Zum Hauptinhalt gehen

Mail Bombing Protection

  • Aktualisiert

Was ist Mail Bombing?

Mail Bombing ist eine Art von Denial of Service (DoS)-Angriff, der auf E-Mail-Postfächer abzielt. Bei diesem Angriff abonnieren die Bedrohungsakteure in der Regel einzelne Benutzer bei zahlreichen legitimen Diensten und lösen über diese Plattformen Passwortrücksetzungsanfragen aus. Dadurch wird der Posteingang des Opfers mit einem kontinuierlichen Strom neuer Nachrichten überflutet, sodass er unzugänglich wird. Die Dauer dieser Angriffe ist sehr variabel - sie können Minuten, Stunden oder sogar mehrere Tage andauern und zu einer längeren Unterbrechung des E-Mail-Verkehrs führen.

Bitte beachten Sie: Hornetsecurity's Mail Bombing Filter basiert auf unserer Cloudtechnologie und ist daher derzeit nur für unsere Cloud Kunden verfügbar. Wir wissen, wie wichtig dieser Schutz für ihre Benutzer ist, und arbeiten an einer Lösung, um diese Funktionalität in naher Zukunft auch Appliance-Kunden zur Verfügung zu stellen. 

 

Motivationen der Angreifer

Mail-Bombing-Angriffe dienen den Angreifern zu mehreren Zwecken. Zum einen können sie als herkömmliche DoS-Attacke eingesetzt werden, um bestimmte Ziele an ihrer Arbeit zu hindern, indem sie deren E-Mail-Postfächer unbrauchbar machen. Darüber hinaus können Angreifer Mail Bombing als Deckmantel verwenden, wenn sie ein Konto bereits kompromittiert haben. Indem sie den Posteingang mit Tausenden von Nachrichten überfluten, können sie legitime Sicherheitswarnungen über Passwortänderungen, E-Mail-Änderungen oder verdächtige Anmeldeversuche so lange verbergen, bis sie ihre bösartigen Aktivitäten abgeschlossen haben. Diese Taktik macht es den Opfern extrem schwer, echte Sicherheitswarnungen rechtzeitig zu erkennen und darauf zu reagieren.

Mail-Bombing-Angriffe wurden als Teil der Black-Basta-Ransomware-Operationen beobachtet, bei denen die Angreifer E-Mail-Flutung mit Microsoft Teams-basiertem Social Engineering kombinieren, um Benutzer dazu zu bringen, Systemzugriff zu gewähren. Seien Sie bei IT-Supportkontakten während eines Mailbombing-Vorfalls äußerst vorsichtig.

 

Wie schützt Hornetsecurity die Benutzer vor Mail Bombing?

Hornetsecurity betreibt ein intelligentes Erkennungs- und Schutzsystem, welches:

  1. Benachrichtigungsmuster identifiziert: verschiedene Arten von Benachrichtigungs-E-Mails werden automatisch erkannt, darunter:
    • Newsletter-Abonnements
    • Konto-Registrierungen
    • Anfragen zum Zurücksetzen von Passwörtern
    • Sicherheitswarnungen
  2. Schwellenwertbasierter Schutz: Überwacht die Häufigkeit von Benachrichtigungs-E-Mails und aktiviert den Schutz, wenn verdächtige Muster erkannt werden
  3. Automatisierte Quarantäne: Nach der Aktivierung stellt das System nachfolgende Benachrichtigungs-E-Mails, die dem Angriffsmuster entsprechen, automatisch unter Quarantäne.

Hinweis: Der Schutz kann schrittweise aktiviert werden, während das System die Mustererkennung aufbaut. Einige E-Mails können den Posteingang erreichen, bis der schwellenwertbasierte Schutz aktiv ist.

 

Identifizierung von Mail-Bombing-Angriffen in Email Live Tracking

Administratoren können Mail-Bombing-Angriffe über Email Live Tracking in der Systemsteuerung überwachen. In Quarantäne gestellte E-Mails von Mail-Bombing-Angriffen werden wie folgt gekennzeichnet:

• Mail-Typ: Spam
• Grund: mail bombing

Diese Identifikatoren helfen den Administratoren, blockierte Nachrichten im Zusammenhang mit Mail-Bombing-Angriffen schnell zu finden und zu überprüfen.

 

Empfohlene Maßnahmen während der Attacke

Infomailfilter:

Da der Schutz und die Musterekennung schrittweise aufgebaut und verbessert werden, kann es trotz eines aktivierten Filters vorkommen, dass weiterhin E-Mails in die Postfächer der Benutzer gelangen. Dies liegt daran, dass der Filter zunächst noch lernen und sich anpassen muss, um alle unerwünschten oder potenziell gefährlichen Nachrichten zuverlässig zu erkennen und zu blockieren.

Um die Auswirkungen solcher unerwünschten E-Mails weiter zu minimieren, empfehlen wir dringend, sicherzustellen, dass der Infomailfilter aktiviert ist. Darüber hinaus sollte dieser Filter auf die Einstellung "quarantänisieren" gesetzt werden. Damit wird die Anzahl von eingehenden Emails und der Impact auf den Benutzer zusätzlich reduziert.

Handbuch zum Control Panel: Infomail-Filter aktivieren

User Interaktion:

Mail Bombing-Attacken werden häufig zusammen mit Social Engineering-Angriffen eingesetzt, bei denen sich ein Angreifer als IT-Support ausgibt und den Benutzer kontaktiert. Wir empfehlen daher, dass Administratoren direkt mit dem Benutzer in Kontakt treten, um sicherzustellen, dass keine Interaktion mit Dritten stattfindet.

 

Entschärfung mithilfe von Allow-Listen

Unternehmen, die während des Mail-Bombing-Schutzes die Zustellung von bestimmten legitimen Absendern sicherstellen müssen, können bestimmte Absenderadressen oder Domänen zur Zulassungsliste im Control Panel hinzufügen.

Handbuch zum Control Panel: Über Black- & Whitelists

 

Wiederherstellung nach einem Angriff und Newsletter-Management

Nach einem Mailbombing-Angriff sind die Opfer in der Regel mit einem ständigen Zustrom von Newslettern konfrontiert, da die Angreifer die E-Mail-Adresse des Opfers oft an Hunderte von Newsletter-Diensten weiterleiten. Dadurch entsteht ein anhaltendes Problem, das über den ersten Angriff hinausgeht. Um dieser Herausforderung zu begegnen, haben Benutzer zwei strategische Optionen:

 

Abbestellen von Newslettern:

Die Benutzer können sich systematisch von allen Newslettern abmelden, die sie während des Angriffs unfreiwillig abonniert haben. Dieser Prozess ist zwar effektiv, kann aber aufgrund der Menge der Abonnements zeitaufwändig sein.

 

Automatisierte Newsletter-Verwaltung:

Benutzer können die Hornetsecurity Infomail-Filter-Funktion nutzen, um alle Newsletter-Kommunikationen automatisch in Quarantäne zu stellen. Diese Lösung ermöglicht es den Benutzern:

  • Automatische Erkennung und Quarantäne aller Newsletter-Kommunikationen
  • Bereitstellung einer zentralen Verwaltungsschnittstelle für die Newsletter-Kontrolle
  • Benutzern die Möglichkeit zu geben, legitime Newsletter, die sie erhalten möchten, selektiv auf eine Whitelist zu setzen
  • Sicherstellung, dass geschäftskritische Kommunikation nicht beeinträchtigt wird
  • Minimale laufende Wartung nach der Konfiguration

Handbuch zum Control Panel: Infomail-Filter aktivieren

 

Zusammenfassung

Mail Bombing stellt eine erhebliche Bedrohung für die Verfügbarkeit und Sicherheit von E-Mails dar. Das Schutzsystem von Hornetsecurity bietet eine automatisierte, intelligente Verteidigung gegen diese Angriffe, während die E-Mail-Kontinuität des Unternehmens erhalten bleibt.

Verwandte Beiträge

Beiträge in diesem Abschnitt
Weitere anzeigen