M3AAWG empfiehlt die Aufnahme eines neuen E-Mail-Headers zum Verhindern von "List Bomb"-Angriffen aus Anmeldeformularen für Abonnements

SAN FRANCISCO (USA), 30. November 2017 (GLOBE NEWSWIRE) -- Die Messaging, Malware and Mobile Anti-Abuse Working Group beobachtet eine Zunahme von "List Bomb"-Aktivitäten und empfiehlt daher den Betreibern von Blogs und Websites mit einem Newsletter oder Anmeldeformular, ihre Bestätigungs-E-Mails mit einem neuen Header zu versehen, um diese Angriffe zu identifizieren und zu verhindern. Die Angriffstaktik wird häufig eingesetzt, um bei illegalen Aktivitäten Sicherheitswarnungen zu verbergen oder zu verhindern, dass jemand, wie z. B. ein Journalist, wichtige Informationen erhält.

Bei solchen Angriffen, die auch als Webformular-Anmeldeangriffe bezeichnet werden, setzen Kriminelle Bots ein, die ihre Opfer für Tausende von Newslettern oder anderen Diensten registrieren, bei denen automatisch Bestätigungs-E-Mails versendet werden. Die daraus resultierende Flut von Bestätigungs-E-Mails führt zu einem DDoS-Angriff (Distributed Denial of Service) auf die Posteingänge der Nutzer. Sehr oft übersieht dann das Opfer unter der unüberschaubaren Menge von Bestätigungsnachrichten die wichtige Mitteilung einer Kreditkartenfirma oder eines anderen Finanzinstituts, die den Benutzer über eine gefälschte Transaktion informiert oder ihn auffordert, das Kennwort seines Kontos zu ändern.

"Vor wenigen Jahren war eine solche Flut nutzloser Bestätigungsnachrichten, mit denen der Posteingang eines Nutzers bombardiert wurde, ein isoliertes Ereignis, oft ausgelöst durch einen Groll gegen jemanden. Aber heute nutzen Kriminelle diese Angriffe, um die Sicherheitsbenachrichtigungen zu untergraben, die viele Banken, Dienste und Internethändler an ihre Kunden senden. Ihr Ziel ist es, die spezifische E-Mail-Nachricht mit Details über ihre betrügerischen Aktivitäten in einem Meer sinnloser Nachrichten zu begraben oder einem Journalisten oder Aktivisten überhaupt den Zugang zu seinen E-Mails zu sperren", sagte Severin Walker, Vorstandsvorsitzender der M³AAWG.

Zusammenarbeit der Branche resultiert in IETF Internet Draft Header Specification

Die neue Spezifikation des Nachrichten-Headers wurde bei der IETF (Internet Engineering Task Force) unter https://datatracker.ietf.org/doc/draft-levine-mailbomb-header/ eingereicht und wird in der kurzen Veröffentlichung "M³AAWG Recommendation on Web Form Signup Attacks" (www.m3aawg.org/WebFormAttacks) erläutert, die im Abschnitt "Best Practices" der M³AAWG-Website zur Verfügung steht. Der neue Header dient speziell dazu, Bestätigungs-E-Mails zu identifizieren, die aus einem Webformular stammen, wie z. B. die Bestätigungs-E-Mail eines Abonnements, so dass ISPs und E-Mail-Anbieter Maßnahmen zum Schutz des Posteingangs eines Benutzers ergreifen können, wenn ein außergewöhnlich hohes Volumen dieser Nachrichten über ihr Netzwerk gelangt.

Zudem empfiehlt die M³AAWG, alle öffentlichen Abonnements- und Webformulare mit einem leicht erhältlichen CAPTCHA-Bild oder "Text-Challenge" zu versehen, um Menschen von automatisierten Anmeldungen zu unterscheiden. Dies hilft zu verhindern, dass Bots die Bestätigungs-E-Mails einer Website für einen Angriff missbrauchen.

