Bekämpfung von Phishing-Attacken

Um ein Unternehmen vor Phishing-Attacken zu schützen, braucht es ein Zweisäulenkonzept. Die erste Säule ist technischer Natur und umfasst Massnahmen, die dafür sorgen, dass ein Phishing-Mail frühzeitig erkannt wird und gar nicht bis zum Empfänger vordringen kann. Um diese Massnahmen geht es in diesem Artikel.

Die zweite Säule betrifft die Sensibilisierung der Mitarbeitenden bspw. anhand einer Awareness-Schulung zum Thema Phishing. Hierzu liefert unser Blog «Phishing als günstiges Einfallstor ins Firmennetz»mehr Informationen oder auch unsere Social-Engineering-Lösungsseite.

Technische Schutzmassnahmen − empfohlen auch von SWICO

Es gibt präventive Schutzmassnahmen, die für jedes Unternehmen zu empfehlen sind. In diesem Blogartikel gehen wir konkret auf jene ein, die ihre Firma gegen Phishing-Attacken sowie DNS-Angriffe (Domain Name System) besser schützen sollen. Unsere Massnahmen decken sich zum grossen Teil mit den von der SWICO im Februar 2022 lancierten Branchenempfehlung zur Bekämpfung von E-Mail-Phishing.Gemäss SWICO sind Schweizer Anbieter von E-Mail-Diensten die erste Anlaufstelle für Kunden im Zusammenhang mit Phishing. Anbieter können auf technischer Ebene bereits einen grossen Beitrag zur Erhöhung der Sicherheit leisten, sprechen Sie daher unbedingt auch mit Ihrem Provider.

DNS-Dienst

Domain Name System kurz DNS ist ein essentieller Bestandteil des Internets. Die Aufgabe dieses Dienstes ist es, Domainnamen auf die IP-Adressen aufzulösen. Mittlerweile gibt es für diesen älteren Dienst (Gründungsjahr 1983) gute Sicherheitserweiterungen, die Angriffe wie DNS-Cache-Poisoning bzw. DNS-Spoofing verhindern. Solche Angriffe können unter bestimmten Umständen Phishing-Attacken begünstigen.

Unversehrtheit und Echtheit der DNS-Daten

Eine gute Sicherheitserweiterung stellt Domain Name System Security Extensions kurz DNSSEC dar. Diese sorgt für die Authentizität und Integrität der Daten von DNS-Antworten. Die Vertraulichkeit der Daten wird dabei nicht berücksichtigt d. h. die DNS-Daten werden weiterhin unverschlüsselt übertragen. Um diese Problematik zu lösen gibt es einige Protokolle bzw. Mechanismen, die im Nachfolgenden aufgeführt sind.

Verschlüsselte Übertragung von DNS-Daten

Aus heutiger Sicht ist es nicht Best Practice die Daten bzw. Informationen unverschlüsselt zu übertragen, da ein Angreifer diese Informationen abfangen, mitlesen und entsprechend auswerten kann. Aus diesem Grund sollen DNS-Daten unbedingt verschlüsselt übertragen werden. Nachfolgende Protokolle bzw. standardisierte Mechanismen sorgen für Vertraulichkeit der DNS-Daten, darunter DNSCrypt, DNS-over-TLS (DoT) oder DNS-over-HTTPS (DoH). Diese etablieren eine verschlüsselte Übertragung der DNS-Anfragen und sorgen somit für mehr Sicherheit.

DANE: Mehr Sicherheit beim Zugriff auf Webseiten und verschlüsseltem Transport von E-Mails

DNS-based Authentication of Named Entities kurz DANE bietet über spezielle DNS-Einträge eine Hilfe für den Client (Browser, Mailsender, etc.), um die Authentizität des Servers genauer zu prüfen. DANE ermöglicht dem Browser ein Serverzertifikat unabhängig von einer CA zu prüfen. Stimmt die Attribute im Zertifikat nicht mit den über DANE publizierten Attributen überein, verweigert der Webbrowser die Verbindung zum Server. Ferner kann ein DANE Record dem sendenden Mailserver vorschreiben, dass die Mails lediglich über eine verschlüsselte Verbindung übermittelt werden. Diese Ergänzenden DNS-Einträge sorgen für mehr Sicherheit beim Zugriff auf Dienste und beim Transport von E-Mails. DANE setzt DNSSEC voraus.

Prüfung der Absenderreputation mit DMARC

terreActive empfiehlt DMARC, da damit legitime Domain-Namen nicht mehr für Phishing missbraucht werden können. Dies steigert wiederum die E-Mail-Sicherheit. Die Absenderreputation einer E-Mail kann mit Hilfe der Domain-based Message Authentication, Reporting and Conformance kurz DMARC überprüft werden. Diese Spezifikation baut auf Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) auf. Bei SPF werden in der Regel IP-Adressen sowie Domains eingetragen, die berechtigt sind im Namen der Domain-Halter Mails zu versenden. Dabei ist es essentiell die Konfiguration des SPF-Records korrekt vorzunehmen bspw. Fail vs. Softfail. Das Ziel von Sender Policy Framework ist es, gefälschte Absenderadressen zu entdecken und entsprechend darauf zu reagieren bspw. Mails von nicht autorisierten Sendern zu verwerfen.

Beim DKIM handelt es sich um eine digitale Signierung einer Mail. Dabei wird die Mail mit Signatur des Domain-Halters versehen. Anhand des öffentlichen Schlüssels im DNS des Senders nimmt der Mailserver des Empfängers eine Validierung der E-Mail vor. Somit wird die Echtheit des Absenders sichergestellt.

Weitere Schutzmassnahmen gegen Phishing-Angriffe

Filterung von E-Mails bspw. von nichtexistierenden Domain-Namen, E-Mails ohne Absendernamen.
DNS-basierte Blockliste bspw. Abusix, Spamhaus, Nixspam.
Ablehnung von E-Mails, die URLs enthalten, die gemäss Swiss Internet Security Alliance (SISA) Feed auf bekannte Phishing-Domains verweisen.

Zahlen und Fakten zu Phishing

Phishing-Attacken stehen beim NCSC an zweiter Stelle der Schadensmeldungen: In KW2/2022 gab es beispielsweise 558 Meldungen wegen Betrug und 167 wegen Phishing.
96 % der Phishing-Attacken erfolgten 2020 via Mail, 3 % via Websites und 1 % via Telefon
Eine Analyse von über 88 Millionen E-Mails zeigte auf, dass 1 von 99 E-Mails ein Phishing-Versuch ist.
95 % aller Netzwerk-Attacken sind die Folge eines gezielten Phishings
Ein Test unter 410’000 Teilnehmenden zeigte auf, dass über 50 % eine Phishing-E-Mail öffneten und über 32 % auf den verseuchten Link bzw. Anhang klickten.

Quellen: Swico,Swiss Cyber Institute,Tessian,NCSC

Zögern hilft nicht, reagieren dagegen schon!

Möchten Sie mehr über DMARC, SPF, DKIM, DNSSEC oder DANE erfahren? Wenn Sie Schutzmassnahmen in Ihrer Firma implementieren möchten und dazu eine Expertenmeinung benötigen, kontaktieren Sie uns.