Google: Kampf gegen Phishing zahlt sich aus

Seit 2004 von Branchenverbänden und Standardisierungsgremien erarbeitete Standards zur E-Mail-Authentifizierung erschweren Spammern zunehmend den erfolgreichen Versand von Phishing-E-Mails. Nach fast einem Jahrzent haben sich diese Standards so breit durchgesetzt, dass es immer weniger möglich ist, die Herkunft einer E-Mail fälschlich einer anderen Domain zuzuschreiben, der die Nutzer vertrauen.

Die Empfänger könnten durch eine vorgetäuschte Herkunft der Mail vielleicht dazu gebracht werden, sensible Daten preiszugeben. Ein typischer Fall von E-Mail-Phishing ist etwa eine gefälschte Nachricht, die angeblich von der Bank des Empfängers kommt und in der er aufgefordert wird, seine Kontendaten auf einer verlinkten Webseite einzugeben. Betrügern gelang es auf diese Weise immer wieder, Identitäten zu stehlen und Konten zu plündern.

Wie Anti-Phishing-Spezialist Elie Bursztein von Google berichtet, kommen inzwischen 91,4 Prozent der an Gmail-Nutzer versandten Nicht-Spam-Mails von authentifizierten Sendern. Das wiederum macht dem E-Mail-Dienst möglich, jährlich Milliarden von E-Mails auszufiltern, die einen falschen Absender vorgeben, und gar nicht erst in die Inbox der Nutzer gelangen zu lassen.

76,9 Prozent der empfangenen Mails sind nach dem DKIM-Standard (DomainKeys Identified Mail) signiert. Über eine halbe Million wöchentlich aktive Domains haben diesen Mechanismus übernommen. 89,1 Prozent kommen von SMTP-Servern, die ihre Identität über den SPF-Standard (Sender Policy Framework) bestätigen. 74,7 Prozent der eingehenden E-Mails sind sogar nach beiden Standards geprüft. 80.000 Domains haben Richtlinien umgesetzt, durch die Gmail jede Woche hunderte Millionen nicht authentifizierter E-Mails nach der übergreifenden DMARC-Spezifikation abweisen kann.

Bei der Nutzung von DKIM ist wichtig, einen öffentlichen Schlüssel mit nicht weniger als 1024 Bits zu wählen, um eine Entschlüsselung durch Angreifer zu verhindern – die dann doch vortäuschen könnten, dass eine Nachricht von der jeweiligen Domain verschickt wurde. Wie im letzten Jahr auch Google, Microsoft und Yahoo zur Kenntnis nehmen mussten, bieten kürzere Schlüssel keine hinreichende Sicherheit mehr.

Bursztein fordert darüber hinaus auch die Inhaber von Domains zur Mithilfe auf, die selbst keine E-Mails versenden. Sie sollten dafür eine DMARC-Richtlinie veröffentlichen, in der sie ihre Domain als Nicht-Versender definieren. Die Hinzufügung einer „Zurückweisen“-Vorgabe für diese Domains stelle sicher, „dass keine E-Mails, die sich als Sie ausgeben, in den Posteingang von Gmail-Nutzern gelangen“.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago