Partner Login
Email Security Header

E-Mailbombing erklärt: Was es ist und wie man sich dagegen schützen kann

Author: Nikola Talevski / 03.12.2024 /
Home » Blog » E-Mailbombing erklärt: Was es ist und wie man sich dagegen schützen kann

Stellen Sie sich vor, Sie öffnen Ihren Posteingang und sehen eine Flut an tausenden E-Mails: Newsletter, für die Sie sich nie angemeldet haben, ungewollte Benachrichtigungen und Spam-Mails häufen sich schneller, als Sie sie löschen können. Hierbei handelt es sich um einen gezielten Angriff, der als Mailbombe oder E-Mailbombe bezeichnet wird und darauf abzielt, den für Sie und Ihr Unternehmen essenziellen E-Mailverkehr zu stören.  

Im November 2024 beobachteten wir von Mailbombing-Angriffen als Teil der Black-Basta-Ransomware-Operationen, bei denen die Angreifer eine Flut an E-Mails mit Social Engineering über Microsoft Teams kombinierten, um die Zielperson dazu zu bringen, gefälschte IT-Anfragen zu akzeptieren und den Angreifern über Remote-Monitoring- und Management-Tools (RMM) Zugriff zu gewähren. 

In diesem Artikel erklären wir, wie eine E-Mailbombe funktioniert, warum sie mehr als nur ein kurzes Ärgernis ist und wie Sie Ihren Posteingang gegen diesen hinterhältigen Angriff schützen können. 

Was eine Mailbombe ist & warum man sie nicht ignorieren sollte 

E-Mailbombing, auch bekannt als E-Mail-Flooding, sind eine Art von Denial-of-Service-Angriff (DoS), bei dem eine E-Mail-Adresse oder ein Server mit Hunderten, bis Tausenden von Nachrichten überflutet wird. Mithilfe eines Botnets kann diesen Angriff sowohl ein einzelner Akteur als auch eine Gruppe durchführen. Das Ziel des Angreifers ist es, den E-Mail-Posteingang des Opfers praktisch unbrauchbar zu machen, indem er echte E-Mails, wie z. B. sensible Informationen über Finanztransaktionen, Bestätigungen von Online-Bestellungen oder das Zurücksetzen von Zugangsdaten (wie etwa Passwörtern), unter einer Flut von Spam- oder Junk-Mails versteckt. 

Diese Art von Angriffsvektor, von dem Angreifer Gebrauch machen, nutzt Schwachstellen wie fehlende Anfragebeschränkungen auf E-Mail-Servern oder Webanwendungen, um eine Abonnementfunktion anzugreifen, die Bestätigungs-E-Mails ohne robuste serverseitige Anfragebeschränkung oder clientseitige Captchas versendet. Wenn das System nur prüft, ob eine E-Mail bereits im System ist, bevor es die Nachricht „Abonnement erfolgreich“ sendet, können Angreifer den Prozess automatisieren und den Posteingang des Opfers mit Tausenden von E-Mails überfluten, was zu erheblichen Störungen führt.  

Bei einer weiteren Variante dieser Angriffe, das als “Newsletter-Attacke” bezeichnet wird, setzen die Angreifer auf Newsletter-Dienste, die keine Verifizierungs-E-Mail verschicken, um sicherzustellen, dass man sich wirklich registrieren wollte – es gibt jedoch auch Angriffe, bei denen Verifizierungsmails Teil der Mailbombe sind.  

Das Motiv und die Arten von Angriffen

In erster Linie wird Mailbombing als Ablenkung eingesetzt, um zu verschleiern, dass die E-Mail bereits kompromittiert ist und um noch mehr bösartige Aktivitäten durchzuführen. Die Attacke zielt darauf ab, einen Denial of Service zu verursachen, um so die Spuren der Aktionen des Angreifers zu verwischen. Auf diese Weise erhält der Angreifer einen leichteren Zugang zu sensiblen Daten oder kann sich in die Unternehmensinfrastruktur einklinken. Auch die Gefahr, von einem Sicherheitsteam entdeckt zu werden, ist geringer.

  • Eine Mailbombe wird oft als Ablenkungsmanöver genutzt, um wichtige E-Mails wie legitime Transaktions-E-Mails unter einem Haufen von Bestätigungs-E-Mails zu begraben. Das Opfer könnte also wichtige Informationen und E-Mails verlieren, wenn es nichtsahnend versucht, die unerwünschten Mails massenhaft zu löschen, um den Angriff abzuwehren.  

    Wenn sich ein Angreifer beispielsweise Zugang zum Payoneer-Konto eines Opfers verschafft und eine betrügerische Transaktion durchgeführt hat, erhält das Opfer in der Regel eine Bestätigungs-E-Mail von Payoneer mit detaillierten Transaktionsinformationen. Wenn der Angreifer diese Transaktion jedoch gleichzeitig mit einer Mailbombe verschleiert, wird die E-Mail-Adresse des Opfers mit einer großen Anzahl (normalerweise Hunderte oder sogar Tausende) unerwünschter E-Mails überflutet und die E-Mail mit der betrügerischen Transaktion geht in der Flut sinnloser E-Mails unter, die meist auch noch mehrere Stunden oder sogar Tage danach in den Posteingang strömen. 

    Dieses Chaos, das die Angreifer verursachen, behindert die Untersuchung (falls der Angriff vom Endbenutzer oder dem Sicherheitsteam entdeckt wird), die zu diesem Zeitpunkt bereits zu spät sein könnte. In diesem Fall hätte der Angreifer sein Ziel erreicht und könnte entweder weiterziehen, oder das Chaos als Ablenkungsmanöver nutzen und an noch sensiblere Daten gelangen.
  • Denial of Service (DoS)-Angriffe haben das gleiche Ziel, verwenden aber einen etwas anderen Ansatz. Wie bereits erwähnt, können Angriffe dieser Art ausgenutzt werden, wenn der E-Mail-Server nicht über Regeln zur Anfragebeschränkung verfügt, wodurch sich ein Angriffsvektor für eine Dienstverweigerung eröffnet, der den Server in kurzer Zeit mit Tausenden von E-Mails überflutet und ihn unbrauchbar macht, wodurch der Empfang wichtiger E-Mails verhindert wird. Dies kann enorme Auswirkungen auf die Business Continuity und die Betriebsabläufe haben. 

Darüber hinaus könnte ein DoS-Angriff auf den E-Mail-Server ein Angriff sein, der durchgeführt wird, um einen anderen Cyberangriff zu verschleiern, wie z. B.: 

  • Datenexfiltration: Während sich das Sicherheitsteam auf die Eindämmung der E-Mail-Flut konzentriert, könnten Angreifer an anderer Stelle Schwachstellen ausnutzen, Daten exfiltrieren, Ransomware einsetzen oder die Infrastruktur weiter kompromittieren. 
  • Das Ausloten der Sicherheitslage des Unternehmens durch die Überlastung des Servers könnte fehlende (oder keine) Konfigurationen aufdecken, sodass anschließend ein noch bösartigerer Angriff vorbereitet werden kann. 
  • Erpressung ist ein häufiger Anwendungsfall für DoS auf dem E-Mail-Server, da viele Unternehmen potenzielle Kunden verlieren und ihr Ruf geschädigt werden könnte, wenn ihr E-Mail-Dienst über einen längeren Zeitraum nicht wie vorgesehen funktioniert. Die Angreifer fordern in diesem Fall Lösegeld dafür, dass der Dienst wieder einwandfrei funktioniert. 
  • Eine weitere gängige Taktik besteht darin, den überfluteten Posteingang als Lockmittel für den „IT-Support“ zu nutzen. Während der Endbenutzer ungläubig auf seinen Posteingang starrt, meldet sich ein hilfsbereiter IT-Mitarbeiter (ein Angreifer, der den zweiten Teil des Angriffs einleitet) über Microsoft Teams, per Telefon oder über einen anderen Kanal und erklärt, dass er das Problem bemerkt hat und dass der Benutzer nur ein “praktisches” Tool für den Fernzugriff installieren muss, um das Problem zu beheben. Wir haben gesehen, dass diese Taktik von der Black-Basta-Ransomware-Gruppe verwendet wird und andere werden sicher nachziehen.

Wie man sich vor E-Mailbombing-Angriffen schützen kann 

Eine umfassende Verteidigungsstrategie schlägt jede Einzelmaßnahme. Mit anderen Worten: Um E-Mail-Angriffe zu verhindern und zu bekämpfen, sollten mehrschichtige Erkennungstechniken und leistungsstarke Machine-Learning-Ansätze zum Einsatz kommen.

