Forscher des führenden Cybersicherheitsunternehmens SEC Consult entdeckten im vergangenen Jahr eine Schwachstelle, die es ermöglicht, gefälschte E-Mails im Namen vertrauenswürdiger Domänen zu versenden. Die neue Angriffstechnik „SMTP Smuggling“ kann beispielsweise für gezielte Phishing-Angriffe genutzt werden.
Was ist SMTP?
SMTP steht für Simple Mail Transfer Protocol. Obwohl die Ursprünge des Protokolls bereits in das Jahr 1982 zurückgehen, wird es auch heutzutage noch von der Mehrzahl der Server und E-Mail-Clients genutzt. Da eine grundlegende Überarbeitung des Protokolls nie stattgefunden hat, ist es für viele Mail-Probleme wie beispielsweise Spam oder Phishing mitverantwortlich.
Was steckt hinter der Schwachstelle?
Die Server, die für den Transport der Nachrichten zuständig sind, verwenden untereinander SMTP. Allerdings kommt es hierbei zu Interpretationsunterschieden. Die Sicherheitsforscher entdeckten im Juni 2023 die Schwachstelle, die das Fälschen der Absenderadressen von E-Mails auf ein neues Niveau hebt. Denn ihnen gelang es, an eine unverdächtige Mail eine zweite mit einer Fake-Absenderadresse anzuhängen. Sie fanden heraus, dass das Protokoll eine für das Ende des Datenteils einer E-Mail vereinbarte Signatur, unterschiedlich behandelt wird. Die Kennzeichnung des Mail-Endes wird von verschiedenen SMTP-Implementierungen unterschiedlich interpretiert. Hierdurch können Absicherungsverfahren umgangen werden, die eigentlich genau dafür da sind, Fälschungen aufzuspüren. Da die Fake-Mails vom selben Server kommen, werden sie nach Angaben der Sicherheitsforscher unter Umständen von den Techniken wie SPF, DKIM oder DMARC, sogar in ihrer vermeintlichen Echtheit bestätigt.
Wofür kann die Sicherheitslücke ausgenutzt werden?
Die Schwachstelle ist gravierend. Denn allein durch die Eingabe geringfügig variierender Daten ist es möglich, den Absender einer E-Mail zu fälschen. Angreifer könnten sich gegenüber dem Empfänger so zum Beispiel als Admin ausgeben. SMTP Smuggling ermöglicht es, Nachrichten zu versenden, die durch die betroffenen Systeme in mehrere E-Mails aufgespalten werden. Es entstehen neue Mails mit Fake-Absendern, die beispielsweise für gezielte Phishing-Angriffe eingesetzt werden können. Die gefälschten Mails umgehen die Authentifizierungsmechanismen. Ebenso ist es möglich, dass sie nicht mehr mit einem Spam-Hinweis gekennzeichnet sind. Die Entdecker der Schwachstelle informierten umgehend Microsoft, GMX und Cisco. Microsoft und GMX reagierten schnell und schlossen die Sicherheitslücke. Nach Angaben der Forscher lässt sich allerdings das Cisco Secure Email Gateway bis jetzt ausschließlich durch ein manuelles Eingreifen gegen die Schwachstelle härten.
das habe ich nun schon mehrmals selbst erfahren. sogar meine Vertragsperson wurde so – ohne dessen Wissen – ausgespäht und mißbraucht. da ich das erkannte, schrieb ich meiner Vertragsperson folgenden Satz: „ich informiere Sie daß ich JEDE E-Mail, die nicht an Sie zugestellt wird, an meinen E-Mail-Vertragspartner sende zur Analyse auf Cyberstraftaten“. so konnte mein Vertragspartner seinen E-Mail-Account überprüfen lassen auf Schwachstellen.
und woran ich das erkannte?
es kursieren schon seit JAHREN Falsch-E-Mail´s, die dem Empfänger suggerieren, den E-Mail-Adressat gäbe es nicht. es wird eine Delivery-Service-Mail dazu benutzt. und diese UNSERIÖSE automatische E-Mail-Empfangsbestätigung wird dann cyberkriminell als „getarnte ABWESENHEITS-E-MAIL“ an den Versender der E-Mail gesendet. und als SPAM markiert von den Servern, also „als“ UNECHTE E-MAIL.
wenn es eine ECHTE Unzustellbarkeit und SPAM E-MAIL wäre, dann hätte mein E-Mail-Anbieter diese E-Mail vom System aus sofort in den SPAM-ORDNER geschoben. wenn ich nun aber eine angebliche Unzustellbarkeit oder SPAM E-Mail in den normalen POSTEINGANG empfange, dann ist das eine EINFACHE E-Mail mit cyberkriminellem Schreib-Inhalt.
der aktuellste Fall ging mir vor wenigen Wochen zu von einer „de-hotmail-Adresse“. ich schrieb einer weiblichen YTuKanalbetreiberin eine ernstzunehmende E-Mail, und bekam als Antwort eine mysteriöse „Abwesenheitsnotiz“, als Delivery-Service-E-Mail in meinen regulären Posteingang. danach erlas ich alle Profilinformationen dieser Person und entdeckte deren Name. diesen schrieb ich als Betreff in meine Weiterleitungs-E-Mail an diese Person. und WIEDER empfing ich diese mysteriöse E-Mail mit der Unzustellbarkeit als SPAM. das war mir so eine Unverschämtheit daß ich dieser weiblichen Person C.C. eine weitere E-Mail sendete mit meinen Beobachtungen. denn: ich bekam diese erneute mysteriöse SPAM-E-MAIL mit Delivery-Service-Inhalt noch WÄHREND ich diese E-Mail verfaßte. und da ist es ja unmöglich, SCHON/BEREITS eine erneute SPAM-E-MAIL gesendet zu bekommen, weil ich ja NOCH am Verfassen des E-Mail-Textes war. das war die letzte SPAM-E-MAIL von dieser YTuKanalbetreiberin, denn ich schrieb daß ich diese E-Mail beweissichere.
daran erkennt man real daß die zuständigen Behörden überhaupt keine Schutzarbeit leisten, heißt, die zuständigen Behörden können nur FLICKEN, was Beschwerdeführer melden. selbst haben diese zuständigen Behörden überhaupt keine Programmiererkenntnisse. die cyberklonen nur von den zugetragenen Tatsachen. wäre es anders, wären längst alle Cyberverbrechen durch die Behörden beseitigt und die Geschädigten würden nicht unerlaubt und hinterhältig ausspioniert werden. dann hätten diese zuständigen Behörden längst erkannt daß seit dezember 2023 in schöner spontaner Regelmäßigkeit diese Webseite hier von Fremden cyberkriminell verfälscht wird, und eine Popup-Webseite über die Original-Webseite überlagert wird. es passiert ständig und immer wieder, so daß man fast schon eine Statistik dahinter erkennen kann, wer die Cybertäter sind und wann mit welchen Artikeln diese aktiv werden.
UNVERSCHÄMT! das ist Geschäftsschädigung! um das ganz klar auszudrücken.