DKIM-Replay
DKIM-Replay: Manipulierte Online-Formulare täuschen selbst Sicherheitslösungen
Gefährliche Weiterleitungen: DKIM-Replay-Angriffe auf Online-Dienste
Von Dr. Martin J. Krämer, CISO Advisor bei KnowBe4
Sicherheitsforscher von Kaseya haben kürzlich aufgezeigt , dass Cyberkriminelle verstärkt auf Online-Dokumente großer Dienste wie PayPal, Apple, DocuSign oder HelloSign zurückgreifen. Mit der sogenannten DKIM-Replay-Technik manipulieren sie diese Dokumente und leiten sie an ihre Opfer weiter – ohne dass die E-Mail-Sicherheitslösungen der Empfänger Alarm schlagen.
So läuft der Angriff ab
Die Angreifer starten, indem sie bei einem Dienst online ein Dokument anfordern, etwa eine Rechnung oder ein Formular zur Streitbeilegung. Viele dieser Dienste erlauben es inzwischen, Felder innerhalb des Dokuments auszufüllen, z.B. Kommentare oder Kontaktinformationen.
Genau diese Funktion nutzen die Angreifer: Sie tragen dort eine Telefonnummer, eine Website oder andere Hinweise ein, über die das Opfer später kontaktiert werden soll.
Anschließend lassen sie sich das fertige Dokument vom Dienst an ihre eigene E-Mail-Adresse schicken. Von dort aus leiten sie die Nachricht einfach an eine zuvor zusammengestellte Liste von Opfern weiter.
Warum die E-Mail so glaubwürdig wirkt
Weil sowohl Header als auch Inhalt der E-Mail unverändert und kryptografisch signiert sind, bestehen die Nachrichten problemlos die DKIM- und DMARC-Prüfungen der E-Mail-Sicherheitslösungen. Für diese Systeme sieht es so aus, als käme die Nachricht direkt vom offiziellen Dienst – nicht vom Angreifer.
Zur Erklärung:
- DKIM (DomainKeys Identified Mail) fügt einer E-Mail eine digitale Signatur hinzu. Der empfangende Server prüft mit dem öffentlichen Schlüssel der Domain, ob die E-Mail unterwegs manipuliert wurde.
- DMARC (Domain-based Message Authentication, Reporting & Conformance) überprüft, ob die authentifizierte Domain zur sichtbaren Absenderadresse passt. Bei einem DKIM-Replay-Angriff können die Angreifer genau diese Sicherheitsmechanismen umgehen.
Das Ziel: Vertrauen ausnutzen
Kommt die weitergeleitete E-Mail beim Opfer an, wirkt sie wie eine offizielle Nachricht des Dienstes. Das Dokument enthält dann die vorbereiteten Hinweise – etwa eine Telefonnummer oder einen Link – und verleitet das Opfer dazu, persönliche Daten preiszugeben oder Malware herunterzuladen.
Solche Angriffe richten sich nicht nur an Privatpersonen. Auch Mitarbeiter von Unternehmen können Zielscheibe werden. Deshalb ist es für Unternehmen entscheidend, ihre Teams regelmäßig über solche Bedrohungen zu informieren. Gut geschulte Mitarbeiter bilden die erste Verteidigungslinie gegen die immer raffinierteren Social-Engineering-Angriffe der Cyberkriminellen.