Eine effektive Methode besteht darin, E-Mails festen Kategorien zuzuweisen (wie etwa “Spam” oder “Infomails”) und gleichzeitig Filter für schädliche E-Mails wie Malware, BEC (Business E-Mail Compromise) und Phishing einzusetzen. Diese Filter sorgen dafür, dass böswillige E-Mails unter Quarantäne gestellt werden, noch bevor sie den Posteingang des Benutzers erreichen. Diese Filter wirken sich auch auf die Benutzer aus, denn sie helfen ihnen, die Bedrohung zu verstehen – und wenn die Benutzer die Risiken verstehen, ist die Wahrscheinlichkeit geringer, dass sie Opfer von diesen oder ähnlichen Angriffsversuchen werden.

Eine Tracking-Lösung mit robusten Suchfunktionen und umfassender Kontrolle über den E-Mailverkehr, mit Bedrohungserkennung in Echtzeit und E-Mail-Warnmarkierungen, erhöht das Sicherheitsbewusstsein der Benutzer, was zu einer dringend benötigten menschlichen Firewall für sicherere Entscheidungen führt.

Im Folgenden stellen wir das intelligenten E-Mail-Schutz on Hornetsecurity vor, der die Identifikation von Angriffsversuchen erleichtert und ihr Unternehmen zuverlässig vor Mailbomben schützt.

Identifizierung von Benachrichtigungsmustern

Spam- und Malware-Protection von Hornetsecurity schützt vor groß angelegten DoS- und gezielten E-Mailbomben-Angriffen. Das System erkennt automatisch verschiedene Arten von Benachrichtigungs-E-Mails, wie z. B. Newsletter-Abonnements, Konto-Registrierungen, Passwort-Rücksetzungen und Sicherheitswarnungen. Außerdem überwacht es die Häufigkeit dieser E-Mails und aktiviert bei Bedarf den Schutz. Sobald der Schutz aktiviert ist, stellt das System die E-Mails, die dem Angriffsmuster entsprechen, automatisch unter Quarantäne.

Mailbombing-Angriffe mit E-Mail Live Tracking überwachen

Wenn ein System plötzlich träge wird (E-Mails laden langsam oder scheinen nicht gesendet oder empfangen zu werden), könnte es sein, dass das Mailprogramm versucht, eine große Anzahl von Nachrichten zu verarbeiten. Dieser Angriff kann gestoppt werden, indem man den E-Mail-Server mit dem Hornetsecurity E-Mail Live Tracking Modul überwacht, das Benutzern und Administratoren einen umfassenden Einblick in den E-Mailverkehr in Echtzeit bietet. Benutzer können ihre eigenen ein- und ausgehenden E-Mails überwachen, einschließlich derer von Alias-Adressen. Dadurch erhalten Administratoren zusätzliche Kontrolle und können sich den Datenverkehr über ganze Domains oder Kunden hinweg anzeigen lassen, indem sie ihren Betrachtungsbereich im Control Panel anpassen.

Außerdem können Administratoren E-Mails, die mit „Mail Bombing“ markiert sind, schneller filtern oder suchen, um sie zu überprüfen oder Maßnahmen zu ergreifen.

Markierung und Identifizierung

  • E-Mail-Typ: Die unter Quarantäne gestellten E-Mails werden als Spam kategorisiert.
  • Grund: Jede E-Mail wird mit dem spezifischen Grund „Mail Bombing“ gekennzeichnet.

Dieser Ansatz zur Kennzeichnung trägt zur Vereinfachung der Verwaltung bei und ermöglicht eine schnelle Wiederherstellung legitimer Nachrichten, wenn die falsch-positive E-Mail unter Quarantäne gestellt wird.

Das Modul lässt sich auch in Dienste zur E-Mail-Archivierung integrieren und bietet so Zugriff auf alte E-Mails. Mit anpassbaren Ansichten, erweiterten Filtern und Exportoptionen gewährleistet E-Mail Live Tracking eine effiziente E-Mail-Verwaltung und die Flexibilität, ungewöhnliches Verhalten zu erkennen. Externe Prüfer können auf den E-Mailverkehr zugreifen, um die Einhaltung von Vorschriften zu überwachen, während gleichzeitig der Datenschutz für als privat gekennzeichnete E-Mails gewahrt bleibt.

