Digitale Netzwerke und Technologien
Digitale Netzwerke und Technologien
webservice-schmitz
webservice-schmitz

Weshalb sind Phishing und Spoofing so gefährlich?

Welche Rolle spielen dabei DNS-Hijacking, DNSSEC, DMARC, SPF und DKIM?

 

Dokumentationen zu ungesicherten DNS-Einstellungen, IP-Fragementierung, MTU, Manipulation von Daten und Code-Injections, Router- und Netzwerksicherheit

Phishing und Spoofing:

 

Eine der ältesten Jagdtechniken der Menschheit ist das Fischen: Mit Ködern werden dabei Fische angelockt, um sie fangen zu können. Dabei können kleinere Fische als echte Köder eingesetzt werden, oder auch künstliche Köder, die wie echte Köder aussehen.

 

In der digitalen Welt stehen für das Fischen ähnliche Begriffe: Phishing und Spoofing. Allerdings geht es hier um das Ködern von Menschen…! Beim Phishing (Mailbetrug), Smishing (SMS-Betrug), Quishing (QR-Codebetrug), Vishing (Sprach- und Telefonbetrug), werden gefälschte Daten genutzt, um Empfänger zu betrügen.

 

Beim Spoofing kann es sich um legale Vorgänge handeln, soweit sich hier ein authentischer sachlicher Bezug ergibt, z.B. durch den von einer Webseite beauftragten und vom Besucher der Webseite genehmigten Versand von Newslettern per Mail.

 

Beim Phishing und Spoofing sind für eine Differenzierung und Cyberabwehr entscheidende Aspekte die Nachvollziehbarkeit, Plausibilität und technische Sicherheit der IT- und Kommunikationssysteme.

 

Fehlende digitale Kompetenz des Empfängers von Phishing- und Spoofingmails kann dabei genauso fatal sein wie fehlende oder falsche Sicherheitskonfigurationen von Webseiten, Domains und Mailsystemen. Für jeden Bürger bedeutet es daher: Aufbau digitaler Kompetenz und fortlaufende Überprüfung eigenen Wissens und Fortbildung. Weitere Informationen zur digitalen Bildung und Gesellschaft finden Sie hier.

Übersicht:

 

  1. Prüfen Sie Ihre Mail, Ihre Rufnummer, Ihr Login regelmäßig auf Missbrauch und Datenlecks
  2. Dokumentationen zu Datenlecks und Cyberangriffen im Zusammenhang u.a. zu Phishing, Webseitenangriffe, etc.:
  3. Beispiele zu Phishing in verschiedenen Formen und in Kombination verschiedener Technologien:
  4. Phishing erkennen
  5. Analyse von Mailheadern
  6. DNSSEC, DMARC, SPF, DKIM, DNS-Hijacking, Code-Injections, IP-Fragmentierung, MTU: Sicherheit in den DNS-Einstellungen von Mails, Domains und Webseiten, Router- und Netzwerksicherheit
  7. Gefährliche Irrtümer
  8. Konfigurations- und Sicherheitshinweise
  9. Informationen zu DNSSEC und warum dies so wichtig ist
  10. Analyse- und Prüftools zu DNSSEC, DMARC, SPF, DKIM
  11. Grundlagen zu DMARC
  12. IONOS – Tools zu Sicherheitsfunktionen und -prüfungen
  13. Tipps zur IT-Sicherheit
  14. Informationen zu Konfigurationen
  15. Dokumentationen von Cyberangriffen auf DNS-Einstellungen und Lieferketten

1. Prüfen Sie Ihre Mail, Ihre Rufnummer, Ihr Login regelmäßig auf Missbrauch und Datenlecks!

 

Es betrifft Ihre persönlichen Daten - Ihre "digitale und reale Identität", aber auch die Daten und die Kommunikation mit Ihrem sozialen und beruflichen Umfeld. Und es betrifft für Sie unbekannte Personen, Unternehmen, Einrichtungen, Institutionen, Vereine, Privatpersonen, die mit Ihren missbrauchten Daten angegriffen werden!

 

Die beiden bekannten Plattformen von https://haveibeenpwned.com/  und des Hasso-Plattner-Instituts https://hpi.de/projekte/hpi-identity-leak-checker-pruefen-sie-ihre-digitalen-identitaetsdaten.html verweisen bereits auf Milliarden betroffener Zugänge zu Mailkonten und Logins, die im Zuge u.a. von Angriffen auf Webseiten erbeutet wurden. Hier schließt sich auch der Kreis betreffend der Naivität im Umgang mit Passwörtern, wie auch dem unzureichenden Schutz von Webseiten und Logins. Werden Sicherheitslücken von Internetplattformen ausgenutzt, können auf einen Schlag hunderte Millionen Nutzer mit deren Mailadressen, Adressdaten, Rufnummern, etc. betroffen sein: https://haveibeenpwned.com/PwnedWebsites .

 

Rund 70 % der Internetnutzer nutzen ein Passwort für alle Zugänge. Sind zudem Domains und Mails nicht verifizierbar, spiegelt sich das eben auch in den häufigen Angriffsformen mit Phishing und Identitätsdiebstahl.

 

"...Laut dem Verizon Data Breach Investigations Report 2021 wurde bei den meisten Datenschutzverletzungen – 85 Prozent – ein menschliches Fehlverhalten durch Phishing oder ähnliches ausgenutzt. Die Nutzung sicherer Passwörter bleibt angesichts der zunehmenden Angriffe von entscheidender Bedeutung...

 

...Demnach wissen zwar 92 Prozent der Internetnutzer, dass die Verwendung desselben Passworts oder einer Abwandlung davon ein Risiko darstellt. Trotzdem verwenden 65 Prozent der Befragten ihre Passwörter für verschiedene Konten immer wieder und erhöhen dadurch die Risiken für ihre sensiblen Daten drastisch...!"

 

https://www.security-insider.de/unsichere-passwortpraktiken-trotz-erhoehter-nutzung-des-internets-a-1061013/

 

 

LastPass - Psychologie der Passwörter:

 

https://www.lastpass.com/de/resources/ebook/psychology-of-passwords-2021

 

 

Studie zur Psychologie der Passwörter:

 

https://www.lastpass.com//-/media/9fe0bf5dc473413b8ab4df3bd8688295.pdf

 

 

Hier empfehlen sich regelmäßige Prüfungen Ihrer Mail und ggf. Rufnummer, um Ihre IT-Sicherheit zu prüfen. Tatsache ist jedoch auch, dass mit jedem erfolgreichen Hackerangriff immer mehr Daten von uns allen Im Internet landen und damit Cyberrisiken und Angriffe unkalkulierbar steigen. Für immer mehr Menschen bedeutet dies auch: Ein Zustand permanenter Cyberangriffe und Identitätsdiebstahl.

 

Durch DNS-Hijacking können selbst verschlüsselte Webseiten gekapert und umgeleitet werden, wenn die DNS-Einstellungen der Domain nicht gesichert sind. Daraus leitet sich die Konsequenz ab, dass bei ungesicherten DNS-Einstellungen auch alle mit der Domain verbundenen Mails gefährdet sind bezüglich Identitätsdiebstahl und Missbrauch für Phishing.

 

Webseitenbetreiber und Domaininhaber sind daher u.a. nach DSGVO in der Pflicht und gefordert, für die Sicherheit von Domains und DNS-Einstellungen Sorge zu tragen. Davon hängt die Integrität, Authentifikation und Kommunikation über Webseiten und Mails ab und ist deshalb von zentraler Bedeutung! Gerade auch aufgrund des Fehlens von gesicherten DNS-Einträgen sind Manipulationen für Missbrauch mit Phishing, Identitätsdiebstahl und DNS-Hijacking so fatal: 75 % der Cyberangriffe mit Ransomware gehen zunächst mit Phishing einher! Hierzu gibt es auch eindeutige Maßgaben des BSI, der Allianz für Cybersicherheit, der ICANN und anderen für die IT-Sicherheit maßgeblichen Institutionen und Behörden. Ab Punkt 2. finden Sie hier weitere Informationen!

 

Ein grundsätzlicher Ansatz ist dabei bereits die korrekte und gesicherte technische Einrichtung von IT-Systemen mit DNSSEC, DMARC, SPF und DKIM, um die Sicherheit von Domains und davon abhängenden Mails zu verbessern gegenüber DNS-Hijacking, Phishing, Identitätsdiebstahl und damit Missbrauch von Mails zum Betrug.

2. Dokumentationen zu Datenlecks und Cyberangriffen im Zusammenhang u.a. zu Phishing, Webseitenangriffe, etc.:

 

 

"...14% der Bevölkerung Opfer von Cybercrime...

 

...Wie groß das Problem mit der Internetkriminalität ist, verdeutlicht nicht nur der erst kürzlich erschienene BSI Lagebericht 2022, sondern auch aus der aktuellen BKA-Studie "Sicherheit und Kriminalität in Deutschland" geht u.a. hervor, dass 14 Prozent der Bevölkerung ab 16 Jahren in den zwölf Monaten vor der Befragung Opfer von Cybercrime geworden sind. Dabei handele es sich in den meisten Fällen um Waren- oder Dienstleistungsbetrug oder den Missbrauch persönlicher Daten. Das ist die höchste Opferquote im Vergleich zu anderen Kriminalitätsfeldern...!"

 

Bericht des BSI zur Lage der IT-Sicherheit in Deutschland 2022:

 

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html

 

 

 

Mitteilung von Herrn Prof. Pohlmann - ECO-Vorstand:

 

"...Das Thema IT-Sicherheit ist dabei im Herbst 2022 brandaktuell, der Ukraine-Konflikt und wirtschaftlich motivierte Attacken mit Erpressungstrojanern (Ransomware) bedrohen kleine und große Unternehmen sowie Behörden in einem nie gekannten Maße.

 

Diesen Umstand sprach Prof. Norbert Pohlmann in seiner Begrüßung an. Der eco Vorstand für IT-Sicherheit betonte, die Notwendigkeit für einen engen persönlichen Austausch sei größer denn je: "IT-Systeme und Infrastrukturen sind nicht sicher genug konzipiert, aufgebaut, konfiguriert und upgedatet, um allen intelligenten Angriffen standzuhalten", gab er zu bedenken...!"

 

https://www.eco.de/news/it-sicherheit-fuer-eine-verschaerfte-bedrohungslage-das-waren-die-isd-2022/

 

 

„...Bedrohungslage übertrifft Schutzmaßnahmen / Personalmangel wird zum Sicherheitsrisiko

Wer bei einem Sicherheitsvorfall was zu tun hat und wofür verantwortlich ist, ist in den allermeisten Unternehmen klar definiert. Die Faktoren, die es den Mitarbeitenden erschweren, die Unternehmens-IT so gut wie möglich abzusichern und im Ernstfall so schnell und umfassend wie möglich reagieren zu können, sind andere...!“

https://www.itsicherheit-online.com/news/cybersecurity/bedrohungslage-uebertrifft-schutzmassnahmen/

 

 

„...Was Neurodiversität mit Cybersicherheit zu tun hat...

Für Gunnar Peterson, CISO bei Forter, sind Unternehmen leichter angreifbar, wenn sie es versäumen, in ihren Security-Teams neurodiverse Mitarbeiter zu beschäftigen und zu fördern. Für ihn ist Neurodiversität ein wichtiges, meist fehlendes Puzzelstück im Kampf gegen Cyberkriminelle...!“

 

https://www.itsicherheit-online.com/news/cybersecurity/kommentar-was-neurodiversitaet-mit-cybersicherheit-zu-tun-hat/

 

 

"Der Mensch ist und bleibt Angriffsziel Nr. 1...

 

...Um sicher reagieren und agieren zu können, braucht es aber auch ausgebildete und trainierte Mitarbeitende auf allen Ebenen, die richtige Einstellung und eine gesunde Fehlerkultur. Wenn was passiert, muss man schnell und zeitnah reagieren können...!"

 

https://www.eco.de/news/der-mensch-ist-und-bleibt-angriffszielt-nr-1/

 

 

"...Es kommt auf die menschliche Firewall an

 

Nach einer Studie des Bitkom-Digitalverbands nutzt ein Großteil der Cyberkriminellen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus...!"

 

https://www.itsicherheit-online.com/security-management/es-kommt-auf-die-menschliche-firewall-an-2/

 

 

Microsoft Digital Defense Report 2022 - Übersicht zu Angriffstechnologien und Cybergefahren

 

https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022

 

 

Datenleck- Report: "Data Breach Investigations Report" von Verizon:

 

https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf

 

 

Cyberangriffe in Echtzeit:

 

Über die nachfolgenden Plattformen sind in dieser Analogie in Echtzeit auch massive Cyberangriffe nachweisbar...

 

"Sicherheitstacho" der Telekom und Partner:

 

https://www.sicherheitstacho.eu/start/main

 

Kaspersky-Cyberthreat-Echtzeitkarte: 

 

https://cybermap.kaspersky.com/de

 

 

Übersicht zu Cyberangriffen:

 

Cloudflare-Radar zu Sicherheit und Angriffen:

 

https://radar.cloudflare.com/security-and-attacks

 

AV-Test-Institut in Kooperation mit ECO-Verband:

 

https://portal.av-atlas.org/

3. Beispiele zu Phishing in verschiedenen Formen und in Kombination verschiedener Technologien:

 

Wer würde ein Haus bauen und mit dem Dach, den Fenstern, der Alarmanlage beginnen, wenn kein Fundament besteht oder dieses instabil ist...?

 

Schwachstellen und Sicherheitslücken sind in der Digitalisierung progressive und dynamische Punkte, die von Beginn an thematisiert und fortlaufend überprüft werden müssen. Phishing steht hierbei häufig im Mittelpunkt von Cyberangriffen, weil bereits Lücken genutzt werden oder neue genutzt werden sollen.

 

 

Hinweis zu Artikel vom Bundesdatenschutzbeauftragten Herrn Prof. Kelber in der Sonderveröffentlichung zur "Kollektiven Cybersicherheit" im Handelsblatt-Journal zum Thema Cybersecurity vom November 2022:

 

"...Datenschutz in der Hexenküche - Wieso schlecht gemachte Digitalisierung uns das Leben schwer macht...

 

...Nachdem Deutschland jahrelang die Digitalisierung verschlafen hat, geht es aktuell beim Programmieren neuer Lösungen oft zu wie in einer Hexenküche: Gar nicht selten fehlt jedes Rezept, der Inhalt lässt sich beliebig austauschen, und landet im Topf, wenn es gerade passend erscheint...!"

 

 

Hinweise zur Strategie von Cyberangriffen:

 

"...Was Angreiferinnen deshalb üblicherweise tun: Sie bewegen sich lateral fort, wie IT-Fachleute sagen, sie versuchen also, sich durch verschiedene Tricks innerhalb eines Computersystems breitzumachen und nach und nach immer mehr Rechte zu bekommen...

 

...Häufig wird in der Entwicklung zu wenig berücksichtigt, wie sich die Systeme auch anders als beabsichtigt nutzen lassen...!"

 

https://www.zeit.de/digital/datenschutz/2022-12/sicherheitsluecke-windows-hacker-antiviren-programme/komplettansicht

 


"...SafeBreach Labs Researcher Discovers Multiple Zero-Day Vulnerabilities in Leading Endpoint Detection and Response (EDR) and Antivirus (AV) Solutions...

 

...The vulnerabilities were used to develop an undetectable, next-generation wiper—dubbed the Aikido Wiper—with the potential to impact hundreds of millions of endpoints worldwide...!"

 

https://www.safebreach.com/resources/blog/safebreach-labs-researcher-discovers-multiple-zero-day-vulnerabilities/

 

 

Hinweise zu Ukraine-Krieg und Erpressungstrojanern:

 

Aufgrund des Ukraine-Kriegs und Erpressungstrojanern verschärft sich die angespannte IT-Sicherheitslage. Vom ECO-Verband wurde daher die Ransomware-Initiative gestartet. Hier sind zur Prävention und Reaktion zu Cybergefahren um Ransomware Hinweise in Kooperation von Microsoft, Rohde & Schwarz und Sophos benannt.

 

„...eco Verband startet Ransomware-Initiative und nennt 10 Vorkehrungen, die vor Erpressungstrojanern schützen...!“

 

https://www.eco.de/presse/ukraine-krieg-und-erpressungstrojaner-verschaerfen-die-angespannte-it-sicherheitslage/

 

 

ECO-Inititative-Ransomware / Sicherheitsinformationen zur Prävention und Reaktion:

 

„...Ransomware-Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar. Massive Beeinträchtigungen des Geschäftsbetriebes, Vertrauensverlust und Verlust von schützenswerten Daten, persönlicher Natur oder Betriebsdaten erfordern präventive Maßnahmen gegen diese tägliche Bedrohung...!“

 

https://www.eco.de/initiative-ransomware/

 

 

Sicherheitsnewsletter des BSI: Bürger-CERT-Newsletter

 

„...Der Verbraucherschutz-Newsletter "Sicher • Informiert" richten sich an alle, die über die wichtigsten Ereignisse rund um die Sicherheit Ihres Computers und im Internet auf dem Laufenden gehalten werden wollen...!“

 

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Newsletter-Sicher-informiert/newsletter-sicher-informiert_node.html

 

 

Beide Verbraucherschutz-Sicherheitsnewsletter des BSI zum Abonnieren:

 

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abonnieren/abonnieren_node.html

 

 

Phishing per Mail

 

https://de.wikipedia.org/wiki/Phishing

 

 

Smishing per SMS und mit gefährlichen Links zu schadcodeverseuchten Webseiten:

 

https://www.bsi.bund.de/DE/Service-Navi/Presse/Alle-Meldungen-News/Meldungen/Smishing_SMS-Phishing_141021.html

 

https://www.bundesnetzagentur.de/DE/Vportal/TK/Aerger/Faelle/SMSSpam/start.html

 

 

Die Gefahr besteht hier in der Tatsache, dass Rufnummern bereits zu Anrufen oder zur Übertragung von gefährlichen Links missbraucht werden können:

 

https://de.wikipedia.org/wiki/Caller_ID_Spoofing

 

https://www.kaspersky.de/resource-center/threats/what-is-smishing-and-how-to-defend-against-it

 

 

Quishing mit verseuchten QR-Codes mit Links zu schadecodeverseuchten Webseiten:

 

https://www.mimikama.at/quishing-phishing-qr-codes/

 

„…Sicherheitslösungen scannen E-Mails für gewöhnlich auf Anhänge und URLs. In Phishing-Mails mit QR-Codes, also dem Quishing, umgehen Cyberkriminelle diese Kontrollen jedoch – Nachrichten dieser Art landen quasi unter dem Sicherheitsradar direkt im Opfer-Postfach. QR-Codes funktionieren ähnlich den Strichcodes, die Sie von Produkten kennen – sie arbeiten visuell. Genau das wird von Sicherheitsprogrammen nicht bemerkt, da diese den Text bzw. Code einer E-Mail prüfen, der jedoch unverdächtig erscheint…!“

 

https://www.psw-group.de/blog/quishing-phishing-mit-qr-code/8873

 

 

Vishing in Form von Betrugsanrufen - u.a. mit gefälschten Stimmen und gefälschten  Rufnummern...!

 

https://www.ionos.de/digitalguide/online-marketing/verkaufen-im-internet/was-ist-vishing/

 

https://www.proofpoint.com/de/threat-reference/vishing

 

 

Spoofing:

 

https://de.wikipedia.org/wiki/Spoofing

 

 

Cyberangriffe mit Phishing und Ransomware: 

 

75 % der Cyberangriffe gehen zunächst mit Phishing einher...!!!

 

https://go.proofpoint.com/de-emailsec-2022-ransomware.html

 

https://www.proofpoint.com/de/resources/threat-reports/threat-briefing-ransomware

 

https://www.proofpoint.com/sites/default/files/threat-reports/pfpt-de-tb-ransomware.pdf

 

 

Social Engineering Startpunkt vieler Angriffe, Homeoffice zusätzliches Einfallstor

 

"...Ein Großteil der Angriffe beginnt mit Social Engineering, der Manipulation von Beschäftigten. Die Kriminellen nutzen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um etwa sensible Daten wie Passwörter zu erhalten...!"

 

https://www.bitkom-akademie.de/news/angriffsziel-deutsche-wirtschaft-mehr-als-220-milliarden-euro-schaden-pro-jahr

 

 

Fachmagazin Datakontext - Ausgabe zu Schwerpunkt Ransomware:

 

https://www.itsicherheit-online.com/EPaper/index/active/1/epaper/17696

 

 

Sophos-Ransomware-Report:

 

https://www.sophos.com/de-de/whitepaper/state-of-ransomware

 

 

BSI - Maßnahmenkatalog Ransomware

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware_Massnahmenkatalog.html

 

 

Allianz für Cybersicherheit: Fortschrittliche Angriffe, dynamische Entwicklung

 

https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Ransomware/ransomware_node.html

 

 

Allianz für Cybersicherheit: APT = Advanced Persistant Threat, fortschittliche Angriffstechniken

 

https://www.allianz-fuer-cybersicherheit.de/Webs/ACS/DE/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/APT/apt_node.html

 

 

BSI - Informationen zur Schadsoftware Emotet:

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Sonderfall-Emotet/sonderfall-emotet_node.html

 

 

BKA verzeichnet neuen Höchstwert bei Cyberstraftaten:

 

https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2022/Presse2022/220509_PM_CybercrimeBLB.html

 

BKA-Studie "Sicherheit und Kriminalität in Deutschland":

 

https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2022/11/sicherheit-kriminalitaet-in-deutschland.html

 

 

Cyberangriffe mit Social Engineering, Deep Fakes und "Spear-Phishing"

 

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Kuenstliche-Intelligenz/Deepfakes/deepfakes_node.html

 

https://www.heise.de/news/Europol-Deepfakes-drohen-zum-Standardwerkzeug-Krimineller-zu-werden-7069235.html

4. Phishing erkennen:

 

 

Defacement

 

"...Face/Off: Schluss mit Online-Fakes...

 

...Kriminelle entwickeln immer wieder neue Betrugsmethoden für das Internet, um sich auf Kosten von Verbraucherinnen und Verbrauchern Vorteile zu verschaffen. Sie manipulieren Webseiten, erstellen Fake-Webseiten, Fake-Shops oder Fake-Accounts in sozialen Netzwerken. In unserer Broschüre "Face/Off" entlarven wir solche Manipulationsmethoden und geben Verbraucherinnen und Verbrauchern, aber auch Webseiten-Betreiberinnen und -Betreibern Kriterien an die Hand, worauf sie bei der Nutzung und bei der Erstellung von Internetdiensten achten sollten...!"

 

Broschüre des BSI "Face/Off – Täuschung von Verbraucherinnen und Verbrauchern bei Internetdiensten":

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/digitaler_Verbraucherschutz/Publikationen/Faceoff_taeuschung_von-VerbraucherInnen.pdf

 

 

Sicherheitshinweise des BSI zu SPAM, Phishing & Co…

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/spam-phishing-co_node.html

 

 

IONOS – Was ist ein Mailheader und wie kann ich diesen ansehen?

 

https://www.ionos.de/hilfe/e-mail/allgemeine-themen/was-ist-ein-e-mail-header-und-wie-kann-ich-diesen-ansehen/

 

 

IONOS – Phishing-Mails erkennen

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/phishing-mails-erkennen-so-schuetzen-sie-ihre-daten/

 

 

 

Informationen der Verbraucherzentrale zum Phishingbetrug:

 

 

Fakeshop-Finder der Verbraucherzentrale:

 

https://www.verbraucherzentrale.de/fakeshopfinder-71560

 

 

So lesen Sie den Mailheader:

 

„…So manch betrügerische E-Mail sieht täuschend echt aus. Jedoch gibt es einige Punkte, die erkennen lassen, dass ein Übeltäter seine Angel ausgeworfen hat…!“

 

https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/so-lesen-sie-den-mailheader-6077

 

 

Merkmale einer Phishingmail:

 

https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/merkmale-einer-phishingmail-6073

 

 

Ist eine betrügerische E-Mail auch gefährlich, wenn ich weder auf Links klicke noch Anhänge öffne?

 

„…Bei reinen Text-E-Mails, die Sie im Browser oder mit einem E-Mail-Programm öffnen, kann nichts passieren, solange Sie nicht auf Links oder Anhänge klicken.

 

Bei E-Mails im sogenannten HTML-Format ist dies allerdings anders. Hier können nicht nur im Link oder im Anhang, sondern im Quellcode Schadprogramme hinterlegt sein. Dann ist schon ein Klick auf eine Grafik in der E-Mail gefährlich, auch wenn die Graphik Grafik nicht einmal sichtbar ist.

 

Prüfen Sie daher, wie Sie Ihre E-Mails empfangen und deaktivieren Sie, falls noch nicht erfolgt, die Anzeige der E-Mail im HTML-Format…!“

 

https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/phishingmails-woran-sie-sie-erkennen-und-worauf-sie-achten-muessen-6073

 

 

Dabei weisen HTML-Mails bereits auf einen grundsätzlichen Zwiespalt hin:

 

Einerseits zeigen sie die Mail komplett mit Bildern und Grafiken an und verbessern so den Komfort. Das Risiko besteht jedoch in der Tatsache, dass in der Mail im HTML-Format von allen enthaltenen programmierten Links Inhalte von beliebiegen Quellen aus dem Internet geladen werden können. Dies macht gerade Phishing per Mail so problematisch: Je weniger der Absender authentifizierbar und verifizierbar ist, umso größer ist die Gefahr eines potenziellen Cyberangriffs. Wird eine Absendermail gefälscht - und dies geschieht immer raffinierter, je "echter" die Mail also gefälscht ist oder auch das Mailkonto des Absenders bereits gehackt und zu Phishing missbraucht wurde, umso gravierender können die Konsequenzen für das Opfer sein. Unmittelbar wirkt sich aus, wenn bereits beim Öffnen der Mail infizierte Inhalte oder Anhänge geladen werden; mittelbar, wenn Links leichtfertig geöffnet werden. Gerade in HTML-Mails lassen sich dabei auch angezeigte Texte manipulieren, weil diese durch die Programmierung die tatsächlichen Links verschleiern.

 

Darüber hinaus besteht auch die Tatsache, dass die meisten Webseiten mit Javascript programmiert sind, z.B. um Logins zu nutzen. Dabei lassen sich in Browsern nur die ganze Webseite mit Javascript aktivieren oder deaktiveren; ein erheblicher Nachteil, da alle Javascriptinhalte geladen werden.

 

 

Das BSI weist daher u.a. auf Javascriptlücken hin:

 

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Updates-Browser-Open-Source-Software/Der-Browser/JavaScript-Cookies-Fingerprints/javascript-cookies-fingerprints.html

 

Javascript zählt daher zu den am meisten angegriffenen Programmiersprachen. Daher bedeutet ein einmal geöffneter Link oder Webseite nicht automatisch, dass diese immer sicher sind. Fehlt bereits ein Update beim Webseitenbetreiber bei der eingesetzten Programmiersprache, werden neue Sicherheitslücken auf der Webseite oder in der Systemumgebung des Providers oder Plattform entdeckt, wurde der Login zur Webseite gehackt, dann sind auch die bisher vertrauten Links und Webseiten unmittelbare Sicherheitsrisiken. Wie häufig das der Fall ist, zeigen die ausufernden Angriffe eben auch aufgrund dieser Sachverhalte, wie sie hier auf der Webseite auch betreffend erforderlichen Absicherungen benannt sind und auf die Sicherheitsbehörden, -institutionen und  -unternehmen hinweisen: Erforderliche Zugangssicherung, Verschlüsselung, Domainabsicherung, Programmcodeaktualisierung u.a. von Webseiten, Aktualisierung und Sicherheitskonfigurationen von Systemumgebungen und Netzwerken. Da hier eine große Dynamik der Entwicklungen besteht, gibt es hier immer mehr Sicherheitslücken und eben Cyberangriffe.

 

Wichtig sind für Webseitenbesucher und Webseitenbetreiber daher auch die Kenntnis, wie man Links und Webseiten prüft, Angriffsflächen reduziert.

 

Leider sind hohe gleichlautende Sicherheitsstandards bei Providern nicht selbstverständlich - oder auch nicht verfügbar. Hier hilft in erster Linie Eigenverantwortung und fortlaufende digitale Bildung im Umgang mit der digitalen Welt, auch weil das Spektrum der Technologien und Techniken immer größer wird.

 

 

Von IONOS sind hier u.a. folgende Sicherheitsfunktionen veröffentlicht, um DNS-Hijacking abzuwehren, auf Sicherheitslücken und unberechtigte Manipulation der Webseite zu überprüfen:

 

IONOS: 2-Faktor-Authentifizierung

 

https://www.ionos.de/hilfe/sicherheit/kontosicherheit-erhoehen/sicherheit-ihres-11-ionos-kontos-erhoehen/

 

 

IONOS: DomainGuard

 

https://www.ionos.de/hilfe/domains/domain-guard/was-ist-domain-guard-und-welche-vorteile-bietet-es/

 

IONOS: SiteLock

 

"...Zudem haben Sie die Möglichkeit, nach erfolgreichem Sicherheits-Scan ein Sicherheitszertifikat mit dem SiteLock-Siegel auf Ihrer Website einzubinden. Das Siegel zeigt das Datum des letzten bestandenen Scans an...!"

 

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock/

 

 

Ein anderes Tool zur Sicherheitsprüfung von Webseiten heisst SIWECOS, unterstützt von der Plattform „IT-Sicherheit in der Wirtschaft“ und dem Bundeswirtschaftsministerium (https://www.it-sicherheit-in-der-wirtschaft.de/ITS/Navigation/DE/Home/home.html und https://www.bmwk.de/Navigation/DE/Home/home.html)

 

„...SIWECOS steht für „Sichere Webseiten und Content Management Systeme“ und hilft Website-Betreiber:innen, Sicherheitslücken auf ihren Webseiten zu erkennen und zu beheben...!“

 

https://siwecos.de/

 

 

Auch die Browsersicherheit ist dabei von großer Bedeutung: Die Browser setzen jeweilige Konverter ein, die die aufgerufenen Webseiten und Programmiersprachen anzeigen. Hierbei sind die jeweiligen Sicherheitseinstellungen und Aktualität im Browser, aber auch von Netzwerken, Betriebssystemen, Anwendungen und Browsern relevant.

 

Microsoft führt hierzu u.a. folgende Sicherheitsfunktionen zum Edge Chromium auf:

 

https://docs.microsoft.com/de-de/deployedge/microsoft-edge-security-browse-safer

 

https://docs.microsoft.com/de-de/deployedge/microsoft-edge-security-windows-defender-application-guard

 

Hinweis: 

 

Bereits über den Edge Chromium lassen sich einfach Webseiten auf Programmierfehler und -mängel überprüfen: Über das Menü (drei Punkte oben rechts im Browser unter Windows), "Weitere Tools", "Entwicklertools" und nachfolgende der Aufruf der Register "Probleme" und "Konsole". Jede einzelne Webseite kann damit bereits geprüft werden!

5. Analyse von Mailheadern

 

Phishingmail – Microsoft /Github - Analyse des Mailheaders:

 

https://mha.azurewebsites.net/pages/mha.html

      6. DNSSEC, DMARC, SPF, DKIM, DNS-Hijacking, Code-Injections: Sicherheit in den DNS-Einstellungen von Mails, Domains und Webseiten

 

 

Ungesicherte DNS-Einstellungen sind eine Gefahr für jeden Internetnutzer durch Webseitenbetreiber und Domaininhaber, auch private Webseitenbetreiber, die keine verifizierbaren DNS-Einträge in ihren Domains führen. 

 

 

Infos zur DENIC:

 

Infos von der genossenschaftlichen zentralen Registrierstelle für de-Domains in Deutschland, der DENIC. Die DENIC führt aktuell über 17 Millionen de-Domains. Im Zeichen von Datenschutz und IT-Sicherheit stehen die DENIC und Ihre Mitglieder. Damit steht auch eine gesellschaftliche Verantwortung und Anspruch an Domaininhaber und Webseitenbetreiber.

 

Über die DENIC: https://www.denic.de/ueber-denic/

 

Über die Mitglieder der DENIC: https://www.denic.de/ueber-denic/mitglieder/#c341

 

 

Ein wesentlicher Schlüssel zu mehr Sicherheit im Internet mit DNSSEC - Erklärungen der DENIC:

 

"...DNSSEC – Domain Name System Security Extensions

 

Erhöhte Sicherheit im Netz

 

Der Internetnutzer geht davon aus, dass Daten unverfälscht und verlässlich im Internet übertragen werden. Die überwiegende Zahl aller Internetdienste und -verfahren verlässt sich dabei auf eine zuverlässig funktionierende und korrekte Auflösung von leicht merkbaren Domainnamen auf IP-Adressen durch das Domain Name System (DNS). Das dabei verwendete DNS-Protokoll selbst besitzt jedoch keine Maßnahmen zum Schutz seiner Inhaltsdaten. Insbesondere gibt es keine Sicherung der Daten gegen Veränderungen auf dem Transportweg oder in den durchlaufenden Servern und Zwischenspeichern (Caches). Verfälschungen können daher weder erkannt noch verhindert werden....!"

 

https://www.denic.de/wissen/dnssec/

 

 

Weitere Informationen der DENIC zu DNSSEC:

 

"...Welchen Schutz bietet DNSSEC?

 

Für Internetnutzer ist es wichtig, darauf vertrauen zu können, dass z. B. die angezeigte Webseite auch tatsächlich derjenigen entspricht, die er aufrufen wollte (eingegeben Domain).

Dazu ist es notwendig, den Pfad von der Anfrage (Eingabe der Domain) bis zur Antwort (Anzeige der Webseite) abzusichern...!"

 

https://www.denic.de/fragen-antworten/faqs-zu-dnssec/#code-397

 

 

Dokumentationen vom ECO-Verband unter Bezugnahme auf von BSI und Fraunhofer Institut zur DNS-Sicherheit, Manipulation und Code-Injections (Javascriptlücken!): 

 

Rückblick auf den Security Expert Talk vom 26.07.2022: Sicherheit fürs Domain Name System (DNS)

 

"...DNSSEC ist bereits in einigen europäischen Ländern eine Erfolgsstory, in diese Richtung sollte sich auch die deutsche Internetwirtschaft stärker bewegen...!"

 

https://www.eco.de/news/rueckblick-auf-den-security-expert-talk-sicherheit-fuers-domain-name-system-dns/

 

... „DNS als zentraler Punkt aller Sicherheit“, die Präsentationsfolien von Frau Prof. Dr. Shulman können Sie Sich unter https://www.eco.de/download/198584/ downloaden...

 

...Unter der Webseite https://xdi-attack.net kann man seinen Resolver auf verschiedene Vulnerabilitäten testen...!"

 

 

Hierbei zeigen sich bei den Analysen von auf dem Markt gängigen Routern durch das Fraunhofer Institut , wie vielfältig Sicherheitslücken bestehen. Und wie gravierend und beständig Lücken vorhanden sind, weil diese nicht geschlossen werden...! Zudem stellen sich grundsätzliche Fragen zur IT-Sicherheit insgesamt, wenn Geräte von Herstellern eingesetzt werden, die umfänglich Netzwerktechnik vermarkten, aber Router bereits nicht aktualisiert werden oder auch unsicher programmiert sind? Hieraus ergeben sich unkalkulierbare Sicherheitsrisiken!

 

Fraunhofer Institut: Home Router Security Report 2022

 

https://newsletter.fraunhofer.de/-link2/17568/2049/35/97/1095/J1twPB14/BlkhKXDuSb/0

 

 

Vergleich:

 

Fraunhofer Institut: Home Router Security Report 2020

 

https://www.fkie.fraunhofer.de/de/Pressemeldungen/Home-Router.html

 

 

 

Informationen vom Fraunhofer SIT, BSI, Athene Research Center, Goethe Universität und TU-Darmstadt und ECO-Verband zur DNS-Sicherheit und Code-Injections in Netzwerken und Infrastrukturen. Betroffen hiervon sind nicht nur Provider, Webhoster, Webseitenbetreiber, Mailanbieter, sondern auch alle Bürger mit Iot-Geräten wie Routern, Anwendungen wie Browsern, etc....!

 

Die aktuellen Informationen des Fraunhofer SIT von Frau Prof. Dr. Shulman belegen Zusammenhänge mit unsicheren DNS-Einstellungen und Code-Injections wie z.B. XSS. Hinweis: Über die Webseite von www.siwecos.de können Webseiten auf Scriptlücken geprüft werden!

 

https://www.sit.fraunhofer.de

 

Fraunhofer Academy: Lernlabor Cybersicherheit

 

https://www.cybersicherheit.fraunhofer.de/de/downloads.html

 

 

"...Mechanismus für Internetsicherheit gebrochen

 

Das Team der ATHENE-Wissenschaftlerin Prof. Dr. Haya Shulman hat einen Weg gefunden, wie einer der grundlegenden Mechanismen zur Absicherung des Internet-Verkehrs ausgehebelt werden kann. Der Mechanismus, genannt RPKI, soll eigentlich verhindern, dass Cyberkriminelle oder staatliche Angreifer den Verkehr im Internet umlenken. Solche Umlenkungen kommen im Internet erstaunlich häufig vor, z.B. zur Spionage oder durch Fehlkonfigurationen. Das ATHENE-Team zeigte, dass Angreifer den Sicherheitsmechanismus komplett aushebeln können, ohne dass die betroffenen Netzbetreiber dies feststellen können. Nach Analysen des ATHENE-Teams waren Anfang 2021 alle führenden Implementierungen von RPKI angreifbar. Das Team informierte die Hersteller und hat jetzt die Erkenntnisse der internationalen Fachöffentlichkeit vorgestellt...!"

 

https://www.sit.fraunhofer.de/de/presse/details/news-article/show/mechanismus-fuer-internet-sicherheit-gebrochen/

 

Dokumentationen zur Attacke:

 

https://blog.apnic.net/2022/06/15/stalloris-rpki-downgrade-attack/

 

https://www.usenix.org/system/files/sec22fall_hlavacek.pdf

 

 

Whitepaper - Aktive Cyberabwehr (Fraunhofer SIT: Frau Prof. Dr. Shulman, Herr Prof. Dr. Waidner)

 

https://www.athene-center.de/fileadmin/Downloads/aktive-cyberabwehr.pdf

 

 

BSI-Studie: IP Fragmentierung und Maßnahmen gegen „Cache-Poisoning“

 

Wie gefährlich ungesicherte DNS-Einstellungen sind, konnte das BSI in dieser umfänglichen Studie belegen. Damit steht oder fällt die IT-Sicherheit und Datenschutz vom Grunde her, lässt sich Verantwortung ableiten für Infrastrukturen und Netzwerke:

 

"...Frühere Untersuchungen haben gezeigt, dass es möglich ist, fragmentierte DNS-Antwortnachrichten zu verwenden, um falsche oder manipulierte Daten in den Cache eines DNS-Resolvers einzufügen. Dieser Prozess wird als Cache-Poisoning bezeichnet. Da DNS-Auflösung in der Regel der erste Schritt der regelmäßigen Internet-Kommunikation ist, hat die Manipulation des Cache eines Resolvers das Potenzial, die Internetkommunikation seiner Clients auf Systeme umzuleiten, die unter der Kontrolle des Angreifers stehen...

 

...DNS-Fragmentierungsangriffe erfordern bestimmte Voraussetzungen, um erfolgreich zu sein. Obwohl bekannt ist, dass ein Cache-Poisoning durch DNS-Fragmentierung technisch möglich ist, war vor dieser Studie unklar, ob die notwendigen Voraussetzungen häufig im Internet auftreten können. Daher war ebenso unklar, ob dieser Angriffsvektor eine reale und relevante Bedrohung darstellt. Darüber hinaus wurden zwar über Minderungsmaßnahmen diskutiert, aber ihre Wirksamkeit und ihre Auswirkungen auf die Leistung wurden nicht im Detail untersucht...!"

 

https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/Frag-DNS/frag-dns-studie.html

 

 

In der der Studie zu Punkt "2 Issue Statement" ist hervorzuheben, dass bis 2022 (!) niemand umfänglich eine Studie erstellte, die die Häufigkeit von IP-Fragmentation analysierte, um damit die Gefahren für die Internetsicherheit, Phishing, SPAM, Webseitenangriffe, etc. zu bewerten:

 

"...DNS cache poisoning by means of IP fragmentation is known for almost a decade and a proof of concept has demonstrated that this type of attack is viable. However, until today no one has conclusively studied how frequently IP fragmentation on the Internet takes place and how effective known mitigation strategies are.

 

The current state of knowledge is that an attacker could – by means of IP fragmentation – poison a DNS resolver, introducing forged information in its cache. Therefore, "DNS poisoning is a significant threat to Internet security, and can be used for phishing, credentials stealing (e.g., XSS), sending spam and phishing emails, eavesdropping, and more." (Herzberg, et al., 2012)

 

This chapter elaborates on the current state of research, introduces IP fragmentation and explains its causes. Lastly, it lays out in detail what it takes to conduct an attack that uses IP fragmentation to poison a DNS resolver’s cache...!"

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Studien/Frag-DNS/Frag-DNS-Studie.pdf

 

 

DNS-OARC - Universität von Amsterdam

 

Das "Domain Name Systems Operations Aalysis and Research Center" führt zusammen mit Verisign und Sandia National Laboratories des DNS-Security Extensions (DNSSEC) Prüftool https://dnsviz.net/ . Zusammen mit dem DNSSEC-Prüftool von Verisign lassen sich umfänglich DNSSEC-Lücken dokumentieren: https://dnssec-analyzer.verisignlabs.com/ .

 

Von der DNS-OARC liegt eine Studie von 2020 im Zusammenhang mit IP-Fragmentierung und MTU-Paketgrößen vor. Hieraus ergeben sich unterschiedliche Aspekte der MTU-Größen und Fragmentierungen:

 

"Defragmenting DNS: Determining the optimal maximum UDP response size for DNS"

 

https://www.nlnetlabs.nl/downloads/presentations/DefragDNS-Axel_Koolhaas-Tjeerd_Slokker.pdf

 

 

Zusammenhang mit AET-Angriffstechnologien und Fragmentierung von Datenpaketen:

 

In diesem Zusammenhang stehen AET-Angriffstechnologien, die bereits 2011 durch die Predatorsoftware von Stonesoft Aufsehen erregte. Stonesoft ging bereits 2012 eine Partnerschaft mit dem BSI ein. Zudem firmiert Stonesoft heute unter der Marke „Forcepoint“. Bei Analysen von Webseiten, Links und Dateien über www.virustotal.com zeigt sich, wie zeitnah Sicherheitsanbieter Warnungen zu neuen Schadcodierungen dokumentieren.

 

Dies kann jedoch nur ein Anhaltspunkt sein, da bei täglich mehreren hunderttausenden neuer Schädlinge und Schädlingstypen hier auch unterschiedliche, fortlaufend erweiterte  Erkennungstechnologien der jeweiligen Sicherheitsunternehmen - u.a. unter Einsatz von KI - zum Einsatz kommen. 

