Massen-E-Mails im Namen der Sicherheit oder des Geldes wegen? Selbsternannte Sicherheitsforscher warnen euch in Mails, um abzukassieren.
Mich erreichte kurz vor Weihnachten eine E-Mail, die mich verunsichern sollte. Die traurige Wahrheit ist, dass diese E-Mails, die im Namen von selbsternannten Sicherheitsforschern oder „White Hackern“ verschickt werden, wirklich das Potenzial haben, Menschen zu verunsichern. Vor allem Personen, die mit sicherheitsrelevanten Themen wenig vertraut und im Internet dennoch vertreten sind, weil sie es entweder beruflich benötigen oder aber einfach einem Hobby nachgehen.
Nach einer Internet-Recherche gibt es das Phänomen schon ein paar Jahre, jedoch wird es anscheinend noch wenig im Internet beschrieben. Einen sehr guten Artikel im Englischen habe ich beim Sicherheitsunternehmen Sophos aus dem Jahr 2021 gefunden. Dort sind Beispiele und auch seine Einschätzung zu finden. Der Artikel ist sehr lesenswert und gibt eine Einschätzung eines leitenden Forschungswissenschaftlers von Sophos. Er wird im Bereich Sicherheitsthemen sicherlich ein wenig mehr Ahnung haben, als die vermeintlichen Absender solcher E-Mails selbst.
Have a domain name? “Beg bounty” hunters may be on their way von Chester Wiesniewski
Kurz und Knapp: Chester Wiesniewski bestätigt meinen Verdacht, dass es im Großen und Ganzen darum geht, dass Personen, Firmen oder andere Organisationen sich so „dankbar“ geben, dass diese mit dem Absender Kontakt aufnehmen und höchstwahrscheinlich eine Zahlung mit dem Entdecker vereinbaren. In anderen Forenbeiträgen fühlen sich viele sogar eingeschüchtert und tatsächlich auch erpresst, wenn es am Ende der E-Mail heißt:
Hoping for the bounty for my ethical Disclosure.
In meiner E-Mail von einem M. Arslan Kabeer ging es auch wie in dem zweiten Beispiel aus dem Sophos Artikel um E-Mail Spoofing und einem DMARC Eintrag in den DNS-Einstellungen des Hosters. Tatsächlich ist dies ein Problem und kann von jeden mit seiner Website oder einer anderen über entsprechende Website-Checker für DMARC und SPF geprüft werden. Jedoch ist es kein schwerwiegendes Problem oder gar eine Sicherheitslücke und wie auch Chester Wiesniewski in seinem Artikel wiedergibt, kein Cent wert für die angebliche Entdeckung zu bezahlen. Ich würde so weit gehen und es vergleichen mit der Suche nach HTML-Fehlern mit einem Validator. Ich hoffe, ich bringe damit niemanden auf komische Gedanken. Denn dies steht nur exemplarisch für diverse Website-Tools und -Helfer, um Probleme aufzuspüren und zu analysieren.
Außer Acht gelassen wird dabei auch, wenn man schon Privatpersonen anschreibt, ob deren Hoster es unterstützt oder das gewählte Paket. Aber hey, darum geht es ja am Ende gar nicht, wenn die E-Mail eher dem Massenversand dient. In meinem Fall ist es mir bekannt, aber wie der Hoster bei einigen Paketen es nicht anbietet und sicherlich mit einem spitzen Bleistift die Preise vergibt, machen das sicherlich auch die Privatpersonen am Ende, die dies nutzen. Natürlich gar auch kleine Firmen, welche zusehen, was sie benötigen und was nicht. Wobei dies sicherlich bei vielen Hostern mittlerweile zum Grundpaket gehört, aber das ist eben eine andere Geschichte.
Fakt ist, dass auf Basis von kleineren Problemen, eine schwerwiegende Situation suggeriert werden soll – die dem Absender hoffentlich eine neue Geldquelle beschert. Die Suche nach solchen Fehlern ist auch keine großartige Hackerleistung, vielmehr ein Nutzen von diversen Website-Tools, die es von diversen Anbietern gibt, um Probleme mit der eigenen Seite zu klären. Also lasst euch durch solche E-Mails nicht verunsichern und reagiert am besten nicht. Schon die Recherche danach lässt erkennen, dass jene E-Mails massenweise versandt werden, garniert mit ein paar Screenshots passend zu deiner Seite. Ein erster Hinweis könnte auch sein, dass euer Mailprogramm oder Anbieter den Absender schon mal als Spam klassifiziert. Wenn etwas dran ist, nehmt es am besten als Tipp und guckt, ob ihr etwas dagegen tun könnt – sofern es eure Konfiguration erlaubt.
Fake-E-Mails bzw. E-Mail Spoofing im Netz zu reduzieren vor allem mit deinem Absender ist immer gut. Aber selbst diese Einstellungen werden es nie ganz verhindern. Denn sonst würde es wohl kaum noch falsche E-Mails von Banken geben.
Jedoch und das muss auch gesagt werden – nehmt solche E-Mails soweit ernst, dass ihr guckt, wie groß das Problem ist. Es können immer auch ernstzunehmende Probleme von serösen und willigen Entdeckern dabei sein, die euch auf ein Sicherheitsproblem hinweisen wollen.