Die Mail-Security-Experten von NoSpamProxy warnen vor einer akuten Bedrohung durch gefälschte Mails im Look der Sparkasse, die von Laien kaum als solche zu erkennen sind. Abhilfe schafft nur eine konsequente Nutzung von Standards zur Absenderreputation.
Good Stuff Happens in 1:1 Meetings: Why you need them and how to do them well
Erneut Malware-Welle im Sparkassen-Look
1. Seite 1
SECURITY ALERT / PRESSEMITTEILUNG
Erneut Malware-Welle im Sparkassen-Look
Die Mail-Security-Experten von NoSpamProxy warnen vor einer akuten Bedrohung durch
gefälschte Mails im Look der Sparkasse, die von Laien kaum als solche zu erkennen sind.
Paderborn, 20. April 2017 – Das Research-Team von Net at Work GmbH, dem Hersteller der modularen
Secure-Mail-Gateway-Lösung NoSpamProxy, habt eine besonders perfide Form eines Phishing- bzw. Malware-
Angriffs entdeckt. Aktuell finden viele Nutzer eine täuschend echt wirkende Mail in ihrem Postfach, die vorgibt,
vom Sparkassen-Finanzportal zu stammen und augenscheinlich von der Domain sparkasse.de versendet wurde.
Die Mail ist professionell gemacht und nennt sowohl Vor- und Nachnamen in der Anrede (Abbildung 1). Einzig
eine ungewöhnliche Firmenbezeichnung („Sparkasse AG“) und der über den Google-URL-Shortener gekürzte
Link können beim geübten Nutzer Verdacht aufkommen lassen. Um diesen jedoch zu bestätigen, muss man tief
in den Mail-Header eintauchen – ein Detailwissen, über das nur Experten verfügen dürften. In den
Headerinformationen der Mail erkennt der Fachmann eine Warnung auf den SPF-Softfail, der moniert, dass die
Mail in Wirklichkeit nicht von der Domain sparkasse.de versendet wurde (Abbildung 2).
Leider wird diese Warnung in vielen Fällen von der Mail-Security-Infrastruktur nicht erkannt oder
ernstgenommen. So wird die Mail beispielsweise von Microsoft-Office 365 mit Hosting in der deutschen Cloud
klaglos zugestellt. Für einen normalen Nutzer ist dieser Betrugsversuch nicht oder nur sehr schwer zu
erkennen. Klickt er auf den Link, der auf eine erst am Tag des Versands registrierte .us-Domain führt, kann der
Rechner mit Schadcode, wie z.B. einem Keylogger oder einem Verschlüsselungs-Trojaner infiziert werden. Zum
Zeitpunkt der Untersuchung, rund 10 Stunden nach Registrierung der Domain und 3 Stunden nach Empfang der
Mail war noch kein Schadcode hinterlegt, aber dies kann jederzeit erfolgen. Hier liegt auch ein Schwachpunkt in
der Abwehr: keiner der bekannten Scanner hätte die E-Mail zum Zeitpunkt des Versands beanstandet, weil sie
zu diesem Zeitpunkt noch nicht mit Schadsoftware versehen war. Die Prüfung der Absenderreputation greift
dagegen grundsätzlich sofort, da er nicht von Samples und Analysezeiten abhängig ist.
Dieses Problem wäre durch Nutzung der Absenderreputation einfach vermeidbar
Nach Ansicht der Mail-Security-Experten aus Paderborn ist besonders ärgerlich, dass es wirksame Mittel zur
Unterbindung derartiger Attacken bereits gibt, die aber unzureichend genutzt werden. Mit den aktuellen
Standards zur Absenderreputation kann diese Angriffsform sicher erkannt und abgewehrt werden. Dazu sind
jedoch zwei wesentliche Voraussetzungen erforderlich: Erstens sollten alle Unternehmen und Organisationen
die verfügbaren Standards zur Absenderreputation nutzen. So hat die Sparkassen-Organisation für die Domain
sparkasse.de keinen DMARC Record konfiguriert. Wäre dies geschehen, hätte sie zumindest frühzeitig Reports
über den Missbrauch ihrer Domain erhalten und proaktiv informieren können. Zweitens sollten alle Mail-
Security-Lösungen die Daten zur Absenderreputation konsequent auswerten und Mails mit Auffälligkeiten in
diesem Bereich blocken oder zumindest deutlich als gefährlich kennzeichnen.
Das diese funktioniert, können die Experten von Net at Work am eigenen Unternehmen deutlich machen. Auch
Mitarbeiter in der Buchhaltung von Net at Work sollten diese Mail erhalten. Die neuste Version von
NoSpamProxy hat die Auffälligkeit über das Senderreputationssystem sicher erkannt und die Mail abgelehnt
(Abbildung 3).
„Dieser aktuelle Fall zeigt wieder, dass die Angreifer immer bessere Methoden entwickeln, ihre Angriffe zu
verschleiern“, sagt Stefan Cink, E-Mail-Sicherheitsexperte bei Net at Work. „Diese Form des Angriffs lässt sich
mit einer konsequenten Nutzung der Absenderreputationsstandards abwehren. Jetzt sind alle Unternehmen und