Standard erlaubt keine solche Validierung, daher muss jede Authentifizierungsmethode «oben" hinzugefügt werden. Die Fertigstellung dieser Technologie auf den Status des «vorgeschlagenen Standards» hat ein Jahrzehnt gedauert. Von den Millionen Top-E-Mail-Servern großer Unternehmen verwendet heute nur etwas mehr als die Hälfte SPF, wobei in den meisten Fällen nicht rohe Richtlinien gelten. SPF hat andere Probleme. Zum Beispiel eine komplizierte Architektur, die Platz für Konfigurationsfehler lässt, und die Möglichkeit, die Validierung mit anderen Servern zu umgehen, die an derselben Adresse gehostet werden. Der Hauptnachteil des SPF besteht jedoch darin, dass diese Technologie nur die im SMTP-Umschlag angegebene Adresse überprüft und das Feld «Von wem» vollständig ignoriert (was der Benutzer sieht). Der SPF hilft Ihnen zu überprüfen, ob die Nachricht tatsächlich vom angegebenen Server stammt. Die Adresse, die der Benutzer sieht, kann immer noch gefälscht werden.
Versuch der Korrektur # 2. DomainKeys Identified Mail (DKIM) -Technologie. Die Entwickler von DKIM haben das Problem anders angegangen: Diese Technologie erstellt eine kryptografische Signatur des Kopfes und des Nachrichtentextes mit einem privaten Schlüssel. Anschließend kann die Signatur mit einem öffentlichen Schlüssel überprüft werden, der im Domain Name System (DNS) veröffentlicht wurde. Es ist erwähnenswert, dass DKIM nicht dazu gedacht ist, die gesamte E-Mail zu verschlüsseln, sondern nur eine kryptografische Signatur hinzufügt. Das ist das Problem: Es ist schwierig, den verschlüsselten Teil zu ändern, aber es ist ziemlich einfach, die gesamte Signatur zu entfernen und eine gefälschte Nachricht zu erstellen. Und der Empfänger kann nicht wissen, dass es eine kryptografische Signatur geben muss. DKIM ist ziemlich schwierig zu implementieren, da es die Generierung und Verwaltung von kryptografischen Schlüsseln verwendet. Außerdem kann DKIM bei falscher Konfiguration dem Angreifer erlauben, die echte DKIM-Signatur der Nachricht beizubehalten, während er den Kopf und den Körper der Nachricht willkürlich ändert. Mit DKIM können Sie Ihre Nachrichten digital signieren, damit der Empfängerserver sicherstellen kann, dass die Nachricht tatsächlich von Ihnen gesendet wurde. Es ist nicht einfach, es zu implementieren, da das System die Verwaltung von kryptografischen Schlüsseln beinhaltet. Angreifer können die Signatur einfach entfernen und in Ihrem Namen eine gefälschte E-Mail senden. Bestimmte Konfigurationsfehler können es Angreifern ermöglichen, gefälschte Nachrichten mit echten DKIM-Signaturen zu erstellen.
Versuch der Korrektur # 3. Domain-based Message Authentication, Reporting and Conformance (DMARC). Trotz eines ziemlich langen Namens ist das DMARC-Protokoll leichter zu verstehen als SPF oder DKIM. Im Wesentlichen ist dies ihre logische Fortsetzung, die versucht, die offensichtlichsten Fehler zu beheben. Erstens ermöglicht DMARC dem Domänenadministrator, auszuwählen, welcher Schutzmechanismus auf dem Server verwendet werden soll — SPF, DKIM oder beides. Dies ermöglicht es Ihnen, das offensichtliche Problem mit DKIM zu schließen. Zweitens wird das Problem mit dem SPF gelöst, da sowohl die Adresse im Feld «Von wem» als auch die Adresse des Servers im SMTP-Umschlag überprüft werden. Der Nachteil: Das DMARC-Protokoll ist ziemlich neu und wurde noch nicht zum Standard: RFC 7489 definiert es nicht einmal als «vorgeschlagenen Standard», sondern weist nur den Status Informational («Information») zu. Infolgedessen wird es bei weitem nicht so weit verbreitet verwendet, wie es sollte. Laut der Studie verwendeten nur 20 Prozent der 20.000 Domains die DMARC-Technologie überhaupt, und nur 8,4 Prozent wendeten strenge Richtlinien an. Leider ist das DMARC-Protokoll noch nicht üblich, und in vielen Fällen werden Richtlinien ohne zusätzliche Überprüfungen verwendet. Leider ist das DMARC-Protokoll noch nicht üblich, und in vielen Fällen werden Richtlinien ohne zusätzliche Überprüfungen verwendet. Die Technologie behebt die kritischsten Fehler sowohl bei SPF als auch bei DKIM. Es ist noch nicht weit verbreitet (dementsprechend ist das Potenzial nicht vollständig realisiert).
Die Manipulation von E-Mails ist möglich, da das SMTP-Protokoll ohne die erforderlichen Sicherheitsmaßnahmen erstellt wurde, sodass Angreifer eine beliebige Absenderadresse in die fabrizierte Nachricht einfügen können. In den letzten Jahrzehnten wurden Schutzmechanismen entwickelt, nämlich SPF, DKIM und DMARC. Damit diese Technologien jedoch wirklich wirksam sind, müssen sie sowohl beim Absender als auch beim Empfänger funktionieren. Im Idealfall - generell überall eingeführt werden.
Außerdem ist es wichtig zu berücksichtigen, dass ein Staging-Server aufgrund von Konfigurationsfehlern anfangen kann, etwas zu den weitergeleiteten E-Mails hinzuzufügen, was die DKIM-Überprüfung automatisch fehlschlägt. Wir dürfen auch nicht vergessen, dass diese Technologien gut gegen massive Bedrohungen sind, und dass Sie für anspruchsvolle E-Mail-Angriffe immer noch zusätzliche Sicherheitsprodukte sowohl auf Workstations als auch auf dem Mailserver verwenden sollten.
Verwenden Sie mindestens den SPF und konfigurieren Sie ihn ordnungsgemäß. Beachten Sie dabei, dass erfinderische Angreifer den SPF-Schutz umgehen können (mehr dazu im Bericht). Implementieren Sie DKIM, um den Schutz zu verbessern. Es ist technologisch komplizierter, aber es lohnt sich. Stellen Sie wiederum sicher, dass Sie die richtige Konfiguration haben (hier wird beschrieben, worauf die Angreifer zuerst achten). Es ist am besten, DMARC zu verwenden, da diese Technologie die offensichtlichsten Nachteile von SPF und DKIM beseitigt. Überprüfen Sie auch die Einstellungen des E-Mail-Servers für die Verarbeitung eingehender Nachrichten. Verwenden Sie Sicherheitslösungen, die moderne Authentifizierungsmechanismen unterstützen.