Seit einigen Monaten sehen sich weltweit alle E-Mailprovider einer massiven Zunahme von Passwort-Diebstahlversuchen ausgesetzt. Spammer nutzen geknackte Accounts, um aus diesen vermeintlich sauberen Accounts heraus Massen-E-Mails zu senden.
Auch bei der directBOX ist dieses Thema an der Tagesordnung. Durch verschiedene, mittlerweile automatisierte Mechanismen sind wir in der Lage, täglich zwischen 5 und 50 gehackte Accounts zweifelsfrei zu identifizieren und zu sperren. Gleichzeitig benachrichtigen wir die betroffenen directBOX-Nutzer per E-Mail und bitten sie, ihre Passwörter auch auf allen anderen Portalen zu ändern.
Wie aber kommen Spammer an diese geknackten Passwörter?
Wir beobachten zurzeit drei Hauptursachen:
- Kurze, unsichere Passwörter, die mit Hilfe einer Brute-Force-Attacke erkannt werden. Brute-Force bedeutet, dass die Passwortdiebe stumpf tausende gängige Passwörter ausprobieren. In vielen Fällen sind die Passwortdiebe damit erfolgreich!
- Die Nutzung von gleichen Passwörtern bei verschiedenen Web-Portalen. Knackt ein Hacker eines dieser Web-Portale, kann er unter Umständen auf hunderttausende Passwörter zugreifen. Selbst wenn die Passwörter durch nicht mehr zeitgemäße Mechanismen verschlüsselt sind, lassen sich mit Hilfe sogenannter Rainbow-Tables in Sekundenschnelle eine große Anzahl Passwörter zurückerlangen. Die aktuelle Berichterstattung geht intensiv auf dieses Thema ein. Beispielsweise wurden bei einem Yahoo-Dienst vor einigen Wochen hunderttausende Passwörter geklaut, die sich zu einem Großteil mit Hilfe von Rainbow-Tables zurückschlüsseln ließen. Passwort-Diebe nutzen diesen Effekt gnadenlos aus: Mit den gewonnenen Passwörtern können sich die Diebe nicht nur Zugang zu dem geknackten Web-Portal verschaffen sondern die gewonnenen Passwörter auch bei anderen E-Mailanbietern ausprobieren. Oftmals mit großem Erfolg, denn nicht selten hat max.muster@yooha.de das gleiche Passwort wie max.muster@coldmail.de.
- Gezielte Phishing-Attacken, bei denen Passwort-Diebe die Nutzer per E-Mail auffordern, einen vermeintlich echten Link zu einer exakt nachgebauten, dem Original entsprechenden, Webseite zu klicken. Gibt ein Nutzer auf dieser nachgebauten Webseite seine Benutzerdaten ein, gelangen diese in die Hände der Passwort-Diebe.
Welche Gegenmaßnahmen haben wir eingeleitet, um die verschiedenen Passwortdiebstahl-Ursachen einzudämmen?
Insgesamt betreiben wir seit geraumer Zeit einen erheblichen Mehraufwand, um alle bei uns gehosteten Webmail-Portale sauber und verfügbar zu halten. Nicht zuletzt wollen wir unter allen Umständen verhindern, dass unsere Mailserver ihren guten Ruf verlieren, auf einer RBL-Blacklist landen und daher keine E-Mails mehr an andere Mailserver zugestellt werden können.