Black- & Whitelisting als proaktive Maßnahme

Neben der Überwachung besteht eine effektive proaktive Abwehrstrategie darin, Berechtigungen für E-Mails über sogenannte Zulassungslisten zu verwalten. Das Modul „Black- & Whitelists“ dient daher der effektiven Verwaltung der E-Mail-Filterung, so dass jeder Benutzer personalisierte Listen erstellen kann, während Administratoren Listen sowohl auf individueller als auch auf Domainebene einsehen können. Blacklists kennzeichnen dabei bestimmte E-Mails als Spam und leiten sie in die Quarantäne um, während Whitelists sicherstellen, dass vertrauenswürdige E-Mails die Spamfilter umgehen. Auf Domainebene können Administratoren die Regeln zur Umgehung der Filter anpassen.

Key Features 

  • Persönliche und Domain-Kontrolle: Benutzer verwalten einzelne Listen, während Administratoren die domainweiten Einstellungen kontrollieren.
  • Anpassbare Filter: Über Whitelists können E-Mails Spam- und andere Filter auf Domainebene umgehen.
  • Einfache Verwaltung: Importieren/Exportieren von E-Mail-Listen mit durch Kommata getrennten Werten (comma-separated-value, CSVs) für Massenaktualisierungen.

Die hier vorgestellten Module können Unternehmen bei der Spam-Prävention sehr helfen, da sie eine effektive Verwaltung von Spamfiltern ermöglichen und eine proaktive Echtzeit-Überwachung bieten. Dieser Ansatz stellt eine wirksame Form der Absicherung gegen die wachsende Bedrohung durch Denial-of-Service-Angriffe (DoS) dar, die mit einer jährlichen Wachstumsrate (CAGR) von 14 % zunehmen.

Sichern Sie Ihr Postfach mit Hornetsecurity gegen E-Mail-Bomben

Lassen Sie nicht zu, dass Mailbombing-Angriffe Ihre Betriebsabläufe stören. Mit dem Spam- und Malware-Schutzsystem von Hornetsecurity können Sie die Kontinuität Ihres E-Mailverkehrs aufrechterhalten und Ihren Posteingang wirksam schützen.

Fordern Sie noch heute eine Demo an und finden Sie heraus, wie Hornetsecurity die E-Mail-Sicherheit Ihres Unternehmens verbessern kann.

Fazit

Mit den hier genannten Strategien haben wir vielleicht eine Chance gegen den immer größer werdenden Pool an Methoden, Techniken und Taktiken, die die Angreifer einsetzen. Da die E-Mail als wichtigstes Kommunikationsmittel zwischen Unternehmen und Kunden eine Schlüsselfunktion hat, wird sie oft ins Visier genommen und ausgenutzt. Traurig, aber wahr: Der Mensch ist und bleibt das Hauptziel für Angriffe. Man kann entweder die Augen davor verschließen und das Beste hoffen oder proaktiv handeln und seine Infrastruktur durch präventive Techniken und Tools absichern, um vor Mailbombing-Angriffen geschützt zu sein!

FAQ

Was sind E-Mail-Bomben und welche Bedeutung haben sie?

Bei einer E-Mail-Bombe handelt es sich um einen Cyberangriff, bei dem der Posteingang mit Spam überflutet wird. Wichtige E-Mails werden hierbei verdeckt und Angreifer können unbemerkt Betrug zu begehen oder ihre bösartigen Aktivitäten verbergen.

Wie funktionieren E-Mailbomben?

Die Angreifer nutzen Schwachstellen in E-Mail-Servern aus, um die Posteingänge zu überfluten, wobei sie häufig gefälschte Abonnements oder Botnets einsetzen. Das Ziel ist es, die Opfer abzulenken und Betriebsabläufe zu stören.

Wie kann ich meinen Posteingang vor E-Mailbomben-Angriffen schützen?

Mehrschichtige Sicherheitsmaßnahmen, Spamfilter und Echtzeit-Überwachungstools, wie das E-Mail Live Tracking von Hornetsecurity, erkennen und entschärfen Bedrohungen.

Dies könnte Sie auch interessieren