DMARC („Domain-based Message Authentication, Reporting and Conformance“) wurde 2012 von großen E-Mail-Anbietern entwickelt und ist ein Protokoll, das Hacker daran hindert, die E-Mail-Adresse einer Person zu missbrauchen. Es wirkt sich genauer gesagt auf den Domainnamen einer Organisation aus.
Das DMARC-System identifiziert Phishing-E-Mails oder Nachrichten, die von einer Person versendet werden, die den Domainnamen einer Organisation unrechtmäßig verwendet. Es authentifiziert E-Mails. Mit DMARC wird der Absender, der Eigentümer der Domain ist, über den Erfolg oder Misserfolg der Authentifizierung einer E-Mail informiert. So kann er Maßnahmen ergreifen, wenn seine Domain von einem unbefugten Dritten missbraucht wird.
Dieses Protokoll ermöglicht es somit, den Missbrauch von Spam- und Phishing-E-Mails einzudämmen. Dies gilt insbesondere für eine bestimmte Art von Phishing-Betrug: die Domain-Namensmissbrauch. Durch die Implementierung der DMARC-Lösung schützt jeder Absender seine Mitarbeiter, Kunden und Partner vor Cyberkriminellen, die E-Mails in ihrem Namen versenden.
Was ist ein Domainname?
Eine Internetadresse entspricht der Postanschrift einer Organisation im Internet. Sie ermöglicht es Kontakten und Kunden, eine Website im Internet zu finden. Ein Domainname ist integraler Bestandteil der Internetadresse, der sogenannten „URL” (Uniform Resource Locator, zu Deutsch „einheitlicher Ressourcenlokalisierer”). Er besteht aus einer Zeichenfolge und einer Erweiterung (.fr, .com, .org). In Frankreich ist die AFNIC der historische Verwalter der Domain .fr.
Beispielsweise in der Internetadresse „www.avantdecliquer.com” lautet hucency.com/ der Domainname.
Der Kauf und die Registrierung eines Domainnamens erfolgen bei einer Registrierungsstelle.
Um professioneller zu wirken, kann eine Organisation, die über eine Domain verfügt, E-Mail-Adressen in der Form „prenom.nom@nom-de-domaine.com“ erstellen. In unserem Beispiel wäre das: prenom.nom@avantdecliquer.com.
Was ist Phishing?
Phishing ist eine weit verbreitete Betrugsmethode per E-Mail. Hacker nutzen sie, um in das IT-System einer Organisation einzudringen, mit dem Ziel, persönliche und/oder berufliche Daten zu ergaunern.
Phishing und Spear-Phishing stehen weiterhin an der Spitze der häufigsten Cyberangriffe (Quellen: CESIN und Cybermalveillance.gouv.fr):
- Jeder dritte Nutzer öffnet eine Phishing-E-Mail.
- 79 % der französischen Unternehmen gaben an, Opfer von Phishing geworden zu sein.
Weltweit ist diese Art von Betrug die größte Bedrohung. Die finanziellen, organisatorischen und rufschädigenden Schäden können dramatisch sein.
Die Folgen eines Klicks auf einen beschädigten Link oder einen betrügerischen Anhang sind vielfältig: Datenerpressung, Malware (Viren, Ransomware usw.).
Spear Phishing oder Harpunieren besteht darin, die gleiche Art von Betrug zu begehen, indem ein bestimmtes Ziel ausgewählt wird.
Phishing und Domain-Spoofing
Das Versenden betrügerischer E-Mails unter dem Namen einer dritten Person wird zu einer gängigen Form von Cyberkriminalität. Für einen erfahrenen Hacker ist es ein Kinderspiel, den Absenderfeld „Von“ („from“) einer E-Mail zu fälschen. Dieser Betrug wird als „Cybersquatting“ bezeichnet. Dabei werden Domainnamen registriert, die mit den offiziellen Domainnamen der E-Mail-Absender identisch oder diesen ähnlich sind.
Das Ziel des Hackers ist es, die Rechte des Inhabers zu verletzen, um von dessen Identität zu profitieren oder ihm zu schaden.
Beispiele:
Im Juni 2020 wurde beispielsweise die FNAC Opfer einer Phishing-Kampagne, die darauf abzielte, ihre Identität zu missbrauchen. Das Unternehmen warnte seine Kunden vor der Gefahr von Phishing. Es erklärte, dass „diese E-Mails fiktive Bestellbestätigungen enthalten und das Corporate Design und das Logo unseres Unternehmens verwenden”.
Im April 2020 ermöglichte eine entdeckte große Sicherheitslücke in Gmail Hackern, die Identität jedes beliebigen Nutzers anzunehmen.
Oder auch das Beispiel von Vinci aus dem Jahr 2016, das Opfer eines Identitätsdiebstahls per E-Mail wurde, was zu einem Kurssturz an der Börse führte.
Wie bekämpft DMARC Phishing?
DMARC verbessert die Zustellbarkeit von E-Mails der Absender. Der Absender, der Eigentümer der Domain, kann nämlich verlangen, dass unrechtmäßige Nachrichten automatisch in den Ordner „Junk-Mails” (oder „Spam”) des E-Mail-Postfachs des Empfängers verschoben werden. Er kann auch eine direkte Ablehnung durch den Empfangsserver verlangen (direkte Löschung vom E-Mail-Server).
Dadurch werden Spam-Mails und insbesondere Phishing-E-Mails automatisch aus dem Posteingang der Benutzer aussortiert.
Wie funktioniert DMARC?
DMARC funktioniert durch die Kombination zweier weiterer Protokolle:
- SPF (Sender Policy Framework): Dieses Protokoll ermöglicht es einer Organisation, ihren digitalen Anbietern eine Liste der Server zu übermitteln, die zum Versenden von E-Mails mit ihrem Domainnamen berechtigt sind.
- DKIM (Domain Keys Identified Mail): Dieses Protokoll fügt E-Mails, die von einer Organisation versendet werden, systematisch eine digitale Signatur hinzu. Das Vorhandensein dieser DKIM-Signatur garantiert die Integrität der E-Mail während des Transports.
Diese beiden Protokolle ergänzen sich gegenseitig. Wenn eines davon nicht eingehalten wird, schlägt DMARC eine Maßnahme vor, die bei Verdacht auf einen Angriff zu ergreifen ist.
3 Protokolle (SPF, DKIM und DMARC) authentifizieren somit die Quelle einer E-Mail.
Ist DMARC die Lösung für Phishing ?
DMARC bietet einen leistungsstarken Schutz vor E-Mail-Spoofing, auch bekannt als „Business Email Compromise“.
Obwohl sehr effizient, ist seine Umsetzung für die meisten Organisationen jedoch recht komplex.
Darüber hinaus ist dies nicht die einzige Lösung für das Problem des Phishing, da sie nur gegen eine Art von Phishing wirkt: die Domain-Namensübernahme.
Wie jede Cybersicherheitslösung ist es die Kombination mit anderen technischen (Spamfilter, Firewall usw.) und organisatorischen Lösungen (Sensibilisierung für Cybersicherheit, Schulung der Benutzer zur Abwehr von Phishing-Angriffen), die sie zu einem zusätzlichen Trumpf im Kampf gegen Phishing macht.