Das Header-Konzept war das Ergebnis von Diskussionen der Mitglieder während des M³AAWG-Treffens im Juni, die eine signifikante Zunahme dieser Angriffe feststellten. Eine technische Ad-hoc-Sitzung im Rahmen des Treffens mit Mitgliedern aus verschiedenen Segmenten der Messaging-Branche brachte die Entscheidung, dass John Levine, der Senior Technical Advisor der M³AAWG, die Spezifikation entwerfen sollte. Auf der nächsten Sitzung im Oktober teilten die ersten Mitglieder, die die neue Spezifikation implementiert hatten, ihre Erfahrungen mit und berichteten, dass der Prozess nachhaltig sei.

Levine sagte: "Kriminelle benutzen regelmäßig Bots, um im globalen Netz nach Millionen von Blogs und Newsletter-Anmeldeformularen zu suchen, die nicht über CAPTCHA verfügen. Sie nutzen diese Websites mit ihrer schwächeren Sicherheit, um im Rahmen eines Angriffs ihre Opfer anzumelden. Der neue Header bietet eine weitere Schutzstufe, die einen erheblichen Einfluss auf die Verhinderung von ,List Bombs' haben kann, und wir fordern daher die E-Mail-Anbieter auf, sie so schnell wie möglich zu implementieren."

Webformular-Angriffe werden auch auf dem nächsten M³AAWG-Treffen vom 19.-22. Februar 2018 in San Francisco weiter im Fokus stehen. Es wird erwartet, dass mehr als 500 Personen an der Veranstaltung teilnehmen, die sich mit verschiedenen Themen wie Praktiken zur Minderung von Bot-Gefahren, Missbrauch von sozialen Netzwerken, mobilem Missbrauch und anstehenden Gesetzen weltweit beschäftigen.

Über die Messaging, Malware and Mobile Anti-Abuse Working Group (M³AAWG)

Die Messaging, Malware and Mobile Anti-Abuse Working Group (M³AAWG) bringt Branchenvertreter zusammen, die sich für die Bekämpfung von Bots, Malware, Spam, Viren, Denial-of-Service-Angriffen und anderen Online-Gefahren einsetzen. M³AAWG-Mitglieder (www.m3aawg.org) vertreten mehr als eine Milliarde Mailboxen von einigen der weltweit größten Netzbetreiber. Die Organisation nutzt die Fachkompetenz und Erfahrung ihrer weltweiten Mitglieder, um den Missbrauch bestehender Netze und neu aufkommender Dienste durch Technologie, Zusammenarbeit und die Öffentlichkeitsarbeit zu bekämpfen. Sie arbeitet auch daran, politische Entscheidungsträger weltweit über die im Zusammenhang mit Online-Missbrauch und Messaging stehenden technischen und operativen Aspekte aufzuklären. Die in San Francisco, Kalifornien (USA), ansässige Organisation M³AAWG orientiert sich an den Marktbedürfnissen und wird von großen Netzbetreibern und Messaging-Anbietern unterstützt.

Pressekontakt: Linda Marcus, APR, +1-714-974-6356 (USA Pazifik), LMarcus@astra.cc, Astra Communications

M³AAWG-Vorstand: AT&T, Cloudmark, Inc., Comcast, dotmailer, Endurance International Group, Facebook, Google, LinkedIn, Mailchimp, Microsoft Corp., Oath (Yahoo und AOL), Orange, Rackspace, Return Path, SendGrid, Inc., Vade Secure.

M³AAWG-Vollmitglieder: 1&1 Internet AG, Adobe Systems Inc., Agora, Inc., AOL, Campaign Monitor Pty., Cisco Systems, Inc., CloudFlare, Exact Target, Inc., IBM, iContact, Inteliquent, Internet Initiative Japan (IIJ), Liberty Global, Listrak, Litmus, McAfee, Mimecast, Nominum, Inc., Oracle Marketing Cloud, OVH, PayPal, Proofpoint, Spamhaus, Sparkpost, Splio, Sprint, Symantec und USAA.

Eine vollständige Liste der Mitglieder finden Sie unter http://www.m3aawg.org/about/roster.