Über bestimmte Prüfmechanismen versuchen E-Mail-Provider sicherzustellen, dass Mails vom angegebenen Absender kommen – so soll Phishing und Online-Betrug verhindert werden. Sicherheitsforscher haben jetzt ausgepackt, dass es 18 Möglichkeiten gibt, E-Mail-Provider wie Google, Apple, Microsoft und Yahoo mit gefälschten E-Mail-Absenderadressen aufs Kreuz zu legen.
Anzeige
Eigentlich verwenden E-Mail-Provider Prüfmechanismen, um sicherzustellen, dass Mails vom angegebenen Absender kommen (gut, bei 1&1/IONOS wird diesbezüglich gepatzt, anders ist die Menge an SPAM, der kommt und durch die kaum vorhandenen SPAM-Filter durchschlägt, nicht zu erklären).
Auf der virtuell abgehaltenen BlackHat 2020-Konferenz haben Sicherheitsforscher im Beitrag You have No Idea Who Sent that Email: 18 Attacks on Email Sender Authentication offen gelegt, welche Möglichkeiten es gibt, die E-Mail-Adresse eines Absenders in gängigen Mail-Systemen zu fälschen. Deren Studie zeigt die bedauerliche Tatsache, dass selbst ein gewissenhafter Sicherheitsexperte, der einen hochmodernen E-Mail-Anbieterdienst wie Google Mail nutzt, beim Empfang einer E-Mail nicht ohne weiteres feststellen kann, ob diese gefälscht ist.
18 Varianten zum Fälschen
Die Sicherheitsforscher identifizierten 18 Arten von Angriffen zur Umgehung der E-Mail-Authentifizierung des Absenders (einschließlich SPF, DKIM und DMARC). Mithilfe dieser Techniken kann sich ein Angreifer als willkürlicher Absender ausgeben, ohne die Authentifizierung zu brechen, und sogar DKIM-signierte E-Mails mit der Signatur einer legitimen Website fälschen.
Die Sicherheitsforscher haben Angriffe gegen 10 beliebte E-Mail-Provider (z.B. Gmail.com, iCloud.com) und 19 E-Mail-Clients (z.B. Outlook, Thunderbird) ausgewertet und festgestellt, dass sie sich alle als anfällig für verschiedene Angriffe erwiesen haben. Die Sicherheitsforscher haben den betroffenen Anbietern die Ergebnisse mitgeteilt. Aktuell befassen sich die Anbieter mit diesem Bericht der Forscher.
Anzeige
Vernetzte Systeme als Problem
Zum Problem wird das, indem es dadurch zu einer zunehmenden Bedrohung in den heutigen verteilten Systemen kommt. Die von den Sicherheitsforschern entwickelten Techniken können angewandt werden, um ähnliche Schwachstellen in anderen Systemen zu identifizieren. Die Sicherheitsforscher werden ihre Testtool über GitHub öffentlich zugänglich machen, um die Gemeinschaft bei der Sicherung weiterer E-Mail-Systeme zu unterstützen. Einige zusätzliche Erläuterungen finden sich in diesem SPON-Beitrag.
Anzeige
Danke!
Allerdings wird der Vortrag erst heute nachmittag um 14:30 stattfinden.
Da die Konferenz virtuell ist, könnte es sich um UTC handeln. Kann das jemand bestätigen?
Ich bin mir da mit den Zeitzonen auch nicht sicher. Es steht ja oberhalb des Artikels "All times are Pacific Time (GMT/UTC -7h)".
Bei https://www.zeitzonen.de/pacific_standard_time_pst_-_usa.html
kann man das einsehen. Imho müsste 2:30 pm PST ; 11:30 Berliner Zeit sein. Müsste demnach schon begonnen haben.
Evtl. werden die Vorträge auch irgendwann bei YT verfügbar sein.
Grüße
meine güte, selbst einfachstes Rechnen klappt nicht?
Pacific Standard Time (PST) ist mit -9 Std angegeben. Die sind also 9 Std. hinter MESZ. 14:30 plus 9 Std ergibt? s. Stefan 13:29…
(pm = post meridiem)
Mein Gott, jetzt pluster dich nicht so auf! Man kann sich ja mal verhauen. Oder ist dir so was noch nie passiert?
es plustert sich nur gar niemand auf, meine Wenigkeit gleich gar nicht. Wozu auch?!
Es wurde lediglich was falsches richtiggestellt. Wenn du bereits das nicht aushälst, ist das wohl allein dein Problem.
Bitte alle etwas runter kommen – es ist korrigiert – hätte man neutraler formulieren können – und gut ist. Ich weiß, es ist warm heute – also alle wieder hinlegen – danke für euer Verständnis.
Ich muss mal – denn ich habe unten was eingestellt.
Es ist seit Jahren bekannt, dass E.Mails unsicher sind, auch sog. signierte E-Mails. Ich wäre wirklich erfreut, wenn man sich diesen Thema sachlich widmen könnte und das nicht wieder verpufft!
Das vor allem vor dem Hintergrund, dass der E-Mail-Kontakt als das sicherste angesehen wird. Dem ist nicht so. Vom Abfangen und Mitlesen mal außer Acht gelassen.
DANKE.
und ich dachte das wäre ein Live-Stream? Wenn der schon läuft müsste man doch wenigstens jetzt was sehen oder?
Um 23.30 unserer Zeit geht der Vortrag los.
Ist es nicht schon lange bekannt, dass der "sichtbare" E-Mail-Absender nicht der tatsächliche Absender sein muss?
Insbesondere bei Viren- und Phishing-Angriff etc per E-mail sind diese so gestrickt. Ich kann da einiges berichten.
Die von den Sicherheitsforschern bereitgestellten Dokumente finde ich sehr aufschlussreich.
Der Witz ist, dass man mir das in der Firma nicht glaubt, wenn ich den Leuten sage, dass man so etwas sehr leicht fälschen kann.
(Denn ich muss den Leuten auf Nachfrage mitteilen, dass ich das nicht kann… Was die dann für einen Beweis halten, dass es wohl nicht so einfach ist.)
Danke für den Hinweis auf die Dokumente.