- Maßnahme gegen Brute-Force-Attacken:
Gegen Brute-Force-Attacken hilft vor Allem die sogenannte Login-Quarantäne. Sobald sich ein Nutzer mehr als dreimal hintereinander mit einem falschen Passwort einloggen möchte, ist dieser Account für 10 Minuten gesperrt; es ist kein Login mehr möglich. Auch das richtige Passwort wird in diesem Fall mit einer Fehlermeldung quittiert, so dass eine Brute-Force-Attacke mit sehr hoher Wahrscheinlichkeit ins Leere läuft. Die von uns implementierte Login-Quarantäne greift separat für jeden einzelnen Zugriffsweg und basiert nicht auf einer IP-Adressen-Filterung. Wenn also das Passwort dreimal per POP3 falsch eingegeben wurde, ist der Account per IMAP, Web und per Mobile-App weiterhin erreichbar. Die Quarantäne gilt nur für den Zugriffsweg, bei dem dreimal hintereinander ein falsches Passwort verwendet wurde. Dabei ist unerheblich, von welcher IP-Adresse der Zugriff stattfindet. Es wird nicht die IP-Adresse gesperrt sondern der gesamte Zugriff auf diesen Services – für 10 Minuten. Wir sind sicher, damit ein sehr effektives Mittel an der Hand zu haben, um den Passwortdiebstahl mittels Brute-Force zu unterbinden. - Maßnahme gegen die Nutzung von gleichen Passwörtern:
In dem Zusammenhang ist Aufklärung die einzig sinnvolle Möglichkeit. Aus diesem Grund werden wir allen directBOX-Nutzern, die ihr POP3/IMAP/App-Passwort seit mehr als 6 Monaten nicht geändert haben, in den kommenden Tagen einen Sicherheits-Newsletter schreiben. Wir kennen die Passwörter der directBOX-Nutzer nicht. Jeder directBOX-Nutzer kann jedoch in seinem Event-Log nachsehen, wann er sein Passwort zuletzt geändert hat. Darüber hinaus werden wir die Nutzer mit altem Passwort auch im Webinterface per Pop-Up dazu auffordern, ihr Passwort zu ändern. - Maßnahme gegen gezielte Phishing-Attacken:
Seit Anfang Juni 2012 haben wir unsere Anti-Spamlösung mit großem Erfolg durch einen unschlagbar effektiven Baustein ergänzt: Durch die E-Mail-Sicherheitstechnologie eleven eXpurgate. Mit Hilfe unserer neuen, mehrstufigen Anti-Spamlösung sind wir in der Lage, Spam zielsicher zu identifizieren und die Zustellung zu verhindern. Auch Phishing-Mails werden effektiv eingedämmt. Allerdings ist selbst der beste Spam-Filter nicht so gut wie der trickreichste Spammer. Aus diesem Grund ist es nach wie vor entscheidend, dass alle directBOX-Nutzer wachsam bleiben.
Was können Sie tun, damit Ihr directBOX-Account möglichst sicher ist?
Die wichtigste Regel in kurzen Worten: Bleiben Sie kritisch und ändern Sie regelmäßig Ihr directBOX-Passwort. Verwenden Sie dabei möglichst ein individuelles Passwort.
Ihr directBOX-Passwort können Sie übrigens ganz leicht ändern: Klicken Sie nach dem Login auf „Einstellungen“ → „Profil“. Klicken Sie dort auf der linken Seite auf „Sicherheitseinstellungen“. Hier können Sie das Passwort nun neu setzen. Unser Sicherheitsassistent gibt Ihnen dabei Auskunft, wie sicher Ihr Passwort nach unseren Sicherheitskriterien ist. Das Passwort muss mindestens 8 Stellen lang sein und sollte Groß- und Kleinschreibung, sowie Zahlen und Buchstaben enthalten, jedoch keine Sonderzeichen und keine Umlaute, da diese in vielen E-Mailprogrammen zu Problemen führen. Unser Tipp: In der Wikipedia finden Sie hilfreiche Tipps zur Wahl von sicheren Passwörtern.
Für die nähere Zukunft haben wir weitere Funktionsverbesserungen auf dem Entwicklungsplan, mit denen Sie Ihr directBOX-Postfach noch besser absichern können. Allen voran die sogenannte Zwei-Faktor-Authentisierung per SMS und das Abschalten der nicht benötigten Dienste.
Ihr directBOX-Team
Comments are closed.