 

https://www.forcepoint.com/de/newsroom/2016/forcepoint-integrates-stonesoft-next-generation-firewall-cloud-security-technologies

 

Die Stonesoft-Software Evader zeichnete bereits damals aus, dass sie in der Lage war, durch modifizierende Fragmentierung, einem „Bypassing“ von dynamisch angepassten Datenpaketen von über 1 hoch 55 Varianten, Firewall- und Schutzsysteme zu durchdringen.

 

Aufgrund immer schnellerer Datenleitungen und Datentransfers ist hier eine Differenzierung im Verhältnis zur Erkennung von Anomalien des gesamten Datenverkehr gegenüber der Analyse einzelner Datenpakete zu sehen. Dies ist eine Herausforderung für moderne Cyberabwehrsysteme, wie nachfolgende Informationen darlegen.

 

Stonesoft-Software damals in Funktion:

 

https://www.youtube.com/watch?v=rRPSnfjijF0

 

https://www.youtube.com/watch?v=Sfek-5xGA7U

 

 

Forcepoint heute:

 

https://www.forcepoint.com/de/blog/insights/forcepoint-one-simplifies-security

 

https://www.forcepoint.com/de/product/ngfw-next-generation-firewall

 

Dabei zeigt sich im Vergleich von Forcepoint mit anderen renommierten Firewallanbietern, dass es hier gravierende Unterschiede hinsichtlich Analyse und Bewertung von Datenpaketen gibt.

 

 

IONOS: Warum selbst gesicherte DNS-Einstellungen lückenhaft sind...

 

Gleichfalls zur Sicherheit und Verwendung von DNSSEC beschreibt auch IONOS, weshalb gesicherte DNS-Einstellungen lückenhaft sind: Es liegt an der Verwendung von veralteten Netzwerksystemen oder Komponenten (veraltete Betriebssysteme und Resolver), die keine aktuellen Protokolle unterstützen. Damit wird eine gesicherte Netzwerkkommunikation unterlaufen.

 

https://www.ionos.de/digitalguide/server/knowhow/dnssec-signierte-namensaufloesung/

 

 

DNS-Hijacking:

 

https://de.wikipedia.org/wiki/DNS-Hijacking

 

 

DNS-Hijacking (= kapern, bzw. umleiten von Webseiten!):

 

"...Gefahren durch DNS Hijacking

 

Beim DNS Hijacking werden Nutzer also auf ungewünschte Webseiten weitergeleitet – aber was kann das konkret für Schäden verursachen? Möglich ist es beispielsweise, dass Nutzer auf Websites geleitet werden, auf denen sich ihr verwendetes System mit schädlicher Software infiziert. … Viel häufiger sind hingegen die beiden Techniken Phishing und Pharming...!"

 

https://www.ionos.de/digitalguide/server/sicherheit/was-ist-dns-hijacking/

 

 

Häufig fehlen diese wichtigen DNS-Einträge bei Domains und Subdomains, um Mailsystemen eine Verifikation zu ermöglichen. Sind diese Einträge nicht vorhanden, besteht eine große Gefahr für Phishing und Spoofing zum Identitätsdiebstahl und Missbrauch für Domains und Mails.

 

Werden dann die gefälschten Mails, bzw. dort enthaltene Inhalte wie Links und Anhänge geöffnet, sind Endgeräte und Netzwerke stark gefährdet. Hier kann dann über schadcodeverseuchte Webseiten oder Inhalte jeder Internetnutzer, bzw. jedes Gerät im Netzwerk betroffen sein…! Sind Webseiten dann auch noch nicht einmal verschlüsselt, ist das wie mit Vollgas zu fahren im Dunkeln, ohne die Hand vor den eigenen Augen zu sehen…!

7. Gefährliche Irrtümer:

 

Allgemein bekannt ist die Formulierung von Internetnutzern mit der Aussage zur eigenen IT-Sicherheit: “Was will da jemand mit meinen Daten, ich schaue mir nur ein paar Webseiten an und schaue nach meinen Mails...!“

 

Phishing ist u.a. durch manipulierte Links, Mails, Domains, Webseiten, QC-Codes, gefälschte Anrufe (Robocalls) so erfolgreich. Unkenntnis, fehlende Aktualisierungen von Betriebssystemen und Anwendungen, fehlende oder fehlerhafte Sicherheitskonfigurationen sind dann bereits eine Einladung zu Missbrauch.

 

Bei Domains fehlen häufig gesicherte DNS-Einstellungen und Schutzfunktionen gegenüber dem Missbrauch zu Phishing: Selbst eine Domain, bei der kein Mailsystem gekoppelt ist, kann für Phishing missbraucht werden. Ein fehlender DMARC- und SPF-Eintrag machen es einfach, Mails mit der ungeschützten Domain zu fälschen:

 

“…DMARC.org developed the DMARC protocol, whose purpose is to enable identification and blocking of phishing and other messages where a sender uses somebody else's domain for sending email without authorization….”

 

https://dmarc.org/wiki/FAQ

 

 

Die nachfolgenden beiden Beispiele zu DMARC- und SPF- bei einer Weiterleitungsdomain zu einer Hauptdomain:

 

Beispiel: (Test der Domain mit https://mxtoolbox.com/DMARC.aspx)

 

DMARC

 

Mails werden nur von der Domain authentifiziert, gefälschte Mails werden geblockt, Subdomains gibt es nicht

 

v=DMARC1; p=reject; sp=none

 

 

Beispiel:  (Test der Domain und Mail:  https://mxtoolbox.com/emailhealth)

 

SPF 

 

v=spf1 redirect=“Domain“  (Domain ist hier der Verweis auf die Hauptdomain, über die regulär die Mailkommunikation läuft. Damit ist für Mailsysteme nachvollziehbar, welche Domain ausschließlich zur Mailauthentifizierung autorisiert ist!)

 

Analysen von Mailheadern bei Phishingmails zeigen, dass selbst bei IT-Unternehmen solche Domains für Phishing missbraucht werden, um Dritte anzugreifen. Schließlich wissen die Angegriffenen zumeist nicht, dass mit einer Domain nicht zwangsläufig ein Mailsystem gekoppelt sein muss. Alle Domains, Subdomains oder Umleitungsdomains sind von diesem Sicherheitsrisiko betroffen.

 

Hierbei zeigt sich auch bei Newslettern, dass diese häufig nicht eindeutig zuordenbar sind. In Microsoft Outlook erscheint dann deshalb die Meldung „Wir konnten die Mail nicht authentifizieren“, weshalb diese dann im SPAM- oder Junkfilter landet – und ggf. sofort automatisch gelöscht wird.

 

Eine gefälschte Mail von einem fremden Mailsystem ist auch bei gesicherten seriösen Domains möglich, und kann selbst mit einem Phishingangriff auf den seriösen Domaininhaber erfolgen. Die DNS-Einträge von DMARC, SPF und DKIM können dann wirksam sein, solche gefälschten Mails abzuwehren, bzw. zu filtern.

 

Im Zusammenhang mit der Nutzung von Office 365 verweist Microsoft explizit darauf, auch die externe Domain mit DMARC prüfen und ggf. absichern! Dies wird häufig vergessen, da in Office365 eingebundene Domains mit DMARC, SPF und DKIM gesichert werden können, aber die externe Domain beim Provider separat manuell gesichert werden muss!

 

 

Hinweise von Microsoft zum Schutz mit DMARC

 

"...Wenn Sie über eine benutzerdefinierte Domäne verfügen oder lokale Exchange-Server zusammen mit Microsoft 365 verwenden, müssen Sie DMARC für Ihre ausgehenden E-Mails manuell einrichten. Das Einrichten von DMARC für Ihre benutzerdefinierte Domäne umfasst die folgenden Schritte...!"

 

https://learn.microsoft.com/de-de/microsoft-365/security/office-365-security/email-authentication-dmarc-configure?view=o365-worldwide

 

 

Aufgrund der vorgenannten Informationen ist es dringend angeraten, Mails grundsätzlich nur im „Nur-Text“-Format anzeigen zu lassen, um die tatsächlichen Quellen und Links zu sehen. Ein weiteres Laden von unbekannten Daten wird damit zunächst vermieden. 

 

Es ist nicht die Frage, ob eine Domain oder Mail gefälscht werden kann, sondern wann. Und damit ist auch die Frage beantwortet, ob ein Cyberangriff stattfinden wird. Wie sich bei Phishing-Awarenesskampagnen immer wieder zeigt: Je gezielter ein Phishingangriff erfolgt, umso wahrscheinlicher ist es, dass eine Zielperson eine Mail öffnet, einen Link anklickt, einen Mailanhang oder eine gefälschte oder manipulierte Webseite öffnet. Durch die Fülle an verfügbaren Daten im Internet, die Nutzung von KI und Bots für gezieltere Angriffe steigt auch das Angriffspotenzial sehr progressiv und dynamisch.

