Wie "Subscription Bombing" Sicherheitswarnungen verdeckt
Cyberkriminelle machen sich derzeit automatische Bestätigungs-E-Mails als Ablenkungsmanöver zunutze. Das sogenannte "Subscription Bombing" lenkt von einer E-Mail ab, die den Zugriff auf ein Konto des Opfers bestätigt. Diese kritische E-Mail geht dabei in der Flut unter.
Das Bundesamt für Cybersicherheit (BACS) warnt vor einem Phänomen namens "Subscription Bombing", bei dem Cyberkriminelle massenhaft Bestätigungs-E-Mails auslösen. Hunderte bis Tausende E-Mails sollen eine Sicherheitswarnung oder die Login-Bestätigung für das Konto des Opfers überdecken.
Die vielen E-Mails kommen laut BACS von legitimen Servern auf der ganzen Welt. Klassische Blacklists und Spamfilter greifen deshalb nicht. Um die E-Mail-Flut auszulösen, bedienen sich die Cyberkriminellen demnach an echten Webformularen seriöser Firmen. So umgehen die E-Mails Spamfilter, da diese E-Mail-Server korrekt mittels SPF (Sender Policy Framework) und DKIM (Domainkeys Identified Mail) konfiguriert sind. Eine harte Filterung zur Prävention solcher E-Mails würde auch erwünschte Systembenachrichtigungen blockieren.
Dämmungsmassnahmen gegen die Flut
Eine weitere Strategie für das "Bombing" funktioniere mit Fehlermeldungen, also mit "Non-Delivery Reports". Dabei fälschen die Angreifenden die E-Mail-Adresse des Opfers als Absenderin beziehungsweise Absender, wie das Bundesamt schreibt. Eine strikte DMARC-Policy (p=reject) für die eigene Domain soll hier weiterhelfen, kann jedoch den Identitätsmissbrauch nicht ganz vermeiden.
An die E-Mail-Adressen kommen die Cyberkriminellen laut Mitteilung oft durch automatisiertes Scraping von Firmenwebsites. Das BACS empfiehlt daher, keine E-Mail-Adressen im Klartext auf Websites zu veröffentlichen. Als Schutzmassnahme bei Kontaktformularen können Captchas Bots ausfiltern. Als weitere Möglichkeit nennt das BACS eine Verschleierung durch Quellcode mittels Javascript oder Obfuskation.
Wer von einer E-Mail-Flut getroffen wird, soll nicht sofort alle E-Mails löschen, rät das BACS weiter. Mit einer Stichwortsuche soll man nach Wörtern wie "Passwort", "Bestellung" oder "Sicherheit" suchen, um die kaschierte Warnung ausfindig zu machen. Zudem empfiehlt das Bundesamt, die wichtigsten Konten (E-Banking oder Kreditkarten) auf verdächtige Aktivitäten zu überprüfen und gegebenenfalls Passwörter zu ändern oder Anbieter zu kontaktieren.
Auch Website-Betreiber können dem Missbrauch ihrer eigenen Website vorbeugen. So liessen sich Webformulare (Newsletter-Anmeldungen, Kontaktformulare) durch "reCAPTCHA" oder "hCaptcha" schützen oder die Anzahl von Anmeldungen oder Kontaktaufnahmen pro IP-Adresse und Zeitspanne begrenzen. Bestätigungs-E-Mails sollen zudem erst nach der erfolgreichen Captcha-Abfrage versendet werden.
Übrigens: Die Kantonspolizei warnte unlängst vor gefälschten Sicherheitswarnungen von Microsoft 365. Lesen Sie hier mehr über die Phishing-E-Mails.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Unkontrollierte KI-Agenten werden zum Geschäftsrisiko
Sichere Netzwerke – das Fundament für das KI-Zeitalter
Bechtle bündelt drei seiner Schweizer Gesellschaften
Wie ein harmloser Flirt zum Kartendatendiebstahl führt
Schweizer Unternehmen erzielen mit KI noch kaum Umsatzwachstum
Biber baut Damm aus Plüschtieren
SwissICT sucht neuen Geschäftsführer
Unternehmensportrait und Statement
IT-Sektor beflügelt Schweizer KMU-Übernahmen
