Da Cyberangriffe immer raffinierter werden, wird es immer notwendiger, Wege zu finden, um solche Angriffe zu erkennen und zu vereiteln.
A neue Studie von Virginia Tech ermittelten genau, wie gut E-Mail-Anbieter Phishing-Angriffe bekämpfen können, eine Art Betrug, bei dem Cyberdiebe versuchen, persönliche Informationen zu stehlen oder Schadsoftware per E-Mail zu installieren.
Die Bedrohung durch Phishing
Phishing-Angriffe gibt es seit der Einführung von E-Mail. Typischerweise beinhalten sie die Verwendung einer getarnten E-Mail, um Opfer dazu zu bringen, sensible Informationen wie Kreditkarteninformationen oder wichtige Identitätsinformationen bereitzustellen.
Phishing-Angriffe gehören zu den häufigsten E-Mail-Betrugsversuchen und sind für fast die Hälfte der mehr als 2,000 von Verizon in den letzten zwei Jahren gemeldeten Sicherheitsverletzungen verantwortlich. Dazu gehören Angriffe auf Einzelpersonen, die im Allgemeinen personenbezogene Finanzinformationen extrahieren, sowie Angriffe auf Unternehmen, die zu schwerwiegenden Datenschutzverletzungen innerhalb des Unternehmens führen können.
Diese Angriffe, die auf Einzelpersonen oder Unternehmen abzielen, können sehr kostspielig sein, da sie Milliarden von Datensätzen durchsickern lassen und Millionen von Dollar kosten.
Phishing-Angriffe werden immer ausgeklügelter. E-Mail-Hacker haben Möglichkeiten entwickelt, vertrauenswürdige Adressen wie Freunde, Kollegen oder bekannte Unternehmen zu kopieren und gefälschte E-Mails zu versenden. Diese Art des Hackens wird als „Spoofing“ bezeichnet und kann eine der gefährlichsten Angriffsarten sein.
Spoofing-Angriffe sind besonders gefährlich, da das aktuelle E-Mail-System über keinen eingebauten Mechanismus verfügt, um dies zu verhindern.
„Das SMTP-System, das wir heute verwenden, wurde ohne Sicherheitsaspekte entwickelt.“ Gang Wang, ein Assistenzprofessor für Informatik an der Virginia Tech's Hochschule für Ingenieure, sagte in einer Erklärung. "Das ist etwas, das das System seit seiner Einführung plagt."
Es gab Versuche, ein sichereres E-Mail-System mit SMTP-Erweiterungen zu erstellen, darunter SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication). All diese Funktionen unterstützen die Authentifizierung des Absenders und helfen den Benutzern, bedrohliche Nachrichten zu identifizieren.
Während eine Reihe von E-Mail-Anbietern Schritte unternommen haben, um ihre Domains für Benutzer sicherer zu machen, kam eine Analyse der Forscher von Virginia Tech zu dem Schluss, dass von den 1 Million Top-Domains nur 45 Prozent über SPF und 5 Prozent über DMARC verfügen, was darauf hindeutet, dass E-Mail-Anbieter könnte einen großen Beitrag zum Schutz ihrer Benutzer leisten.
Die Studie
Wang, zusammen mit Häng Hu, ein Doktorand an der Virginia Tech, wollte genau herausfinden, wie anfällig E-Mail-Benutzer bei verschiedenen Anbietern sind.
Dazu führten sie End-to-End-Spoofing-Experimente bei beliebten E-Mail-Anbietern durch. Dabei wurden Benutzerkonten bei 35 Anbietern erstellt, darunter Gmail, iCloud und Outlook. Diese Konten haben in ihren Experimenten den Empfänger oder das Opfer modelliert.
Anschließend nutzten sie einen experimentellen Server, um gefälschte E-Mails mit gefälschten Absenderadressen an diese Konten zu senden. Theoretisch kann der Empfänger Spoofing erkennen, wenn die gefälschte Domäne über einen gültigen SPF-, DKIM- oder DMARC-Eintrag verfügt.
Da E-Mail-Inhalte beeinflussen können, wie Spam-Filter mit der E-Mail umgehen, betteten die Forscher die E-Mail mit fünf verschiedenen Arten von E-Mail-Inhalten ein: eine leere E-Mail, eine leere E-Mail mit einer harmlosen URL, eine leere E-Mail mit einem harmlosen Anhang, eine harmlose E-Mail mit tatsächlichem Inhalt und eine Phishing-E-Mail mit Inhalten, die sich als technischer Support ausgeben und den Benutzer zu einer URL weiterleiten.
Dabei versuchten die Forscher, die Auswirkungen der Spam-Filterung auf ihre Ergebnisse zu minimieren.
