Jeder E-Mail-Nutzer hatte sie schon in seinem Postfach: Nachrichten mit dem Absender „Mailer-Daemon“, die über nicht zugestellte E-Mails informieren. Als Mailer-Daemon wird ein Programm bezeichnet, das für die Auslieferung von E-Mails verantwortlich ist. Schlägt diese fehl, sendet der Daemon eine entsprechende Fehlermeldung zurück. Der Absender im „Von“-Feld dieser Notifications folgt für gewöhnlich dem Muster mailer-daemon@servername.com.
Konkrete Handlungsanweisung setzt Empfänger unter Druck
So weit, so normal. Doch genau diese alltäglichen Nachrichten machen sich aktuell vermehrt Betrüger zunutze, wie die Security-Experten von Retarus herausgefunden haben. Hinsichtlich Aufbau, Absender und Betreff ähneln diese E-Mails dabei sehr stark den üblichen Unzustellbarkeitsnachrichten („Message Undeliverable“). Der Nachrichtentext selbst hingegen baut, wie bei derartigen Phishing-Mails üblich, konkreten Handlungsdruck auf. Der Empfänger wird darauf hingewiesen, dass eine bestimmte Anzahl seiner E-Mails nicht verschickt werden konnten. Er müsse aktiv werden, um das Problem zu beheben. Der enthaltene Link, über den sich die „festhängenden“ Nachrichten vermeintlich anzeigen lassen, soll den Empfänger gezielt neugierig machen. Selbstredend verbirgt sich hinter dem Link nicht etwa ein E-Mail-Ordner, sondern eine Phishing-Seite mit betrügerischen Absichten.
Echte E-Mail-Adresse des Empfängers und Bezug auf Microsoft sollen Seriosität vortäuschen
Besonders perfide an den derzeit verstärkt auftretenden E-Mails: Der Text nimmt konkret Bezug auf Microsoft-Systeme als Absender und nennt die korrekte E-Mailadresse des potenziellen Opfers erneut als Benutzernamen im Text der Nachricht. Die verlinkte URL greift die Adresse nochmals auf, um Authentizität zu suggerieren. Auch nutzt der Link TLS-Transportverschlüsselung, um durch das vorangestellte https:// eine nicht vorhandene Sicherheit vorzutäuschen.
E-Mail-Security-Lösungen helfen, Phishing-URLs zu blockieren
Retarus Email Security erkennt derartige Betrugsversuche mit gleich mehreren Methoden. Über die Time-of-Click-Protection werden in E-Mails enthaltene URLs standardmäßig umgeschrieben und zum jeweiligen Zeitpunkt des Klicks zunächst gegen kontinuierlich aktualisierte Phishing-Datenbanken geprüft. Erst wenn dieser Test erfolgreich war, erfolgt die Weiterleitung auf die Zielseite. Ist die URL als verdächtig eingestuft, erhält der Nutzer im Browser eine entsprechende Warnmeldung.
Mit der patentierten Patient Zero Detection erkennt Retarus verdächtige Nachrichten auch dann noch, wenn die darin verlinkten Webseiten erst nach der Zustellung als verdächtig bekannt geworden sind.
Regelmäßige Sensibilisierung der Nutzer bleibt unerlässlich
Da jedoch keine E-Mail Security Lösung Phishing-Angriffe zu 100 Prozent verhindern kann, ist für Unternehmen eine regelmäßige Sensibilisierung der Nutzer unerlässlich (Stichwort: „User Awareness“). Folgende Handlungsanweisungen haben sich dabei in Bezug auf Phishing-Versuche bewährt:
- Klicken Sie in verdächtigen E-Mails niemals auf Links (auch nicht auf Abmelde-Links, mit denen Sie lediglich die Existenz Ihrer E-Mailadresse bestätigen).
- Öffnen/laden Sie in verdächtigen E-Mails keine Anhänge (Malware).
- Antworten Sie nicht auf verdächtige E-Mails, leiten Sie die E-Mails nicht weiter.
- Geben Sie auf verdächtigen Webseiten niemals Benutzernamen, Passwörter oder andere persönliche Daten ein.
- Überprüfen Sie im Zweifel die Echtheit der E-Mail durch ein persönliches Gespräch/Telefonat mit dem vermeintlichen Absender. Im oben beschriebenen Fall der „Mailer-Daemon“-Nachricht oder ähnlicher Systembenachrichtigungen kontaktieren Sie den IT-Administrator/Support Ihres Arbeitgebers.
Um das Bewusstsein für betrügerische E-Mails regelmäßig zu schärfen, hat Retarus diese und weitere wertvolle Tipps in einem leicht verständlichen „Anti-Phishing-Guide“ zusammengestellt. Auf unserer Webseite können Sie den Ratgeber kostenlos in fünf Sprachen herunterladen und an Ihre Mitarbeiter verteilen.
