Forscher vom IT-Sicherheitsunternehmen Sophos haben nach Absicherung von zuvor ausgenutzten Sicherheitslücken in Exchange-Servern, E-Mail-Angriffe auf Mitarbeiter einer Organisation beobachtet. Gesendet wurden die E-Mails mit einer der echten Mailserver-Adresse sehr ähnlichen Domain - auch Typo-Squatting-Domain genannt. Es handelt sich um sogenanntes Spear-Fishing, bei dem einzelne Personen in der Organisation gezielt angegriffen werden.

Durch Ausnutzung von Sicherheitslücken wie ProxyLogon sollen die Angreifer zunächst E-Mail-Verläufe vom Exchange-Server kopiert haben. Nach Absicherung des Servers sei von den Angreifern eine ähnliche Domain registriert und Angriffe auf Basis der kopierten Verläufe durchgeführt worden. Durch Hinzufügen weiterer Empfänger versuchten die Angreifer den Eindruck zu erwecken, es handele sich um einen befugten Mitarbeiter aus der Organisation. In den E-Mails seien Opfer zur Überweisung von Geldbeträgen gedrängt worden.

Der wichtigste Ansatzpunkt zur Vermeidung solcher Angriffe sei laut Sophos das Patchen von Sicherheitslücken im Exchange-Server. Zur Erkennung und gegebenenfalls auch zum Abfangen von E-Mails von Typo-Squatting-Domains empfiehlt Sophos die Absicherung der Maildomain mittels Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) oder Domain Message Authentication Reporting and Conformance (DMARC). Zudem sollten Mitarbeiter entsprechend geschult werden, um die Attacken zu erkennen.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE