Beim Spear-Phishing handelt es sich um eine Infiltrationsmethode, die mit manipulierten E-Mails auf einzelne Personen abzielt. Während herkömmliche Phishing-Mails für aufmerksame Empfänger als Betrugsversuch erkennbar sind, können bei Spear Phishing-Mails selbst geübte Nutzer kaum ihre Authentizität feststellen. Der Grund dafür ist, dass der Angreifer seine E-Mails individuell auf eine Person und ihr Umfeld zuschneidet. So getarnt tappt der Nutzer in die Falle und öffnet schädliche Dateianhänge oder Links zu ungewünschten Webseiten. Gegen diese Art der Internetkriminalität haben Wissenschaftler der TU Braunschweig gemeinsam mit Partnern einen Abwehrmechanismus entwickelt.
Ein Team aus Forschern des Instituts für Systemsicherheit an der TU Braunschweig, Mitarbeitern der Genua GmbH und Kollegen der Friedrich-Alexander-Universität Erlangen-Nürnburg hat einen vielsprechenden Ansatz zur Erkennung von Spear Phishing entwickelt. Ihre lokale, empfängerseitige und datenschutzfreundliche Methode basiert auf Verfahren des maschinelles Lernens. „Unsere Methode kann gefälschte E-Mails mit einer Erkennungsrate von 90 Prozent ermitteln. Dafür identifizieren wir Unregelmäßigkeiten in der Struktur von E-Mails, die ohne besonderes Hintergrundwissen des Angreifers nicht gefälscht werden können“, sagt Prof. Konrad Rieck vom Institut für Systemsicherheit an der TU Braunschweig.
E-Mail-Kommunikation ist ein bevorzugtes Einfallstor für Angreifer, um sich Zugang zu Organisationen und Unternehmen zu verschaffen, Informationen auszuspionieren oder Schadsoftware zu platzieren. Ein grundsätzliches Problem in der E-Mailkommuniktion ist das Mail-Spoofing, also die Manipulation von Daten im E-Mail-Header. Einfache gefälschte Mails kann ein Empfänger aufgrund von unplausiblen Absenderangaben, Übersetzungs- und Formatfehlern oder anderen sichtbaren Inkonsistenzen leicht als Spam einordnen. Bei einem gezielten Angriff hingegen orientiert sich der Angreifer an persönlichen Daten des Empfängers und passt sich an sein Verhalten an. Der Angreifer formuliert und gestaltet seine E-Mail maßgeschneidert, so dass er dem Empfänger größtmögliche Authenzität vortäuscht: Die im Mailtext angesprochenen Themen scheinen glaubwürdig und die Schreibweisen stimmig. Der Absender ist eine vertrauenswürdige Quelle. Die Bedrohung ist somit nicht mehr erkennbar, der Nutzer akzeptiert die E-Mail als legitim.
Allgemeine Anti-Spoofing-Methoden wie das Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain Message Authentication Reporting & Conformance (DMARC) können bei der Validierung des Absenders helfen. Auch digitale Unterschriften wie PGP und S/MIME erlauben es, den Absender zu verifizieren. Leider werden diese Sicherheitsmaßnahmen selten in der Praxis angewendet. In der Stichprobe zur Evaluierung der Braunschweiger Detektionsmedthode mit rund 700.000 anonymisierten Mails verfügten weniger als 5 Prozent über Schutzmaßnahmen wie DKIM.
Da es sich bei Spear Phishing also um E-Mails mit kompromittiertem Inhalt handelt, suchten die Wissenschaftler nach einer Analysemethode, die nicht auf den Inhalt der Nachrichten zurückgreift. „Wir müssen also zwischen den Zeilen lesen“, so Prof. Rieck. Der Sender hinterlässt meist über lange Zeit konsistente, individuelle Merkmale in der Struktur seiner versandten E-Mails. Auch wenn der Angreifer die Authentizität von E-Mails nachstellen kann, stellt ihn das Nachahmen der internen Mail-Struktur vor große Herausforderungen. Alle Unregelmäßgkeiten in der E-Mailstruktur können demnach wertvolle Hinweise auf eine Manipulation geben. Um diese Unregelmäßigkeiten zu erfassen, haben die Forscher Gruppen von Merkmalen der E-Mailstruktur identifiziert.
Diese Merkmalsgruppen charakterisieren E-Mails beliebig vieler Absender, die im Empängerpostkasten ankommen. Um festuzustellen, welche E-Mail verdächtig ist, werden mit Hilfe des maschinellen Lernens Absenderprofile erstellt. E-Mails werden als „spoofed“ klassifiziert, wenn es zwischen Absender und dem Profil bzw. den Mekmalsvektoren Diskrepanzen gibt.
Die Erkennungsmethode wurde an einem Sample mit realen E-Mails getestet. Die Forscher interessierte besonders, wie zuverlässig ihre entwickelte Methode bei unterschiedlichen Wissensleveln des Angreifers funktioniert. Für die Evaluierung wurden anonymisierte E-Mails aus 92 Postfächern extrahiert, wobei mindestens zwei Mails eines jeden Absenders vorliegen mussten (eine Trainings- und eine Test-Mail). Das Dataset bestand aus 760.603 E-Mails von 17.381 Absendern.
Das Wissenslevel des Angreifers teilten die Forscher in Szenarien auf. „Die Evaluierung hat gezeigt, dass das Erkennungsmodell zuverlässig Tausende Absender klassifizieren und gefälschte E-Mails erkennen kann“, sagt Prof. Rieck. Voraussetzung sei jedoch, dass der Angreifer nur über ein begrenztes Wissen über die Strukturdaten vertrauenswürdiger E-Mail verfüge.
Problematisch wird es, wenn Angreifer aufgrund höherer Sensibilisierung der Nutzer und besserer Erkennungsmethoden ihre Strategie verfeinern. Trotz allem sind die Hürden für Angreifer sehr hoch, an Detailinformationen über Transport-Infrastruktur und Kopien von E-Mails des Zielempfängers zu gelangen.
Prof. Dr. Konrad Rieck
Institut für Systemsicherheit
Technische Universität Braunschweig
Rebenring 56
38106 Braunschweig
Tel.: 0531 391-55120
E-Mail: k.rieck@tu-bs.de
Web: http://www.tu-braunschweig.de/sec
Gascon H, Ullrich S, Stritter B, Rieck K (2018) Reading Between The Lines: Content-Agnostic, Detection of Spear-Phishing Emails, published in: Research in Attacks, Intrusions, and Defenses. 21st International Symposium, RAID 2018, Heraklion, Crete, Greece, September 10-12, 2018, Proceedings, Herausgeber: Bailey M, Holz T, Stamatogiannakis M, Ioannidis S
Abbildung eines E-Mail-Headers mit Strukturdaten
Institut für Systemsicherheit/TU Braunschweig
None
Criteria of this press release:
Journalists
Economics / business administration, Information technology
transregional, national
Research results, Scientific Publications
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).