Bei der Durchführung dieser Experimente stellten die Forscher fest, dass E-Mail-Anbieter keine sehr wirksamen Schutzmaßnahmen gegen gefälschte E-Mails bieten.
„Unsere Versuchsergebnisse zeigen, dass gefälschte E-Mails eine gute Chance haben, E-Mail-Anbieter zu umgehen und im Posteingang des Benutzers anzukommen“, sagte Wang. „Zum Beispiel lieferten 35 von 34 von uns getesteten E-Mail-Diensten mindestens eine gefälschte E-Mail an den Posteingang des Benutzers (einschließlich beliebter E-Mail-Dienste wie Gmail, Yahoo Mail, iCloud). Wenn wir einen ‚bestehenden Kontakt‘ des E-Mail-Empfängers fälschen, können alle 35 E-Mail-Dienste durchdrungen werden.“
Die Ergebnisse zeigten auch, dass bei 30 Diensten mindestens eine Phishing-E-Mail in den Posteingang gelangte.
In vielen Fällen wurden den Benutzern dennoch E-Mails zugestellt, bei denen die Authentifizierung fehlgeschlagen war.
Dies geschah sogar bei E-Mail-Anbietern mit umfangreicheren Sicherheitsprotokollen wie Gmail und iCloud. Darüber hinaus zeigten nur sechs E-Mail-Dienste – Gmail, Protonmail, Naver, Mail.ru, 163.com und 126.com – eine Sicherheitswarnung bei gefälschten E-Mails an.
Um die Wirksamkeit von Sicherheitshinweisen zu testen, führten die Forscher außerdem zwei Benutzerstudien mit realen Teilnehmern durch.
In der ersten Studie nahmen die Teilnehmer an einem Rollenspielexperiment teil, bei dem ihnen eine gefälschte E-Mail präsentiert wurde und sie fragten, wie sie auf diese E-Mail reagieren würden.
In der zweiten Studie wurden den Teilnehmern Phishing-E-Mails über ihre tatsächliche E-Mail-Adresse gesendet. In den nächsten 20 Tagen überwachten die Forscher die Reaktion des Benutzers.
Die Forscher fanden heraus, dass Benutzer, die die E-Mail mit einem Sicherheitsindikator erhalten haben, mit einer Rate von 17.9 Prozent durch die E-Mail geklickt haben. Ohne Sicherheitshinweis lag die Klickrate bei 26.1 Prozent.
Bei denjenigen, die die E-Mail öffneten, stieg die Klickrate auf 37.2 Prozent bei denjenigen, die einen Hinweis erhielten, und auf 48.9 Prozent bei denen, die dies nicht taten.
Takeaways
Wang schlug vor, dass die Ergebnisse der Studie zeigen, dass E-Mail-Anbieter noch einen langen Weg vor sich haben, um ihren Benutzern volle Sicherheit zu bieten.
„Der Grund dafür ist, dass nicht alle Internet-Hosts SPF, DKIM oder DMARC übernommen haben“, sagte er. „Wenn der E-Mail-Anbieter den Absender einer E-Mail nicht überprüfen kann, es sei denn, die E-Mail hat ein klares bösartiges Signal, neigt der E-Mail-Anbieter dazu, die E-Mail-Zustellung zu priorisieren. Dadurch haben gefälschte E-Mails eine Chance, in den Posteingang zu gelangen.“
Er fügte hinzu, dass E-Mail-Anbieter diese schützenden SMTP-Erweiterungen übernehmen und E-Mails mit ungeprüften Serveradressen mit Sicherheitsindikatoren kennzeichnen sollten, um den Benutzern den besten Schutz zu bieten. Er sagte auch, dass sie auch mobile E-Mail-Apps verbessern sollten, damit Benutzer auf Sicherheitsinformationen für E-Mails zugreifen können.
Für Benutzer hat Wang zwei Ratschläge.
Erstens: „Seien Sie skeptisch, vertrauen Sie insbesondere der Absenderadresse der E-Mails nicht.“
Zweitens: „Verwenden Sie für wichtige E-Mails (z. B. das Teilen wichtiger Informationen, das Tätigen großer Zahlungen) zusätzliche Kanäle, um den Absender zu bestätigen (z. B. einen Anruf tätigen).“
In Zukunft möchte Wang lernen, wie man effektive Sicherheitsindikatoren entwickelt, um Benutzer über nicht verifizierte E-Mails zu informieren. Er beabsichtigt auch, den Einsatz von Maschinen zu untersuchen, um Benutzern gezielte Sicherheitshinweise basierend auf dem spezifischen E-Mail-Kontext zu geben.
