Zwischen den Zeilen lesen: Braunschweiger IT-Experten entwickeln Schutz gegen E-Mail-Betrugsmasche

Ein Team aus Forschern des Instituts für Systemsicherheit an der TU Braunschweig, Mitarbeitern der Genua GmbH und Kollegen der Friedrich-Alexander-Universität Erlangen-Nürnburg hat einen vielsprechenden Ansatz zur Erkennung von Spear Phishing entwickelt. Ihre lokale, empfängerseitige und datenschutzfreundliche Methode basiert auf Verfahren des maschinelles Lernens.

„Unsere Methode kann gefälschte E-Mails mit einer Erkennungsrate von 90 Prozent ermitteln. Dafür identifizieren wir Unregelmäßigkeiten in der Struktur von E-Mails, die ohne besonderes Hintergrundwissen des Angreifers nicht gefälscht werden können“, sagt Prof. Konrad Rieck vom Institut für Systemsicherheit an der TU Braunschweig.

E-Mail-Kommunikation ist ein bevorzugtes Einfallstor für Angreifer, um sich Zugang zu Organisationen und Unternehmen zu verschaffen, Informationen auszuspionieren oder Schadsoftware zu platzieren. Ein grundsätzliches Problem in der E-Mailkommuniktion ist das Mail-Spoofing, also die Manipulation von Daten im E-Mail-Header.

Einfache gefälschte Mails kann ein Empfänger aufgrund von unplausiblen Absenderangaben, Übersetzungs- und Formatfehlern oder anderen sichtbaren Inkonsistenzen leicht als Spam einordnen. Bei einem gezielten Angriff hingegen orientiert sich der Angreifer an persönlichen Daten des Empfängers und passt sich an sein Verhalten an.

Der Angreifer formuliert und gestaltet seine E-Mail maßgeschneidert, so dass er dem Empfänger größtmögliche Authenzität vortäuscht: Die im Mailtext angesprochenen Themen scheinen glaubwürdig und die Schreibweisen stimmig. Der Absender ist eine vertrauenswürdige Quelle. Die Bedrohung ist somit nicht mehr erkennbar, der Nutzer akzeptiert die E-Mail als legitim.

Allgemeine Anti-Spoofing-Methoden wie das Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), Domain Message Authentication Reporting & Conformance (DMARC) können bei der Validierung des Absenders helfen.

Auch digitale Unterschriften wie PGP und S/MIME erlauben es, den Absender zu verifizieren. Leider werden diese Sicherheitsmaßnahmen selten in der Praxis angewendet. In der Stichprobe zur Evaluierung der Braunschweiger Detektionsmedthode mit rund 700.000 anonymisierten Mails verfügten weniger als 5 Prozent über Schutzmaßnahmen wie DKIM.

Da es sich bei Spear Phishing also um E-Mails mit kompromittiertem Inhalt handelt, suchten die Wissenschaftler nach einer Analysemethode, die nicht auf den Inhalt der Nachrichten zurückgreift. „Wir müssen also zwischen den Zeilen lesen“, so Prof. Rieck.

Der Sender hinterlässt meist über lange Zeit konsistente, individuelle Merkmale in der Struktur seiner versandten E-Mails. Auch wenn der Angreifer die Authentizität von E-Mails nachstellen kann, stellt ihn das Nachahmen der internen Mail-Struktur vor große Herausforderungen. Alle Unregelmäßgkeiten in der E-Mailstruktur können demnach wertvolle Hinweise auf eine Manipulation geben. Um diese Unregelmäßigkeiten zu erfassen, haben die Forscher Gruppen von Merkmalen der E-Mailstruktur identifiziert.

Diese Merkmalsgruppen charakterisieren E-Mails beliebig vieler Absender, die im Empängerpostkasten ankommen. Um festuzustellen, welche E-Mail verdächtig ist, werden mit Hilfe des maschinellen Lernens Absenderprofile erstellt. E-Mails werden als „spoofed“ klassifiziert, wenn es zwischen Absender und dem Profil bzw. den Mekmalsvektoren Diskrepanzen gibt.

Die Erkennungsmethode wurde an einem Sample mit realen E-Mails getestet. Die Forscher interessierte besonders, wie zuverlässig ihre entwickelte Methode bei unterschiedlichen Wissensleveln des Angreifers funktioniert. Für die Evaluierung wurden anonymisierte E-Mails aus 92 Postfächern extrahiert, wobei mindestens zwei Mails eines jeden Absenders vorliegen mussten (eine Trainings- und eine Test-Mail). Das Dataset bestand aus 760.603 E-Mails von 17.381 Absendern.

Das Wissenslevel des Angreifers teilten die Forscher in Szenarien auf. „Die Evaluierung hat gezeigt, dass das Erkennungsmodell zuverlässig Tausende Absender klassifizieren und gefälschte E-Mails erkennen kann“, sagt Prof. Rieck. Voraussetzung sei jedoch, dass der Angreifer nur über ein begrenztes Wissen über die Strukturdaten vertrauenswürdiger E-Mail verfüge.

Problematisch wird es, wenn Angreifer aufgrund höherer Sensibilisierung der Nutzer und besserer Erkennungsmethoden ihre Strategie verfeinern. Trotz allem sind die Hürden für Angreifer sehr hoch, an Detailinformationen über Transport-Infrastruktur und Kopien von E-Mails des Zielempfängers zu gelangen.

Prof. Dr. Konrad Rieck
Institut für Systemsicherheit
Technische Universität Braunschweig
Rebenring 56
38106 Braunschweig
Tel.: 0531 391-55120
E-Mail: k.rieck@tu-bs.de
Web: http://www.tu-braunschweig.de/sec

Gascon H, Ullrich S, Stritter B, Rieck K (2018) Reading Between The Lines: Content-Agnostic, Detection of Spear-Phishing Emails, published in: Research in Attacks, Intrusions, and Defenses. 21st International Symposium, RAID 2018, Heraklion, Crete, Greece, September 10-12, 2018, Proceedings, Herausgeber: Bailey M, Holz T, Stamatogiannakis M, Ioannidis S