8. Konfigurations- und Sicherheitshinweise:

 

 

Die Sicherheitskonfigurationen von DNSSEC, DMARC, SPF und DKIM setzen eine verschlüsselte Webseite voraus, da eine unverschlüsselte Webseite keinerlei Sicherheit für die Datenübertragung insgesamt darstellt. Überprüfung auf verschlüsselte Webseite und validierbare Zertifikate: www.ssllabs.com .

 

Die fortlaufende Prüfung der eigenen Webseite über eine Sicherheitsprüfung wie von Siwecos (www.siwecos.de) oder ein Tool wie „SiteLock“ von IONOS, um möglichst zeitnah Fehler der Webseite erkennen und beheben zu können:

 

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock .

 

Programmiersprachen von Webseiten werden häufig attackiert, um Lücken ausfindig zu machen, z.B. Java-Sicherheitslücken. Derlei Angriffe führen heute primär Maschinen, was die Geschwindigkeit zu Erkennung und Ausnutzung von Sicherheitslücken deutlich erhöht - und schnellere Abwehrmaßnahmen dringend erfordert. Daher sind für Webseitenbetreiber fortlaufende Sicherheitsprüfungen ihrer Webseiten absolut sinnvoll – im Eigeninteresse aus Haftungsgründen und zum Schutz der Webseitenbesucher.

 

 

IONOS-Informationen zu DNSSEC

 

Die Nutzung von DNSSEC stellen Provider bereit, die diese Sicherheitsfunktion anbieten, z.B. IONOS mit „Domain-Guard“. Hierbei wird die Domain vor Manipulationen wie DNS-Hijacking, dem Kapern von Webseiten, geschützt:

 

https://www.ionos.de/hilfe/domains/domain-guard/was-ist-domain-guard-und-welche-vorteile-bietet-es .

 

 

IONOS-Informationen zu DMARC-Eintrag

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/dmarc-erklaert/

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/dmarc-record-fuer-eine-domain-konfigurieren/

 

 

IONOS-Informationen zu SPF-Eintrag

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/was-ist-ein-spf-record/

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/spam-versand-vermeiden-mit-spf-record/

 

 

Um aktuelle Informationen zu neuen Sicherheitslücken in Hardware, Software, Programmiersprachen von Webseiten, zu erhalten, empfiehlt sich grundsätzlich der Newsletter des BSI:

 

https://www.bsi.bund.de/DE/Service-Navi/Abonnements/Newsletter/Buerger-CERT-Abos/Abonnieren/abonnieren_node.html

9. Informationen zu DNSSEC und warum dies so wichtig ist:

 

 

Die ICANN ist maßgeblich für die IP-Adresszuordnung und beschreibt hier, weshalb DNSSEC so wichtig zum Schutz von Domains ist:

 

https://www.icann.org/resources/pages/dnssec-what-is-it-why-important-2019-03-05-en

   

 

DNSSEC-Analyse über ICANN und Verisign:

 

https://www.icann.org/resources/pages/tools-2012-02-25-en

 

 

Aufruf der ICANN zum Schutz von Domains:

 

https://www.icann.org/en/announcements/details/icann-calls-for-full-dnssec-deployment-promotes-community-collaboration-to-protect-the-internet-22-2-2019-en

 

 

Hinweise zu gesetzlichen Pflichten und Sicherheitsinformationen zur Domainsicherheit:

 

Unternehmen, Einrichtungen und Institutionen sind nach Maßgaben der DSGVO und weiterer gesetzlichen Vorschriften zu IT-Sicherheit und Datenschutz verpflichtet – dies schließt eine gesicherte Domainumgebung ein, um Webseitenbesucher vor Missbrauch zu schützen. Maßgabe: Risiken früh zu erkennen und zu überwachen – bevor es zu spät ist…!

 

 

Von der InterNexum GmbH kann auf deren Webseite der ausführliche Leitfaden „Domain Risikomanagement“ bezogen werden.

 

https://www.nicmanager.com/de/sicherheit/domain-risikomanagement

 

https://www.nicmanager.com/de/blog/dns-sicherheit-die-icann-und-das-bsi-warnen-vor-einer-neuen-angriffswelle

 

 

Mitteilungen zur Domainsicherheit von der ICANN, CISA und vom Nacional Cyber Security Center zur Domainsicherheit und zum DNS-Hijacking

 

https://www.icann.org/en/announcements/details/alert-regarding-published-reports-of-attacks-on-the-domain-name-system-15-2-2019-en

 

https://www.cisa.gov/emergency-directive-19-01

 

https://www.ncsc.gov.uk/news/alert-dns-hijacking-activity

 

 

Hinweise zur Umsetzung zu DNSSEC vom BSI und der Allianz für Cybersicherheit:

 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Umsetzung_von_DNSSEC.pdf

 

https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/Webs/ACS/DE/BSI-CS/BSI-CS_098.pdf

 

 

Hinweise von Microsoft zur Absicherung von Domain- und Mailkonfiguration:

 

"...DMARC (Domain-based Message Authentication, Reporting, and Conformance) verwendet SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) zum Authentifizieren von E-Mail-Absendern und um sicherzustellen, dass Ziel-E-Mail-Systeme die von Ihrer Domäne gesendeten E-Mail-Nachrichten als vertrauenswürdig einstufen. Die Implementierung von DMARC zusammen mit SPF und DKIM bietet zusätzlichen Schutz vor Spoofing- und Phishing-E-Mails. DMARC unterstützt die E-Mail-Systeme der Empfänger bei der Behandlung von Nachrichten, die von Ihrer Domäne gesendet wurden, jedoch die SPF- oder DKIM-Prüfungen nicht bestanden haben...!"

 

https://docs.microsoft.com/de-de/microsoft-365/security/office-365-security/use-dmarc-to-validate-email?view=o365-worldwide

 

 

Microsoft-Sicherheitsbericht „Cyber Signals“

 

Microsoft gibt einen neuen vierteljährlichen Sicherheitsbericht heraus, „Cyber Signals“ genannt. Von Microsoft ist hierbei das neue „Schlachtfeld“ Identität benannt – gerade eben auch in Bezug auf Identitätsdiebstahl, Phishing, Missbrauch von Logins und eben schlecht gesicherter, bzw. nicht vorhandener DNS-Einstellungen wie DMARC, SPF, DKIM, etc…!

 

„…Cyber Signals aggregiert zahllose Erkenntnisse: von unseren Forschungs- und Sicherheitsteams an vorderster Front, mittels einer Analyse unserer 24 Billionen Sicherheitssignale und in Kombination mit Informationen, die wir gewinnen, indem wir mehr als 40 staatliche Netzwerke und mehr als 140 Bedrohungsgruppen überwachen…!“

 

https://news.microsoft.com/de-de/cyber-signals-aktuelle-forschungsergebnisse-im-bereich-cybersecurity

 

 

Dokumentation von Microsoft zu Cyber Signals:

 

https://news.microsoft.com/wp-content/uploads/prod/sites/626/2022/02/Cyber-Signals-E-1-218.pdf

 

10. Analyse- und Prüftools zu DNSSEC, DMARC, SPF, DKIM

 

 

Konnektivitäts-Prüfungen von Microsoft für Office365:

DNSSEC, DNS, Exchange u.a.

 

https://testconnectivity.microsoft.com/tests/o365

 

 

DNSSEC-Prüftools:

 

 

Tool von Verisign:

 

https://dnssec-analyzer.verisignlabs.com/#

 

 

Tool von Sandia National Laboratories, Verisign, DNS-OARC

 

https://dnsviz.net/

 

 

Prüftool von Mxtoolbox zu Domains und Mailsystemen:

Email Health Report von Mxtoolbox

 

https://mxtoolbox.com/emailhealth

 

 

DMARC-Prüftools:

 

Partner von Microsoft /Globales Netzwerk zur Cyberabwehr:

 

Tool von Agari zur Überprüfung und Erstellung von DMARC-Einträgen in den DNS-Einstellungen von Domains:

 

https://www.agari.com/insights/tools/dmarc/

 

 

DMARC-Prüftool von Mxtoolbox

 

https://mxtoolbox.com/dmarc.aspx

 

 

SPF-Prüftools:

 

https://www.agari.com/insights/tools/spf/

 

https://mxtoolbox.com/spf.aspx

 

 

DKIM-Prüftools:

 

https://www.agari.com/insights/tools/dkim/

 

https://mxtoolbox.com/dmarc.aspx

 

12. IONOS – Tools zu Sicherheitsfunktionen und -prüfungen:

 

 

Domain-Guard (DNSSEC)

 

https://www.ionos.de/domains/domain-guard

 

 

Webseiten-Sicherheitsprüfungen

 

https://www.ionos.de/hilfe/sicherheit/sitelock/was-ist-sitelock

 

 

Phishing-Mail prüfen, wenn angeblich von IONOS

 

https://phishing-contact.ionos.de/de

 

 

Konfigurationshilfe für DMARC

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/dmarc-record-fuer-eine-domain-konfigurieren

 

 

Konfigurationshilfe für SPF, um SPAM zu vermeiden

 

https://www.ionos.de/digitalguide/e-mail/e-mail-sicherheit/was-ist-ein-spf-record

 

 

Konfigurationshilfe für SPF (für IONOS-Kunden!)

