idw – Informationsdienst Wissenschaft

Nachrichten, Termine, Experten

Grafik: idw-Logo
Science Video Project
idw-Abo

idw-News App:

AppStore

Google Play Store



Instanz:
Teilen: 
10.09.2018 13:45

Zwischen den Zeilen lesen: Braunschweiger IT-Experten entwickeln Schutz gegen E-Mail-Betrugsmasche

Janos Krüger Presse und Kommunikation
Technische Universität Braunschweig

    Beim Spear-Phishing handelt es sich um eine Infiltrationsmethode, die mit manipulierten E-Mails auf einzelne Personen abzielt. Während herkömmliche Phishing-Mails für aufmerksame Empfänger als Betrugsversuch erkennbar sind, können bei Spear Phishing-Mails selbst geübte Nutzer kaum ihre Authentizität feststellen. Der Grund dafür ist, dass der Angreifer seine E-Mails individuell auf eine Person und ihr Umfeld zuschneidet. So getarnt tappt der Nutzer in die Falle und öffnet schädliche Dateianhänge oder Links zu ungewünschten Webseiten. Gegen diese Art der Internetkriminalität haben Wissenschaftler der TU Braunschweig gemeinsam mit Partnern einen Abwehrmechanismus entwickelt.

    Ein Team aus Forschern des Instituts für Systemsicherheit an der TU Braunschweig, Mitarbeitern der Genua GmbH und Kollegen der Friedrich-Alexander-Universität Erlangen-Nürnburg hat einen vielsprechenden Ansatz zur Erkennung von Spear Phishing entwickelt. Ihre lokale, empfängerseitige und datenschutzfreundliche Methode basiert auf Verfahren des maschinelles Lernens. „Unsere Methode kann gefälschte E-Mails mit einer Erkennungsrate von 90 Prozent ermitteln. Dafür identifizieren wir Unregelmäßigkeiten in der Struktur von E-Mails, die ohne besonderes Hintergrundwissen des Angreifers nicht gefälscht werden können“, sagt Prof. Konrad Rieck vom Institut für Systemsicherheit an der TU Braunschweig.

    E-Mail-Kommunikation ist ein bevorzugtes Einfallstor für Angreifer, um sich Zugang zu Organisationen und Unternehmen zu verschaffen, Informationen auszuspionieren oder Schadsoftware zu platzieren. Ein grundsätzliches Problem in der E-Mailkommuniktion ist das Mail-Spoofing, also die Manipulation von Daten im E-Mail-Header. Einfache gefälschte Mails kann ein Empfänger aufgrund von unplausiblen Absenderangaben, Übersetzungs- und Formatfehlern oder anderen sichtbaren Inkonsistenzen leicht als Spam einordnen. Bei einem gezielten Angriff hingegen orientiert sich der Angreifer an persönlichen Daten des Empfängers und passt sich an sein Verhalten an. Der Angreifer formuliert und gestaltet seine E-Mail maßgeschneidert, so dass er dem Empfänger größtmögliche Authenzität vortäuscht: Die im Mailtext angesprochenen Themen scheinen glaubwürdig und die Schreibweisen stimmig. Der Absender ist eine vertrauenswürdige Quelle. Die Bedrohung ist somit nicht mehr erkennbar, der Nutzer akzeptiert die E-Mail als legitim.

    Allgemeine Anti-Spoofing-Methoden wie das Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain Message Authentication Reporting & Conformance (DMARC) können bei der Validierung des Absenders helfen. Auch digitale Unterschriften wie PGP und S/MIME erlauben es, den Absender zu verifizieren. Leider werden diese Sicherheitsmaßnahmen selten in der Praxis angewendet. In der Stichprobe zur Evaluierung der Braunschweiger Detektionsmedthode mit rund 700.000 anonymisierten Mails verfügten weniger als 5 Prozent über Schutzmaßnahmen wie DKIM.

    Da es sich bei Spear Phishing also um E-Mails mit kompromittiertem Inhalt handelt, suchten die Wissenschaftler nach einer Analysemethode, die nicht auf den Inhalt der Nachrichten zurückgreift. „Wir müssen also zwischen den Zeilen lesen“, so Prof. Rieck. Der Sender hinterlässt meist über lange Zeit konsistente, individuelle Merkmale in der Struktur seiner versandten E-Mails. Auch wenn der Angreifer die Authentizität von E-Mails nachstellen kann, stellt ihn das Nachahmen der internen Mail-Struktur vor große Herausforderungen. Alle Unregelmäßgkeiten in der E-Mailstruktur können demnach wertvolle Hinweise auf eine Manipulation geben. Um diese Unregelmäßigkeiten zu erfassen, haben die Forscher Gruppen von Merkmalen der E-Mailstruktur identifiziert.

    Diese Merkmalsgruppen charakterisieren E-Mails beliebig vieler Absender, die im Empängerpostkasten ankommen. Um festuzustellen, welche E-Mail verdächtig ist, werden mit Hilfe des maschinellen Lernens Absenderprofile erstellt. E-Mails werden als „spoofed“ klassifiziert, wenn es zwischen Absender und dem Profil bzw. den Mekmalsvektoren Diskrepanzen gibt.

    Die Erkennungsmethode wurde an einem Sample mit realen E-Mails getestet. Die Forscher interessierte besonders, wie zuverlässig ihre entwickelte Methode bei unterschiedlichen Wissensleveln des Angreifers funktioniert. Für die Evaluierung wurden anonymisierte E-Mails aus 92 Postfächern extrahiert, wobei mindestens zwei Mails eines jeden Absenders vorliegen mussten (eine Trainings- und eine Test-Mail). Das Dataset bestand aus 760.603 E-Mails von 17.381 Absendern.

    Das Wissenslevel des Angreifers teilten die Forscher in Szenarien auf. „Die Evaluierung hat gezeigt, dass das Erkennungsmodell zuverlässig Tausende Absender klassifizieren und gefälschte E-Mails erkennen kann“, sagt Prof. Rieck. Voraussetzung sei jedoch, dass der Angreifer nur über ein begrenztes Wissen über die Strukturdaten vertrauenswürdiger E-Mail verfüge.

    Problematisch wird es, wenn Angreifer aufgrund höherer Sensibilisierung der Nutzer und besserer Erkennungsmethoden ihre Strategie verfeinern. Trotz allem sind die Hürden für Angreifer sehr hoch, an Detailinformationen über Transport-Infrastruktur und Kopien von E-Mails des Zielempfängers zu gelangen.


    Wissenschaftliche Ansprechpartner:

    Prof. Dr. Konrad Rieck
    Institut für Systemsicherheit
    Technische Universität Braunschweig
    Rebenring 56
    38106 Braunschweig
    Tel.: 0531 391-55120
    E-Mail: k.rieck@tu-bs.de
    Web: http://www.tu-braunschweig.de/sec


    Originalpublikation:

    Gascon H, Ullrich S, Stritter B, Rieck K (2018) Reading Between The Lines: Content-Agnostic, Detection of Spear-Phishing Emails, published in: Research in Attacks, Intrusions, and Defenses. 21st International Symposium, RAID 2018, Heraklion, Crete, Greece, September 10-12, 2018, Proceedings, Herausgeber: Bailey M, Holz T, Stamatogiannakis M, Ioannidis S


    Bilder

    Abbildung eines E-Mail-Headers mit Strukturdaten
    Abbildung eines E-Mail-Headers mit Strukturdaten
    Institut für Systemsicherheit/TU Braunschweig
    None


    Merkmale dieser Pressemitteilung:
    Journalisten
    Informationstechnik, Wirtschaft
    überregional
    Forschungsergebnisse, Wissenschaftliche Publikationen
    Deutsch


     

    Abbildung eines E-Mail-Headers mit Strukturdaten


    Zum Download

    x

    Hilfe

    Die Suche / Erweiterte Suche im idw-Archiv
    Verknüpfungen

    Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.

    Klammern

    Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).

    Wortgruppen

    Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.

    Auswahlkriterien

    Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).

    Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).