Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Proofpoint: Betrüger verschicken Millionen Spam-Mails im Namen von Disney & Co.

Aufgrund einer zu laxen Überprüfung in E-Mail-Relays von Proofpoint konnten Betrüger Millionen Spam-Mails am Spamfilter von Opfern vorbeischmuggeln.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Email,Marketing,Concept,,Company,Sending,Many,E-mails,Or,Digital,Newsletter

(Bild: Shutter z/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
Inhaltsverzeichnis

In der Spitze haben Cyberkriminelle Sicherheitsforschern von Guardio Labs zufolge an einem einzigen Tag 14 Millionen Spam-Mails im Namen von etwa Coca-Cola, Disney und IBM verschickt. Schuld daran war eine Schwachstelle in E-Mail-Relays vom Anbieter für IT-Sicherheitslösungen Proofpoint.

In einem Bericht führen die Forscher aus, dass die Betrüger diesen Weg gegangen sind, um legitim aussehende Spam-Mails zu verschicken, die sogar verschiedene Sicherheitschecks bestehen. Demzufolge sind die Mails ihnen zufolge in vielen Fällen nicht im Spam-Ordner von Opfern gelandet, sondern direkt im Posteingang.

Bei den Mails handele es sich um klassische Phishingmails, über die Betrüger unter anderem Zugangsdaten von Onlineaccounts abgreifen wollen. Die Forscher geben an, dass die Kriminellen seit Januar im Schnitt täglich 3 Millionen derartiger Mails verschickt haben. Im Juni waren es an einem Tag sogar 14 Millionen Spam-Nachrichten.

Aufgrund einer Schwachstelle im E-Mail-Relay von Proofpoint konnten Angreifer Millionen Spam-Mails im Namen von Disney & Co. verschicken, die in vielen Fällen nicht im Spam-Ordner, sondern direkt im Posteingang von Opfern landeten.

(Bild: Proofpoint)

Das Sicherheitsproblem

Die Forscher erläutern, dass die Betrüger das E-Mail-Spoofing mittels eigener über Virtual Private Server (VPS) aufgesetzte SMTP-Server realisiert haben. Mit kompromittierten Office-365-Accounts konnten sie aufgrund einer Schwachstelle die E-Mail-Relays von Proofpoint missbrauchen, um so im Namen von Disney & Co. Nachrichten verschicken.

Über diesen Weg verschickte Mails halten den Forschern zufolge sogar dem Sicherheitscheck Sender Policy Framework (SPF) zum Verhindern von gefälschten Absenderadressen stand und weisen eine gültige "DomainKeys Identified Mail"-Signatur (DKIM) auf. Das sorgt dafür, dass die betrügerischen Mails bei vielen E-Mail-Anbietern nicht im Spam-Ordner landen.

Das konnte funktionieren, weil die SPF-Checks seitens Proofpoint nicht streng genug eingestellt waren. Die Freigabe für Office-365-Konten war sehr freizügig und der komplette Office-365-IP-Adressbereich wurde durch Proofpoint freigeben, sodass jedes Konto dieser Art das E-Mail-Relay verwenden konnte. Da Proofpoint-Kunden ihren DKIM-Schlüssel hochladen, werden darüber verschickte Mails automatisch signiert.

Proofpoint gibt an, die Kampagne seit März 2024 zu beobachten. Sie versichern, das Spam-Problem mittlerweile gelöst zu haben. Dafür haben sie eigenen Angaben zufolge unter anderem ein Admin-Interface bereitgestellt, um restriktivere Berechtigungen einstellen zu können. Admins sollte sich zusätzlich die Sicherheitstipps von Proofpoint in Bezug auf Spoofing-E-Mails anschauen.

(des)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten