In der Welt der E-Mail-Sicherheit ist nichts narrensicher – vor allem, wenn Fehlkonfigurationen Angriffen Tür und Tor öffnen. Kürzlich hat die nordkoreanische Cybercrime-Gruppe Kimsuky gezeigt, wie gefährlich diese Schwachstellen sein können, indem sie schlecht konfigurierte DMARC-Richtlinien (Domain-based Message Authentication, Reporting & Conformance – Bereichsbezogene Nachrichtenauthentifizierung, Berichterstattung und Konformität) für Spear Phishing-Kampagnen nutzte. Dies ist nicht nur ein geopolitisches Problem, sondern auch eine Erinnerung daran, dass Sicherheitslücken in E-Mails, wie klein sie auch sein mögen, von jedem mit bösartigen Absichten ausgenutzt werden können.
Was ist passiert?
Kimsuky ist eine APT-Gruppe (Advanced Persistent Threat – fortgeschrittene anhaltende Bedrohung), die dem nordkoreanischen Reconnaissance General Bureau untersteht. Dieser Bedrohungsakteur hat es auf Experten in Thinktanks, Medien und der Wissenschaft abgesehen, um Informationen zu sammeln. Ihre Strategie? Spoofing legitimer Domains durch Umgehung schwacher oder falsch konfigurierter DMARC-Protokolle. Das FBI und die NSA warnten gemeinsam vor diesen Kampagnen, die darauf abzielen, sensible Daten zu extrahieren, insbesondere über Außenpolitik und Nuklearfragen.
Warum DMARC wichtig ist
DMARC soll vor solchen E-Mail-basierten Angriffen schützen. Es funktioniert, indem die Echtheit von E-Mails mithilfe von SPF- (Sender Policy Framework) und DKIM-Prüfungen (DomainKeys Identified Mail) überprüft wird. Wenn eine E-Mail diese Prüfungen nicht besteht, teilt DMARC dem E-Mail-Server mit, was als Nächstes zu tun ist: entweder die E-Mail wird unter Quarantäne gestellt, abgelehnt oder auf der Grundlage der festgelegten Richtlinie weitergeleitet.
Beispiel eines E-Mail-Angriffs von Kimsuki (Quelle: Gemeinsame Cybersecurity-Warnung)
Leider kann DMARC seine Aufgabe nur erfüllen, wenn es korrekt konfiguriert ist. Viele Unternehmen setzen schwache oder unvollständige DMARC-Richtlinien um, wodurch bösartige E-Mails nicht blockiert werden. Im Fall von Kimsuky nutzten die Angreifer echt wirkende, gefälschte E-Mails, die die ersten Prüfungen bestanden, aber DMARC war nicht dafür konfiguriert, diese Versuche zu filtern oder zu blockieren. Das Ergebnis? Bösartige E-Mails landen direkt im Posteingang.
Der Angriff in Aktion
So funktioniert es: Kimsuky beginnt mit einer E-Mail von einer scheinbar glaubwürdigen Quelle, wie einer Universität oder einem Forschungsinstitut. Die erste E-Mail mag harmlos erscheinen, da sie darauf ausgelegt ist, Vertrauen aufzubauen. Sobald dieses Vertrauen hergestellt ist, kommt eine zweite E-Mail mit einem bösartigen Anhang oder Link. In einigen Fällen gelingt es den Angreifern sogar, auf legitime E-Mail-Systeme zuzugreifen, was ihre Phishing-Versuche noch überzeugender macht.
Ein Beispiel? Eine Spear Phishing-E-Mail, in der eine Zielperson dazu eingeladen wird, bei einer Konferenz zur Nordkorea-Politik zu sprechen. Die E-Mail hat SPF- und DKIM-Prüfungen bestanden, da die Angreifer Zugriff auf das legitime System hatten. Aber DMARC war nicht richtig konfiguriert, so dass die E-Mail trotz einiger Warnsignale nicht blockiert wurde.
Fehlkonfigurationen sind häufig – und gefährlich
Das ist besonders beunruhigend, weil DMARC-Fehlkonfigurationen häufiger vorkommen, als man denkt. Viele Unternehmen aktualisieren oder überwachen ihre DMARC-Einstellungen nicht regelmäßig. Manche haben noch nicht einmal eine Überwachung, so dass sie für Angriffe weit offen sind. Selbst wenn sie eine haben, handelt es sich viel zu häufig um eine reine Überwachung (die Bedrohungen protokolliert, ohne Maßnahmen zu ergreifen). Dies gibt Unternehmen ein falsches Gefühl der Sicherheit und lässt bösartige E-Mails unbemerkt durch.
Wie man sich dagegen verteidigt
Sie benötigen eine mehrschichtige Verteidigungsstrategie. Hier sind drei wichtige Schritte, die Sie unternehmen sollten:
- Stellen Sie Ihr DMARC richtig ein: Stellen Sie Ihre DMARC-Richtlinie so ein, dass E-Mails, die SPF- und DKIM-Prüfungen nicht bestehen, unter Quarantäne gestellt oder zurückgewiesen werden. Eine reine Überwachung mag wie ein sicherer erster Schritt erscheinen, aber wenn Sie nichts unternehmen, sind Sie immer noch gefährdet.
- Investieren Sie in KI-gesteuerte Lösungen: E-Mail-Bedrohungen werden immer raffinierter, und DMARC allein reicht möglicherweise nicht mehr aus. Die KI-gestützten E-Mail-Schutzlösungen von Barracuda können beispielsweise ungewöhnliche E-Mail-Muster und verdächtiges Verhalten erkennen, selbst wenn sie herkömmliche Prüfungen zu bestehen scheinen.
- Schulen Sie Ihr Team: Der Mensch ist oft das schwächste Glied in der Sicherheitskette. Regelmäßige Phishing-Simulationen und Schulungen können das Risiko, dass jemand auf eine bösartige E-Mail klickt, erheblich verringern. Barracuda Phishing and Impersonation Protection kann Ihren Mitarbeitern helfen, Warnzeichen zu erkennen, bevor es zu spät ist.
Das Fazit
Cyberspionage-Gruppen wie Kimsuky sind ständig auf der Suche nach Möglichkeiten, Schwachstellen in der E-Mail-Sicherheit auszunutzen. DMARC-Fehlkonfigurationen bieten einen einfachen Einstieg. Aber mit den richtigen Tools, Konfigurationen und Schulungen können Sie diese Lücken schließen und die Sicherheit Ihres Unternehmens gewährleisten. Ganz gleich, ob Sie sich Sorgen um nationalstaatliche Akteure oder gewöhnliche Cyberkriminelle machen, die richtige E-Mail-Sicherheit ist nicht verhandelbar. Und für Unternehmen wie Ihres ist jede Sicherheitsebene wichtig.
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.
