/Tech

Dank Mailsploit können Hacker perfekt E-Mails fälschen

WIRED Staff 06.12.2017

Ein Sicherheitsforscher hat Lücken in der Authentifizierung von E-Mail-Absendern entdeckt. Dank diesen können sich Betrüger ohne Probleme als vertrauenswürdige Quelle tarnen. Nur ein Teil der betroffenen Mail-Anbieter plant, die entsprechenden Bugs auszubessern.

Der Programmierer und Sicherheitsforscher Sabri Haddouche nennt die Gruppierung verschiedener Angriffsmöglichkeiten Mailsploit. Diese nutzen Schwächen bei der Authentifizierung des Absenders zwischen Mailserver und E-Mail-Client aus. Mailsploit funktionierte unter anderem bei Apple Mail, Thunderbird, Microsoft Mail, Outlook 2016, Yahoo! Mail und einigen weiteren Anbietern, schreibt Haddouche auf einer eigens eingerichteten Webseite.

Per Mailsploit erzeugte E-Mail-Kopfzeilen wirken auf den Empfänger so, als seien sie von einer legitimen Mailadresse abgeschickt worden — beispielsweise potus@whitehouse.gov oder tcook@apple.com. Entsprechend können selbst vorsichtige Nutzer leicht Opfer von Phishing-Attacken werden, bei denen sie unwissentlich vertrauliche Daten an Kriminelle weitergeben.

Mailsploit funktioniert dank einer Kombination aus individuellen Bugs der Mail-Anbieter und der Art, in der verschiedene Betriebssysteme Text interpretieren. Das 25 Jahre alte Skript für E-Mail-Server liest den Text der Kopfzeile anders aus, als es der Client beim Empfänger tut. Der Server bekommt eine Sache zu sehen, der Empfänger jedoch am Ende eine andere.

Haddouche hat die betroffenen Firmen bereits vor mehreren Monaten über die Sicherheitslücken informiert. Während Yahoo Mail, Protonmail und Hushmail bereits entsprechende Patches geliefert haben, arbeiten Apple und Microsoft nach eigenen Angaben noch an einer Lösung. Die meisten anderen Dienste haben laut dem Sicherheitsforscher gar nicht reagiert — oder im Falle von Mozilla und Opera darauf hingewiesen, dass das Problem auf Seiten der Serverbetreiber liegt. Tatsächlich können die E-Mail-Anbieter aber an dieser Stelle ebenfalls nachbessern, selbst wenn die Client-Software verwundbar bleibt.

Letztlich sollten Nutzer auch bei vertrauenswürdig erscheinenden Absendern nicht vorschnell auf Links klicken oder Anhänge öffnen. Eine Rückfrage an den Absender mit einer alternativen Kommunikationsmöglichkeit wie einem Chat-Programm oder per Anruf kann im Zweifelsfall viel Schaden abwenden.