Gefahr bei signierten E-Mails
6. Mai 2019Letzte Woche wurde bekannt, dass Mailprogramme wie Mozilla Thunderbird oder Apple Mail unter bestimmten Bedingungen falsche Mail-Signaturen als richtig darstellen. Möglich wurde dies durch eine fehlende Definition in Bezug auf das Mailprogramm, die besagt, was zu tun ist, wenn in einer E-Mail die Signaturen sowohl in einem eContent als auch MIME-Teil gespeichert sind.
Ein potenzieller Angreifer konnte diese Lücke nun ausnutzen. Hierfür musste er nur die bereits signierte Mail eines Nutzers im CMS-Paket der Mail speichern und seinen unsignierten Text im MIME-Teil anhängen. Beide Nachrichten wurden somit als signiert und scheinbar vertrauenswürdig angezeigt. Bei dem anderen geläufigen Mail-Verschlüsselungsstandard OpenPGP konnten auf ähnliche Weise unsignierte Mails als vertrauenswürdig ausgegeben werden. Mailprogramme stellten hierbei Nachrichten als durchgehend signiert dar, obwohl nur Teile ihres Inhalts signiert waren.
Die Folgen können besonders für Unternehmen fatal sein, wenn Mitarbeiter bei signierten Mails davon ausgehen, Nachricht und Absender wären bekannt bzw. vertrauenswürdig. Ein Angreifer kann somit sein Opfer dazu bringen, einen schadhaften Anhang zu öffnen oder vertrauliche Daten preiszugeben. Um sich vor solchen Angriffen zu schützen, sollten Firmen das Bewusstsein für E-Mail-Betrug bei ihren Angestellten schärfen. Das heißt, dass jede Mail ungeachtet einer vorhandenen Signatur kritisch betrachtet wird. Aufforderungen, auf eine unbekannte Website zu gehen oder Inhalt herunterzuladen, müssen mit äußerster Vorsicht betrachtet werden. Makros sollten in Dokumenten standardmäßig deaktiviert und ihre Ausführung nur dann gestattet sein, wenn die Authentizität der Nachricht vollständig gewiss ist.
Doch es ist davon auszugehen, dass auch dem aufmerksamsten und vorsichtigsten Mitarbeiter kann und wird später ein Fehler unterlaufen und er fällt auf eine Betrugsmasche herein. Unternehmen sollten deshalb in eine Lösung investieren, die potenziell gefährliche Inhalte aus Mails und deren Anhängen herausfiltert. Dies geschieht automatisch und ohne dass der Mitarbeiter aktiv eingreifen muss. Darüber hinaus sollte der Netzwerkverkehr durchgehend auf verdächtige Leistungsspitzen und Verbindungen hin untersucht werden. Vorfälle wie diese werden in Zukunft nicht weniger, im Gegenteil. Unternehmen, die über die richtige Strategie in puncto E-Mail-Sicherheit verfügen, sind gegen solche und ähnliche Angriffe allerdings bestmöglich gewappnet.
Michael Kretschmer, Managing Director DACH bei Clearswift