Mehrheit der Schweizer Domains ist anfällig für Phishing

57 Prozent aller Schweizer Domains sind anfällig auf Phishing-Attacken, weil sie keinen oder einen falschen SPF-Eintrag haben. Dies geht aus einer Analyse des Aargauer IT-Sicherheitsdienstleisters Codepurple hervor. Im Februar 2022 untersuchte das Unternehmen 2'417'079 Domains mit der Endung ".ch" und ".li".

Fazit: Verfahren zur Sender-Authentifizierung wie SPF sind in den meisten Fällen entweder nicht vorhanden oder nicht richtig konfiguriert – obwohl sie das Potenzial für einen guten Schutz hätten, wie es in den Ergebnissen der Analyse (PDF) heisst.

SPF, DKIM und DMARC

SPF steht für Sender Policy Framework. Mit dem entsprechenden Verfahren lässt sich feststellen, ob ein Mail-Server dazu berechtigt ist, E-Mails mit einer bestimmten Absenderadresse zu verschicken. SPF soll dazu beitragen, die Accounts der User vor Spam, E-Mail-Betrug und -Spoofing (Mails mit gefälschten Absenderadressen) zu schützen.

Zwei weitere Verfahren sollen ebenfalls zur E-Mail-Sicherheit beitragen: Auch DKIM (DomainKeys Identified Mail) soll die Echtheit eines Absenders überprüfen. DMARC (Domain-based Message Authentication, Reporting, and Conformance) baut hingegen auf den beiden erstgenannten Verfahren auf und überprüft, ob die Adresse im "From-Header" auch tatsächlich der Absender der Nachricht ist. DMARC regelt zudem das Vorgehen, wenn die SPF- oder DKIM-Validierungen fehlschlagen.

Simple Verfahren am ehesten verbreitet

Nicht einmal die Hälfte aller Schweizer Domains nutzen eine der genannten Technologien, wie aus der Analyse von Codepurple hervorgeht. Das könne an fehlendem Wissen oder am Komplexitätsgrad der Technologien liegen, heisst es im Ergebnisbericht.

Einfachere Technologien wie SPF seien häufiger im Einsatz. 43 Prozent der untersuchten Domains haben einen SPF-Eintrag. Davon sind allerdings 1 Prozent fehlerhaft und 14 Prozent unsicher eingestellt.

(Source: codepurple)

Unsicher heisst, dass beispielsweise ein Eintrag mit „+all“ oder „?all“ besteht – was es allen IP-Adressen ermöglicht, eine E-Mail im Namen der Domain zu versenden. Unter anderem habe man dies bei Domains von Gerichten, Anwaltskanzleien und Gemeinden festgestellt, heisst es in den Ergebnissen. Die entsprechenden Firmen und Institutionen habe man im Vorfeld der Publikation der Ergebnisse informiert, teilt Codepurple mit.

DMARC kommt noch seltener zum Einsatz. Nur 12 Prozent der untersuchten Domains haben einen einsprechenden Eintrag, davon ist 1 Prozent fehlerhaft.

(Source: codepurple)

Angriffsvektor über IP-Adressen von Cloud-Providern

27 Prozent der SPF-Einträge verweisen auf IP-Adressen von Cloudanbietern wie Google, Microsoft und Amazon Web Services, wobei oftmals alle IP-Adressen der Provider im SPF-Record gesetzt werden. Dies eröffnet laut Codepurple einen neuen Angriffsvektor. So könne ein Angreifer einen Server in der Cloud starten und prüfen, ob er eine IP-Adresse, die im SPF-Record steht, zugewiesen bekommen hat. Dies lässt sich automatisiert so lange wiederholen, bis eine passende IP-Adresse zugewiesen wurde.

Laut Codepurple lohnt es sich deswegen, nur die spezifische, vom Server verwendete IP-Adresse im SPF-Record einzutragen – auch wenn dies zu einem höheren Aufwand in der Verwaltung der SPF-Records führt.

Wie Phishing funktioniert und wie man Phishing-Versuche (fast) immer erkennt, erfahren Sie in der Checkliste für schnelle Antworten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.