 

https://www.ionos.de/hilfe/domains/mailserver-und-verwandte-records-konfigurieren/spam-versand-vermeiden-mit-spf-record

13. Tipps zur IT-Sicherheit:

 

 

Obwohl die nachfolgenden Sicherheitsempfehlungen die IT-Sicherheit verbessern und bereits außerhalb des eigenen Netzwerks Sicherheitsmaßnahmen greifen, unterstützt nicht jeder Provider, nicht jedes internetfähige Gerät diese zusätzlichen Sicherheitskonfigurationen! Daher sind hier unbedingt vorab genaue Sondierungen zur Integrität, Funktionalität und Konfigurationsabstimmungen erforderlich und fortlaufende Prüfungen der Integrität, Konfiguration und Sicherheit angezeigt.

 

Um erweiterte Sicherheitsfunktionen wie DNSSEC, Malwarefilter u.a. zu nutzen, empfiehlt sich die Nutzung von Sicherheitsplattformen wie Quad9, Cloudflare und ähnlichen Plattformen. Hierbei können bereits in Routern oder auch Endgeräten Sicherheitseinstellungen verwendet werden, die sichere DNS-Server ansteuern, um frühzeitig Manipulationen des Datenverkehrs oder Schadcodes von eigenen Netzwerken und Endgeräten fernzuhalten. Funktionen hierzu nennen sich „DNS over TLS“ und „DNS over https“ :

 

https://www.ionos.de/digitalguide/server/sicherheit/dns-over-tls 

 

https://www.ionos.de/digitalguide/server/knowhow/dns-over-https

14. Informationen zu Konfigurationen:

 

 

https://de.wikipedia.org/wiki/DNS_over_HTTPS

 

https://de.wikipedia.org/wiki/DNS_over_TLS

 

https://www.privacy-handbuch.de/handbuch_21w.htm

 

https://support.mozilla.org/de/kb/firefox-dns-%C3%BCber-https

 

 

Informationen von AVM zur Konfiguration

 

Hinweise:

 

Fritz.Box wählen zur Konfigurationshilfe. Hinweise von AVM beachten und auch die Hinweise des eigenen Providers, da nicht jedes internetfähige Gerät unterstützt wird oder Beschränkungen bestehen für zusätzliche Sicherheitskonfigurationen!

 

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/165_Andere-DNS-Server-in-FRITZ-Box-einrichten/

 

 

Nutzung von DNSSEC-Diensten in IT-Systemen, Routern und mobilen Endgeräten:

 

Informationen zu den Sicherheitsnetzwerken Quad9, der Global Cyber Alliance, der ECO-TopDNS-Initiative…

 

https://www.quad9.net ,

 

https://www.globalcyberalliance.org

 

https://www.eco.de/presse/eco-initiative-topdns-bekaempft-dns-missbrauch/ .

 

15. Dokumentationen von Cyberangriffen auf DNS-Einstellungen und Lieferketten:

 

 

Neuartige Cyberangriffe u.a. auf DNS-Einstellungen:

 

"...MATA ist nicht einfach ein nur funktionsreiches Stück Malware. Es ist eine Art Dirigent, der bei Bedarf schädliche Werkzeuge herunterlädt. Beginnen wir mit der Tatsache, dass  MATA Computer mit den drei beliebtesten Betriebssystemen angreifen kann: Windows, Linux und MacOS...

 

...Was die MacOS-Tools betrifft, so wurden sie in einer trojanisierten Anwendung gefunden, die auf Open-Source-Software basiert. Hinsichtlich der Funktionalität war die macOS-Version fast identisch mit der Linux Version...!"

 

https://www.kaspersky.de/blog/mata-framework/24769/

 

https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

   

   

"...Immer häufiger ist die gesamte Konnektivitätskette Ziel von Cyberangriffen...!"

 

https://www.itsicherheit-online.com/news/cybersicherheit-news/immer-haeufiger-ist-die-gesamte-konnektivitaetskette-ziel-von-cyberangriffen

 

   

„...Lazarus attackiert Verteidigungsindustrie und Lieferketten...

 

...Forscher identifizierten bei Lazarus - einem äußerst produktiven Advanced Threat-Akteur – verstärkte Angriffsfähigkeiten auf Lieferketten. Des Weiteren setzt die Advanced-Persistent-Threat (APT)-Gruppe nun das plattformübergreifende MATA-Framework für Cyberspionage-Ziele ein...!"

 

https://www.itsicherheit-online.com/blog/detail/sCategory/725/blogArticle/6445

 

Kontakt

Webservice Schmitz

Liegnitzer Str. 3

65191 Wiesbaden

 

Rufen Sie einfach an unter:

+49 611 36 26 33 0

+49 176 96 13 42 37

oder per Mail an:

info(at)webservice-schmitz.de

Tipps:

Maßstab: Kein internetfähiges Gerät ohne Schutz einsetzen!

 

Sicherheits-Tests zu geprüfter und zertifizierter Sicherheitssoftware und Technik für Privat und Unternehmen, mobile Endgeräte und Iot-Technik:

https://www.av-test.org/de/

Ist Ihr Router sicher...?

Router sind die "Achillesferse" eines jeden Netzwerks. Die IT-Sicherheit Ihrer gesamten Infrastruktur ist davon betroffen: Hierzu die Analysen über Sicherheitslücken in Routern vom Fraunhofer Institut von 2020 und 2022:

Home Router Security Report 2020

https://www.fkie.fraunhofer.de/content/dam/fkie/de/documents/HomeRouter/HomeRouterSecurity_2020_Bericht.pdf

 

Home Router Security Report 2022

https://newsletter.fraunhofer.de/-link2/17568/2049/35/97/1095/J1twPB14/BlkhKXDuSb/0

 

Dabei gilt zu beachten: Die Hersteller der "Internet der Dinge (Iot)"-Technologien  (Computer, Smartphones, Tablets, Labtops,Smart Home, etc.) unterstützen deren Hardware, bzw. Geräte mit Updates, sogenannter "Firmware", allenfalls nur für einen begrenzten Zeitraum. Betroffen sind sämtliche internetfähigen Geräte!

 

Positives Beispiel für transparente Dokumentation:

 

AVM u.a. Fritz.Box-Modelle . Daher ist eine regelmäßige Überprüfung Ihres Routers und Neuanschaffung ratsam, um die IT-Sicherheit und Datenschutz Ihres Netzwerk aktuell zu halten. Ist Ihr Router noch aktuell?

 

Zur Überprüfung finden Sie die technischen Daten an Ihrem Router an der Rückseite oder Unterseite und können dann beim Hersteller (Webseite oder Support) die Aktualität überprüfen.

 

Auch ein Blick auf Ihren DSL- oder Smartphone-Vertrag lohnt, um neben der Frage nach einem neuen Smartphone oder Router, auch die Konditionen Ihres Provider-Vertrages zu prüfen!

Wie sicher ist Ihre IT...?

1. Sind Ihre Iot-Geräte (Heimnetzgeräte) bereits öffentlich auffindbar? Iot-Scanner von Bullguard:

https://iotscanner.azurewebsites.net/

 

2. Der Sicherheitsspezialist Bitdefender führt einen Home-Netzwerkscanner auf seiner Homepage:

 

"...Kostenloser & extrem schneller WLAN-Scanner für Ihr Heimnetzwerk. Der Bitdefender Home Scanner sucht nach anfälligen Geräten und Passwörtern und liefert Ihnen ausführliche Sicherheitsempfehlungen für Ihr Heimnetzwerk...!"

https://www.bitdefender.de/solutions/home-scanner.html

3. Sicherheits-System für Iot-Geräte im Netzwerk von Bitdefender:

Empfehlung: Bitdefender Box - Ihr Komplettschutz für alle mit dem Internet verbundenen Geräte.

Leistungen im Vergleich auf der Webseite des Herstellers:

https://www.bitdefender.de/box/compare/

Druckversion | Sitemap Diese Seite weiterempfehlen
Webservice Schmitz www.webservice-schmitz.de

Anrufen

E-Mail