E-Mails sollen sicherer werden: Allianz gegen Phishing
Die Web-Giganten schließen sich zusammen, um unsere E-Mails sicher zu machen. Eine Allianz von Google, Facebook, Yahoo, PayPal und anderen Webgrößen hat sich aufgemacht, um Phising-Betrügern das Leben schwerer zu machen. Dazu hat man DMARC gegründet. DMARC steht für Domain-based Message Authentication, Reporting and Conformance und rund um das Projekt soll in den nächsten Monaten ein neuer Standard zur E-Mail-Authentifizierung aus der Taufe gehoben, beziehungsweise erweitert werden. Das zu realisierende System soll es Empfängern von E-Mails erleichtern, herauszufinden, ob der Absender auch der ist, für den er sich ausgibt.
Die DMARC-Lösung basiert auf den bestehenden Technologien „Sender Policy Framework“ (SPF) und „DomainKeys Identified Mail“ (DKIM). Zuerst soll ein so genanntes Domain-basiertes Phishing realisiert werden, die Bekämpfung von „Typo-Phishing“ (Absender verwendet falsch buchstabierte Domain-Namen, die täuschend echt aussehen, zum Beispiel P0stbank (Null statt 0 usw.)) soll in einem nächsten Schritt erfolgen. Facebook, PayPal und Linkedin nutzen bereits die DMARC-Spezifikationen. (via, via, via)
In diesem Zusammenhang finde ich es vorbildlich, dass Google in eigenen Mails derzeit im Footer auf die wichtigste Regel gegen Phishing hinweist:
“ Geben Sie das Passwort Ihres Google-Kontos niemals ein, nachdem Sie einem Link in einer E-Mail oder einem Chat zu einer nicht vertrauenswürdigen Website gefolgt sind. Rufen Sie die Website stattdessen durch Direkteingabe auf, beispielsweise mit mail.google.com oder http://www.google.com/accounts. Google sendet keine E-Mails an Sie, in denen Sie nach Ihrem Passwort oder anderen vertraulichen Daten gefragt werden.“
Ich hab gerade die Tage erst wieder Phising Mails bekommen (DHL Packstation&Visa Card). Hatte die zur Prüfung gemeldet und wurde auch bestätigt. Beinahe hätte ich den Packstation Link benutzt, weil die eMail für mich inkl. Links echt aussah, aber das ich dann meine Einloggdaten+PW zur Aktualisierung eingeben soll, war mir dann doch nicht ganz koscher. Ich aknn mir gut vorstellen, das viele Leute drauf reinfallen, und viel Schaden angerichtet wird!
Somit kann Google und Facebook auch besser meinen Mailverkehr mit dem jeweils anderen Providern ausspionieren (kontrollieren) oder? Jede Zusammenarbeit von Facebook und Google bewirkt bei mir einen bitteren Nachgeschmack.
Ich freue mich schon auf den Moment wo das Versenden von der eigenen Domain zum Problem wird weil die Verifizierung auf Gültigkeit entweder so kompliziert ist das man es auf dem eigenen Servern nicht mehr ohne weiteres hin bekommt oder das Verfahren kostenpflichtig wird.
Aber klar .. ich kann ja bei Google meine Domain verifizieren und sie über Google verschicken ..
—
So richtig sehe ich die Notwendigkeit nicht. Ich bekomme im Jahr ca 10-20.000 Emails und es waren die letzten Jahre genau 2 Phishing-Mails dabei und die wurden mit Warnung hervorgehoben.
Was ich sehr auffällig finde sind die teilweise sehr guten Phishing Mails bzgl. Packstation. In kaum einem anderen Bereich bekomme ich derart gut aufbereitete Mails, welche zum verwechseln ähnlich sind.
Gut dat Gmail die Mails immer erkennt und selbst der Firefox warnt.
„Zuerst soll ein so genanntes Domain-basiertes Phishing realisiert werden“
Phishing soll realisiert werden?
Das ist auf jeden Fall eine gute Initiative. Ich bekomme auch immer wieder Phishing E-Mails, die von Jahr zu Jahr besser werden.