Unsere Partner
Schutz gegen E-Mail-Betrugsmasche Dienstag, 02 Oktober 2018 10:30 Foto: Institut für Systemsicherheit/TU Braunschweig

Schutz gegen E-Mail-Betrugsmasche

Ein Team aus Forschern des Instituts für System­sicherheit an der TU Braunschweig, Mitarbeitern der Genua GmbH und Kollegen der Friedrich-Alexander-Universität Erlangen-­Nürnburg hat einen vielsprechenden Ansatz zur Erkennung von Spear-Phishing entwickelt. Beim Spear-Phishing handelt es sich um eine Infiltrationsmethode, die mit manipulierten E-Mails auf einzelne Personen abzielt. Während herkömmliche Phishing-Mails für aufmerksame Empfänger als Betrugsversuch erkennbar sind, können bei Spear-Phishing-Mails selbst geübte Nutzer kaum ihre Authentizität feststellen.

Die nun entwickelte lokale, empfängerseitige und datenschutzfreundliche Methode basiert auf Verfahren des maschinellen Lernens. »Unsere Methode kann gefälschte E-Mails mit einer Erkennungsrate von 90 Prozent ermitteln. Dafür identifizieren wir Unregelmäßigkeiten in der Struktur von E-Mails, die ohne besonderes Hintergrundwissen des Angreifers nicht gefälscht werden können«, sagt Professor ­Konrad Rieck vom Institut für Systemsicherheit an der TU Braunschweig.

E-Mail-Kommunikation ist ein bevorzugtes Einfallstor für Angreifer, um sich Zugang zu Organisationen und Unternehmen zu verschaffen, Informationen auszuspionieren oder Schadsoftware zu platzieren. Ein grundsätzliches Problem in der E-Mail-Kommunikation ist das Mail-Spoofing, also die Manipulation von Daten im E-Mail-Header. Hierbei orientiert sich der Angreifer an persönlichen Daten des Empfängers und passt sich an sein Verhalten an. Der Angreifer formuliert und gestaltet seine E-Mail maßgeschneidert, so dass er dem Empfänger größtmögliche Authenzität vortäuscht. Der Absender ist eine vertrauenswürdige Quelle. Die Bedrohung ist somit nicht mehr erkennbar, der Nutzer akzeptiert die E-Mail als legitim.

Allgemeine Anti-Spoofing-Methoden wie das Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain Message Authentication Reporting & Conformance (DMARC) können bei der Validierung des Absenders helfen. Auch digitale Unterschriften wie PGP und S/MIME erlauben es, den Absender zu verifizieren. Leider werden diese Sicherheitsmaßnahmen selten in der Praxis angewendet. In der Stichprobe zur Evaluierung der Braunschweiger Detektionsmethode mit rund 700 000 anonymisierten Mails verfügten weniger als 5 Prozent über Schutzmaßnahmen wie DKIM.

Da es sich bei Spear-Phishing also um E-Mails mit kompromittiertem Inhalt handelt, suchten die Wissenschaftler nach einer Analyse­methode, die nicht auf den Inhalt der Nachrichten zurückgreift. »Wir müssen also zwischen den Zeilen lesen«, so Professor Rieck. Der Sender hinterlässt meist über lange Zeit konsistente, individuelle Merkmale in der Struktur seiner versandten E-Mails. Auch wenn der Angreifer die Authentizität von E-Mails nachstellen kann, stellt ihn das Nachahmen der internen Mail-Struktur vor große Herausforderungen. Alle Unregelmäßigkeiten in der E-Mail-Struktur können demnach wertvolle Hinweise auf eine Manipulation geben. Um diese Unregelmäßigkeiten zu erfassen, haben die Forscher Gruppen von Merkmalen der E-Mail-Struktur identifiziert, die E-Mails beliebig vieler Absender charakterisieren, die im Empfängerpostkasten ankommen. Um festzustellen, welche E-Mail verdächtig ist, werden mit Hilfe des maschinellen Lernens Absenderprofile erstellt. E-Mails werden als »spoofed« klassifiziert, wenn es zwischen Absender und dem Profil beziehungsweise den Merkmalsvektoren Diskrepanzen gibt.

Bild oben: Abbildung eines E-Mail-Headers mit Strukturdaten.

geschrieben von  wo
Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Ok