Wie Mailbomben funktionieren
Eine Mailbombe überflutet den Posteingang der Zielperson in kürzester Zeit mit einer übermässigen Anzahl von E-Mail-Nachrichten. Die E-Mails lassen sich dabei häufig in zwei Kategorien einteilen:
-
Legitime Newsletter: Die Angreifer verwenden automatisierte Tools, um das Opfer gleichzeitig bei vielen Newslettern oder Mailinglisten anzumelden. Dies führt dann zu einer grossen Anzahl von Anmeldebestätigungen oder tatsächlichen Newslettern, die den Posteingang in kürzester Zeit überfluten. Da diese E-Mails von legitimen Diensten stammen, sind sie nur schwer von normalen Nachrichten zu unterscheiden.
-
Spam: Anstatt legitime Dienste zu nutzen, versenden die Angreifer Tausende (oder sogar Millionen) von Spam-E-Mails über bereits kompromittierte E-Mail-Server. Je nach Art des (Spam-)Inhalts kann diese Variante leichter von regulären Nachrichten zu unterscheiden sein.
Schall und Rauch
Mailbomben sind nicht nur lästig, sondern oft auch ein Deckmantel für andere bösartige Aktivitäten. Indem sie wichtige E-Mails unter einer Flut von Nachrichten begraben, können Angreifer legitime Sicherheitswarnungen oder Transaktionsbenachrichtigungen verbergen. Kriminelle nutzen diese Taktik zum Beispiel, um:
- Betrug zu verschleiern: Mailbomben verbergen Transaktionsbestätigungen für beispielsweise im Internet getätigte Einkäufe.
- Opfer abzulenken: Das Personal im IT Security Team wird durch den Einsatz von Mailbomben daran gehindert, Warnungen rechtzeitig zu sehen oder Massnahmen gegen laufende Sicherheitsverletzungen einzuleiten.
- Social Engineering zu ermöglichen: Das durch Mailbomben entstehende Chaos wird dazu genutzt, die Opfer telefonisch zu kontaktieren und einen zweiten Angriff zu starten. Dabei gibt sich der Angreifer als Mitarbeiter im Helpdesk aus und leitet das Opfer an, Malware zu installieren, Anmeldedaten stehlen usw.
Mailbomben stören also nicht nur den Betrieb, sondern erhöhen gleichzeitig das Risiko für weitere Sicherheitsverletzungen, einschliesslich Phishing-Angriffen und Ransomware.
Wie man Mailbomben verhindern kann
Um sich vor E-Mail-Bombing-Angriffen zu schützen, können Sicherheitsteams spezielle E-Mail-Filter erstellen, um automatisch generierte E-Mails zu erkennen und zu blockieren.
Website-Administratoren und CMS-Anbieter sollten Registrierungen oder Anfragen von derselben IP-Adresse einschränken.
Abhilfe für xorlab-Kunden: Um die Auswirkungen von Mailbombing zu reduzieren, hat xorlab in Release 7.0.9 die Email Bombing Recipient Addresses List eingeführt. So können gezielte E-Mail-Adressen zu dieser Liste hinzugefügt und automatisch generierte E-Mails aggressiver gefiltert werden.
Empfohlene Massnahmen
So schützen Sie Ihr Unternehmen und Ihre Benutzer vor Mailbombing:
- Klären Sie Ihr Team auf: Bringen Sie Ihren Mitarbeitern bei, wie sie Mailbomben selbst erkennen und melden können.
- Setzen Sie Erwartungen: Vermitteln Sie Ihrer Organisation klar, wie Ihr Team mit gemeldeten Fällen umgehen wird.
- Betonen Sie die Sicherheitspraktiken: Erinnern Sie die Benutzer daran, dass Ihr Sicherheitsteam sie niemals auffordern wird, auf Links zu klicken oder Dateien aus dem Internet herunterzuladen.
- Arbeiten Sie mit Ihrem Anbieter zusammen: Melden Sie Vorfälle zur Analyse an Ihren E-Mail-Sicherheitsanbieter. Wenn Sie xorlab-Kunde sind, wenden Sie sich bitte direkt an unser Support-Team.
Unser Team arbeitet an neuen Techniken zur Erkennung von Mailbomben und wird darüber berichten, sobald diese verfügbar sind.
Immer einen Schritt voraus
Mit xorlab können Sicherheitsanalysten E-Mail-Bedrohungen erkennen, bevor sie im Posteingang landen. Anhand von Daten aus dem Unternehmenskontext können Analysten schnell dynamische Sicherheitsrichtlinien erstellen, testen und einsetzen, die die Angriffe von morgen abfangen. Auf der interaktiven Tour unten erfahren Sie mehr.
Wie gut ist Ihre Organisation gegen moderne E-Mail-Bedrohungen geschützt? Identifizieren Sie Schwachstellen schnell und einfach mit xorlab's E-Mail Attack Simulation.
Titelbild erstellt mit DALL-E.
