18 'Shades-of-gray'-Methoden zum Faken des E-Mail-Absenders gefunden

Über bestimmte Prüfmechanismen versuchen E-Mail-Provider sicherzustellen, dass Mails vom angegebenen Absender kommen – so soll Phishing und Online-Betrug verhindert werden. Sicherheitsforscher haben jetzt ausgepackt, dass es 18 Möglichkeiten gibt, E-Mail-Provider wie Google, Apple, Microsoft und  Yahoo mit gefälschten E-Mail-Absenderadressen aufs Kreuz zu legen.


Anzeige

Eigentlich verwenden E-Mail-Provider Prüfmechanismen, um sicherzustellen, dass Mails vom angegebenen Absender kommen (gut, bei 1&1/IONOS wird diesbezüglich gepatzt, anders ist die Menge an SPAM, der kommt und durch die kaum vorhandenen SPAM-Filter durchschlägt, nicht zu erklären).

Auf der virtuell abgehaltenen BlackHat 2020-Konferenz haben Sicherheitsforscher im Beitrag You have No Idea Who Sent that Email: 18 Attacks on Email Sender Authentication offen gelegt, welche Möglichkeiten es gibt, die E-Mail-Adresse eines Absenders in gängigen Mail-Systemen zu fälschen. Deren Studie zeigt die bedauerliche Tatsache, dass selbst ein gewissenhafter Sicherheitsexperte, der einen hochmodernen E-Mail-Anbieterdienst wie Google Mail nutzt, beim Empfang einer E-Mail nicht ohne weiteres feststellen kann, ob diese gefälscht ist.

18 Varianten zum Fälschen

Die Sicherheitsforscher identifizierten 18 Arten von Angriffen zur Umgehung der E-Mail-Authentifizierung des Absenders (einschließlich SPF, DKIM und DMARC). Mithilfe dieser Techniken kann sich ein Angreifer als willkürlicher Absender ausgeben, ohne die Authentifizierung zu brechen, und sogar DKIM-signierte E-Mails mit der Signatur einer legitimen Website fälschen.

Die Sicherheitsforscher haben Angriffe gegen 10 beliebte E-Mail-Provider (z.B. Gmail.com, iCloud.com) und 19 E-Mail-Clients (z.B. Outlook, Thunderbird) ausgewertet und festgestellt, dass sie sich alle als anfällig für verschiedene Angriffe erwiesen haben. Die Sicherheitsforscher haben den betroffenen Anbietern die Ergebnisse mitgeteilt. Aktuell befassen sich die Anbieter mit diesem Bericht der Forscher.

Vernetzte Systeme als Problem

Zum Problem wird das, indem es dadurch zu einer zunehmenden Bedrohung in den heutigen verteilten Systemen kommt. Die von den Sicherheitsforschern entwickelten Techniken können angewandt werden, um ähnliche Schwachstellen in anderen Systemen zu identifizieren. Die Sicherheitsforscher werden ihre Testtool über GitHub öffentlich zugänglich machen, um die Gemeinschaft bei der Sicherung weiterer E-Mail-Systeme zu unterstützen. Einige zusätzliche Erläuterungen finden sich in diesem SPON-Beitrag.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu 18 'Shades-of-gray'-Methoden zum Faken des E-Mail-Absenders gefunden

  1. Bernard sagt:

    Danke!

    Allerdings wird der Vortrag erst heute nachmittag um 14:30 stattfinden.

    Da die Konferenz virtuell ist, könnte es sich um UTC handeln. Kann das jemand bestätigen?

    • Sven Fischer sagt:

      Ich bin mir da mit den Zeitzonen auch nicht sicher. Es steht ja oberhalb des Artikels "All times are Pacific Time (GMT/UTC -7h)".

      Bei https://www.zeitzonen.de/pacific_standard_time_pst_-_usa.html
      kann man das einsehen. Imho müsste 2:30 pm PST ; 11:30 Berliner Zeit sein. Müsste demnach schon begonnen haben.

      Evtl. werden die Vorträge auch irgendwann bei YT verfügbar sein.

      Grüße

      • gans worst sagt:

        meine güte, selbst einfachstes Rechnen klappt nicht?
        Pacific Standard Time (PST) ist mit -9 Std angegeben. Die sind also 9 Std. hinter MESZ. 14:30 plus 9 Std ergibt? s. Stefan 13:29…
        (pm = post meridiem)

        • Sven Fischer sagt:

          Mein Gott, jetzt pluster dich nicht so auf! Man kann sich ja mal verhauen. Oder ist dir so was noch nie passiert?

          • gans worst sagt:

            es plustert sich nur gar niemand auf, meine Wenigkeit gleich gar nicht. Wozu auch?!
            Es wurde lediglich was falsches richtiggestellt. Wenn du bereits das nicht aushälst, ist das wohl allein dein Problem.

            • Günter Born sagt:

              Bitte alle etwas runter kommen – es ist korrigiert – hätte man neutraler formulieren können – und gut ist. Ich weiß, es ist warm heute – also alle wieder hinlegen – danke für euer Verständnis.

          • Dekre sagt:

            Ich muss mal – denn ich habe unten was eingestellt.

            Es ist seit Jahren bekannt, dass E.Mails unsicher sind, auch sog. signierte E-Mails. Ich wäre wirklich erfreut, wenn man sich diesen Thema sachlich widmen könnte und das nicht wieder verpufft!

            Das vor allem vor dem Hintergrund, dass der E-Mail-Kontakt als das sicherste angesehen wird. Dem ist nicht so. Vom Abfangen und Mitlesen mal außer Acht gelassen.

            DANKE.

  2. PRISM sagt:

    und ich dachte das wäre ein Live-Stream? Wenn der schon läuft müsste man doch wenigstens jetzt was sehen oder?

  3. Stefan sagt:

    Um 23.30 unserer Zeit geht der Vortrag los.

  4. Dekre sagt:

    Ist es nicht schon lange bekannt, dass der "sichtbare" E-Mail-Absender nicht der tatsächliche Absender sein muss?
    Insbesondere bei Viren- und Phishing-Angriff etc per E-mail sind diese so gestrickt. Ich kann da einiges berichten.

    Die von den Sicherheitsforschern bereitgestellten Dokumente finde ich sehr aufschlussreich.

    • Bernard sagt:

      Der Witz ist, dass man mir das in der Firma nicht glaubt, wenn ich den Leuten sage, dass man so etwas sehr leicht fälschen kann.

      (Denn ich muss den Leuten auf Nachfrage mitteilen, dass ich das nicht kann… Was die dann für einen Beweis halten, dass es wohl nicht so einfach ist.)

      Danke für den Hinweis auf die Dokumente.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.