Was ist Mail Bombing?
Mail Bombing ist eine Art von Denial of Service (DoS)-Angriff, der auf E-Mail-Postfächer abzielt. Bei diesem Angriff abonnieren die Bedrohungsakteure in der Regel einzelne Benutzer bei zahlreichen legitimen Diensten und lösen über diese Plattformen Passwortrücksetzungsanfragen aus. Dadurch wird der Posteingang des Opfers mit einem kontinuierlichen Strom neuer Nachrichten überflutet, sodass er unzugänglich wird. Die Dauer dieser Angriffe ist sehr variabel - sie können Minuten, Stunden oder sogar mehrere Tage andauern und zu einer längeren Unterbrechung des E-Mail-Verkehrs führen.
Motivationen der Angreifer
Mail-Bombing-Angriffe dienen den Angreifern zu mehreren Zwecken. Zum einen können sie als herkömmliche DoS-Attacke eingesetzt werden, um bestimmte Ziele an ihrer Arbeit zu hindern, indem sie deren E-Mail-Postfächer unbrauchbar machen. Darüber hinaus können Angreifer Mail Bombing als Deckmantel verwenden, wenn sie ein Konto bereits kompromittiert haben. Indem sie den Posteingang mit Tausenden von Nachrichten überfluten, können sie legitime Sicherheitswarnungen über Passwortänderungen, E-Mail-Änderungen oder verdächtige Anmeldeversuche so lange verbergen, bis sie ihre bösartigen Aktivitäten abgeschlossen haben. Diese Taktik macht es den Opfern extrem schwer, echte Sicherheitswarnungen rechtzeitig zu erkennen und darauf zu reagieren.
Warnung - November 2024: Mail-Bombing-Angriffe wurden als Teil der Black-Basta-Ransomware-Operationen beobachtet, bei denen die Angreifer E-Mail-Flutung mit Microsoft Teams-basiertem Social Engineering kombinieren, um Benutzer dazu zu bringen, Systemzugriff zu gewähren. Seien Sie bei IT-Supportkontakten während eines Mailbombing-Vorfalls äußerst vorsichtig.
Wie schützt Hornetsecurity die Benutzer vor Mail Bombing?
Hornetsecurity betreibt ein intelligentes Erkennungs- und Schutzsystem, welches:
-
Benachrichtigungsmuster identifiziert: verschiedene Arten von Benachrichtigungs-E-Mails werden automatisch erkannt, darunter:
• Newsletter-Abonnements
• Konto-Registrierungen
• Anfragen zum Zurücksetzen von Passwörtern
• Sicherheitswarnungen - Schwellenwertbasierter Schutz: Überwacht die Häufigkeit von Benachrichtigungs-E-Mails und aktiviert den Schutz, wenn verdächtige Muster erkannt werden
- Automatisierte Quarantäne: Nach der Aktivierung stellt das System nachfolgende Benachrichtigungs-E-Mails, die dem Angriffsmuster entsprechen, automatisch unter Quarantäne.
Hinweis: Der Schutz kann schrittweise aktiviert werden, während das System die Mustererkennung aufbaut. Einige E-Mails können den Posteingang erreichen, bis der schwellenwertbasierte Schutz aktiv ist.
Identifizierung von Mail-Bombing-Angriffen in Email Live Tracking
Administratoren können Mail-Bombing-Angriffe über Email Live Tracking in der Systemsteuerung überwachen. In Quarantäne gestellte E-Mails von Mail-Bombing-Angriffen werden wie folgt gekennzeichnet:
• Mail-Typ: Spam
• Grund: mail bombing
Diese Identifikatoren helfen den Administratoren, blockierte Nachrichten im Zusammenhang mit Mail-Bombing-Angriffen schnell zu finden und zu überprüfen.
Entschärfung mithilfe von Zulassen-Listen
Unternehmen, die während des Mail-Bombing-Schutzes die Zustellung von bestimmten legitimen Absendern sicherstellen müssen, können bestimmte Absenderadressen oder Domänen zur Zulassungsliste im Control Panel hinzufügen.
Handbuch zum Control Panel: Über Black- & Whitelists
Wiederherstellung nach einem Angriff und Newsletter-Management
Nach einem Mailbombing-Angriff sind die Opfer in der Regel mit einem ständigen Zustrom von Newslettern konfrontiert, da die Angreifer die E-Mail-Adresse des Opfers oft an Hunderte von Newsletter-Diensten weiterleiten. Dadurch entsteht ein anhaltendes Problem, das über den ersten Angriff hinausgeht. Um dieser Herausforderung zu begegnen, haben Benutzer zwei strategische Optionen:
Abbestellen von Newslettern:
Die Benutzer können sich systematisch von allen Newslettern abmelden, die sie während des Angriffs unfreiwillig abonniert haben. Dieser Prozess ist zwar effektiv, kann aber aufgrund der Menge der Abonnements zeitaufwändig sein.
Automatisierte Newsletter-Verwaltung:
Benutzer können die Hornetsecurity Infomail-Filter-Funktion nutzen, um alle Newsletter-Kommunikationen automatisch in Quarantäne zu stellen. Diese Lösung ermöglicht es den Benutzern:
- Automatische Erkennung und Quarantäne aller Newsletter-Kommunikationen
- Bereitstellung einer zentralen Verwaltungsschnittstelle für die Newsletter-Kontrolle
- Benutzern die Möglichkeit zu geben, legitime Newsletter, die sie erhalten möchten, selektiv auf eine Whitelist zu setzen
- Sicherstellung, dass geschäftskritische Kommunikation nicht beeinträchtigt wird
- Minimale laufende Wartung nach der Konfiguration
Handbuch zum Control Panel: Infomail-Filter aktivieren
Zusammenfassung
Mail Bombing stellt eine erhebliche Bedrohung für die Verfügbarkeit und Sicherheit von E-Mails dar. Das Schutzsystem von Hornetsecurity bietet eine automatisierte, intelligente Verteidigung gegen diese Angriffe, während die E-Mail-Kontinuität des Unternehmens erhalten bleibt.