Phishen muss ein äusserst lukratives Hobby sein. Und es scheint auch genügend Schnellleser zu geben, die jede Mail gleich sofort engagiert und fröhlich beantworten, auf jede Aufforderung hin gleich ihre Passwörter eingeben und dem Herrn aus Lagos oder Wladiwostok freiwillig ihre ganzen Zugangsdaten zur Verfügung stellen.

Sie tönen beispielsweise so, die E-Mails von einer Bank (bei der man meist gar kein Konto unterhält): «Sehr geehrter Kunde, Kürzlich zeigen unsere Aufzeichnungen, dass Ihr UBS-Konto möglich durch einen Dritten unbefugten Zutritt. Die Sicherheit Ihres Kontos ist unser wichtigstes Anliegen, deshalb haben wir beschlossen, den Zugang zu Ihrem Konto vorübergehend zu begrenzen. Für den vollen Zugang zu Ihrem Konto, Sie müssen Ihre Daten wiederherstellen und bestätigen Sie Ihr Konto über diesen Link: Hier klicken. Sobald Ihre Angaben überprüft und bestätigt, erhalten Sie Nachricht von uns erhalten und wird Ihr Konto komplett zugreifen wiederhergestellt. Wir danken Ihnen für Ihre Kooperation.»

Phishernetze auslegen!
Wo ein Phisher ist, sollte auch ein Phishereiaufseher sein. Beziehungsweise ein Mechanismus, der es den bösen Buben schon mal gar nicht erlaubt, ihre Mails an den Mann und die Frau zu bringen. Eines der vielen Zauberwörter heisst DMARC, Domain-based Message Authentication, Reporting and Conformance.

Phisherman’s Enemy
shadow

DMARC, SPF, DKIM
Diese Abkürzungen allein tönen schon wie ein ziemlich sicheres Passwort … Dabei ist es ganz einfach: SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) sind E-Mail-Authentifizierungsmethoden, die notwendig sind, um DMARC zu nutzen. Sie sind dafür da, sicherzustellen, dass Mailbox-Provider und andere Empfänger von E-Mails den Absender einer eingehenden Nachricht als diesen erkennen können.
Als Erstes SPF. Und darum geht es: Empfängt der Server eines Mailbox-Providers z. B. eine E-Mail des Absenders «support@ubs.com» von einem Server mit der IP-Adresse «213.321.50.1», checkt SPF die Domain «ubs.com» danach ab, ob diese IP-Adresse von ihr zum Versenden von E-Mails autorisiert ist. Wird der Check bestanden, wird die Mail entgegengenommen – und bei Nicht-bestehen wandert sie in die Spamsammlung.
DKIM ist ebenfalls ein Authentifizierungs-Tool. Die E-Mail wird mit einer digitalen Signatur versehen. Der empfangende Server verifiziert sie anhand des öffentlichen Schlüssels, der im Domain Name System (DNS) der Domain verfügbar ist. Schlägt dies fehl, verweigert der empfangende Mail Transfer Agent (MTA) oder das empfangende Anwendungsprogramm die Annahme der E-Mail – oder er schickt sie ab ins Spam-Körbchen.

Authentifizierungssysteme sind keine Spamfilter
DMARC bzw. SPF und DKIM legen fest, wie der E-Mail-Empfänger die Authentifizierung durchführt. SPF beschreibt vor allem, wer eine E-Mail versenden darf, und DKIM kontrolliert, ob diese Mail unverändert vom Absender stammt. Nach der DMARC-Spezifikation kann der Absender zusätzlich festlegen, wie der Empfänger mit einer Mail umgeht, die den Check durch SPF und/oder DKIM nicht geschafft hat.
Diese Authentifizierungsmechanismen dienen also nicht primär dazu, Spam zu filtern, sondern sie begrenzen die Möglichkeit, Absenderadressen zu verschleiern. Zudem zertifizieren die Versender damit ihre Mails als Originale. Fehlt diese Zertifizierung, weiss der Empfänger: Hier ist ein Fälscher, Spammer oder Phisher am Werk. Das Netz gegen Spam und Phishing-Mails ist also ausgelegt. Trotzdem schaffen es immer noch einige ungebetene Mails, sich durch die Maschen zu mogeln. Spamfilter – es gibt verschiedene Kontrollmethoden, die laufend verbessert werden – leisten den Rest: Sie analysieren vor allem die Inhalte und sondern viagrahaltige und ähnliche E-Mails aus.

Mehr und Praktisches zu SPF
Mehr und Praktisches zu DKIM
Mehr und Praktisches zu DMARC

Phisherman’s Enemy

Sandro Bertschinger

Er fand Computer relative lange nicht so spannend. Ein Amiga 500 als "Game-Machine" war der Höhepunkt. Als das Internet aufkam und man entsprechend "coole" Webseiten machen konnte, kam das Thema Computer schon eher in den Mittelpunkt. Per Zufall kreuzte dann 2001 eine Internetfirma seinen Weg.

0