Phishing mit Signaturen effizient bekämpfen

Originalartikel von Douglas Otis (Advanced Threats Researcher bei Trend Micro)

Kennen Sie das Computerspiel Whack-a-mole? Ziel ist es, Maulwürfe, die aus Löchern hervorkommen, mittels eines Holzhammers oder Tasten wieder in die Löcher zu hauen. Man stelle sich nun eine Variante des Spiels vor, in der der Maulwurf in der Zeit, in der der „Hammer“ sich hebt und senkt, in ein anderes Loch verschwindet – dabei gibt es aber statt der sechs Löcher Millionen davon. Phishing-Versuche zu stoppen ist ähnlich schwierig wie ein solches Spiel zu gewinnen.

Normalerweise werden E-Mail-Nachrichten angenommen, nachdem die Reputation der Quellen geprüft wurde. Doch wie bei Whack-a-mole ist die Zeitspanne, die ein Spieler für eine Reaktion mit dem Holzhammer braucht, vergleichbar mit der, die nötig ist, um eine Reputation zu erlangen und zu verbreiten. Dieses Problem sollen Author Domain Signing Practices (ADSP), eine Erweiterung der DomainKeys Identified Mail (DKIM), lösen. Mit Hilfe von ADSP stellen Author Domains Aussagen darüber auf, ob sie DKIM für das Signieren aller nach draußen gehenden Mail-Nachrichten nutzen oder nicht. Für die Empfänger ist dies eine Grundlage, um schnell zu entscheiden, ob sie eine nicht signierte Nachricht annehmen wollen. Unglücklicherweise hat sich die einfache Behauptung, dass alle Nachrichten signiert sind, als nicht ausreichend erwiesen, denn in vielen Fällen setzen Third-Party-Services die Signaturen außer Kraft. Um die Zweifel bei der Entscheidungauszuräumen, eine nicht signierte Nachricht (Mails die von Third-Party-Services geändert wurden) anzunehmen oder nicht, gibt es die Behauptung „discardable“. Doch damit entstehen neue Schwierigkeiten, denn viele Mail Server weisen nicht kompatible Nachrichten zurück – ein Problem für Mailing-Listen.

Dies führt zu einem weiteren Lösungsversuch: Um nicht diejenigen, die discardable Nachrichten zurückweisen aus den Listen entfernen zu müssen, werden die Domänen, die ADSP discardable Aussagen machen, angewiesen, ihre Nachrichten via Unterdomänen zu verschicken, die keine problematischen ADSP-Aussagen treffen. Leider führt die Nutzung verschiedener Domänen mit unterschiedlichen Praktiken zu steigenden Phishing-Aktivitäten – und stellt somit die gesamten ADSP-Bemühungen in Frage. Die Nutzer wissen nämlich nicht mehr, wem sie trauen können.

Diese Überlegungen stehen hinter dem so genannten TPA-Label (Third Party Authorization). Diese Autorisierungsstrategie ist eine DNS-basierte Erweiterung für DKIM ADSP Records und erlaubt Domänen, im From-Header annehmbare Signaturen von Third Parties zu autorisieren. Die Autorisierung beruht auf Hashed Labels. Will beispielsweise soho-flower.com in eine geheime Mailing-Liste, die die Domänen, die Signaturen ausgeben, nicht publiziert, so würde das TPA-Label-Schema lediglich eine Autorisierung für die Nachrichtenempfänger gewähren. Weitere Details finden sich in einem ausführlichen Artikel im Security Spotlight von Trend Micro.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*