Kontakt

Newsletter-Attacke: Wie Mail-Bombing Postfächer lahmlegt

  • 18.12.2024
  • Elisa Schumann

Weitere Artikel

Zur Übersicht

Ausgangslage

Wie Sie Mailbombing erkennen und abwehren.

Stellen Sie sich vor, Sie öffnen an einem ganz normalen Arbeitstag Ihren Posteingang – und finden sich in einem Meer aus E-Mails wieder.
Newsletter, Bestätigungen, Anmeldungen, Benachrichtigungen. Innerhalb weniger Minuten wächst die Zahl auf mehrere Tausend. Ihr Postfach ist kaum noch bedienbar, wichtige E-Mails gehen unter.

Was zunächst nach einem technischen Fehler aussieht, ist in Wirklichkeit ein gezielter Angriff: eine sogenannte Mailbombe.

Hintergrund

Wenn E-Mails zur Waffe werden.

Im November 2024 beobachteten Sicherheitsexperten eine neue Kombination von Angriffstechniken: Mailbombing wurde im Rahmen der Black-Basta-Ransomware-Kampagnen eingesetzt – gemeinsam mit Social-Engineering-Angriffen über Microsoft Teams.

Während Betroffene versuchten, die E-Mail-Flut zu stoppen, kontaktierten die Angreifer sie scheinbar hilfsbereit als „IT-Mitarbeiter“. Ihr Ziel: den Zugriff auf das System über Remote-Monitoring-Tools zu erlangen.

Diese Methode zeigt, wie gefährlich Mailbombing ist – nicht nur, weil es den E-Mail-Verkehr lahmlegt, sondern weil es als Ablenkung für weitergehende Angriffe dient.

7

Das Angriffsmotiv

Mailbombing: Ein Ablenkungsmanöver.

In erster Linie wird Mailbombing als Ablenkung eingesetzt, um zu verschleiern, dass die E-Mail bereits kompromittiert ist und um noch mehr bösartige Aktivitäten durchzuführen. Die Attacke zielt darauf ab, einen Denial of Service zu verursachen, um so die Spuren der Aktionen des Angreifers zu verwischen. Auf diese Weise erhält der Angreifer einen leichteren Zugang zu sensiblen Daten oder kann sich in die Unternehmensinfrastruktur einklinken. Auch die Gefahr, von einem Sicherheitsteam entdeckt zu werden, ist geringer.

  • Eine Mailbombe wird oft als Ablenkungsmanöver genutzt, um wichtige E-Mails wie legitime Transaktions-E-Mails unter einem Haufen von Bestätigungs-E-Mails zu begraben. Das Opfer könnte also wichtige Informationen und E-Mails verlieren, wenn es nichtsahnend versucht, die unerwünschten Mails massenhaft zu löschen, um den Angriff abzuwehren.
    Wenn sich ein Angreifer beispielsweise Zugang zum Payoneer-Konto eines Opfers verschafft und eine betrügerische Transaktion durchgeführt hat, erhält das Opfer in der Regel eine Bestätigungs-E-Mail von Payoneer mit detaillierten Transaktionsinformationen. Wenn der Angreifer diese Transaktion jedoch gleichzeitig mit einer Mailbombe verschleiert, wird die E-Mail-Adresse des Opfers mit einer großen Anzahl (normalerweise Hunderte oder sogar Tausende) unerwünschter E-Mails überflutet und die E-Mail mit der betrügerischen Transaktion geht in der Flut sinnloser E-Mails unter, die meist auch noch mehrere Stunden oder sogar Tage danach in den Posteingang strömen.

    Dieses Chaos, das die Angreifer verursachen, behindert die Untersuchung (falls der Angriff vom Endbenutzer oder dem Sicherheitsteam entdeckt wird), die zu diesem Zeitpunkt bereits zu spät sein könnte. In diesem Fall hätte der Angreifer sein Ziel erreicht und könnte entweder weiterziehen, oder das Chaos als Ablenkungsmanöver nutzen und an noch sensiblere Daten gelangen.

  • Denial of Service (DoS)-Angriffe haben das gleiche Ziel, verwenden aber einen etwas anderen Ansatz. Wie bereits erwähnt, können Angriffe dieser Art ausgenutzt werden, wenn der E-Mail-Server nicht über Regeln zur Anfragebeschränkung verfügt, wodurch sich ein Angriffsvektor für eine Dienstverweigerung eröffnet, der den Server in kurzer Zeit mit Tausenden von E-Mails überflutet und ihn unbrauchbar macht, wodurch der Empfang wichtiger E-Mails verhindert wird. Dies kann enorme Auswirkungen auf die Business Continuity und die Betriebsabläufe haben. 

Darüber hinaus könnte ein DoS-Angriff auf den E-Mail-Server ein Angriff sein, der durchgeführt wird, um einen anderen Cyberangriff zu verschleiern, wie z. B.: 

  • Datenexfiltration: Während sich das Sicherheitsteam auf die Eindämmung der E-Mail-Flut konzentriert, könnten Angreifer an anderer Stelle Schwachstellen ausnutzen, Daten exfiltrieren, Ransomware einsetzen oder die Infrastruktur weiter kompromittieren. 
  • Das Ausloten der Sicherheitslage des Unternehmens durch die Überlastung des Servers könnte fehlende (oder keine) Konfigurationen aufdecken, sodass anschließend ein noch bösartigerer Angriff vorbereitet werden kann. 
  • Erpressung ist ein häufiger Anwendungsfall für DoS auf dem E-Mail-Server, da viele Unternehmen potenzielle Kunden verlieren und ihr Ruf geschädigt werden könnte, wenn ihr E-Mail-Dienst über einen längeren Zeitraum nicht wie vorgesehen funktioniert. Die Angreifer fordern in diesem Fall Lösegeld dafür, dass der Dienst wieder einwandfrei funktioniert. 
  • Eine weitere gängige Taktik besteht darin, den überfluteten Posteingang als Lockmittel für den „IT-Support“ zu nutzen. Während der Endbenutzer ungläubig auf seinen Posteingang starrt, meldet sich ein hilfsbereiter IT-Mitarbeiter (ein Angreifer, der den zweiten Teil des Angriffs einleitet) über Microsoft Teams, per Telefon oder über einen anderen Kanal und erklärt, dass er das Problem bemerkt hat und dass der Benutzer nur ein “praktisches” Tool für den Fernzugriff installieren muss, um das Problem zu beheben. Wir haben gesehen, dass diese Taktik von der Black-Basta-Ransomware-Gruppe verwendet wird und andere werden sicher nachziehen.

Lösung

Was Sie tun können, um sich zu schützen.

Als IT-Dienstleister beobachten wir bei der IF-Tech AG seit einiger Zeit eine deutliche Zunahme solcher Angriffsmuster. Viele unserer Kunden fragen:
Wie kann man sich dagegen absichern, ohne die E-Mail-Kommunikation einzuschränken?

Die Antwort liegt in einem mehrstufigen Sicherheitsansatz

Erkennen von Mustern.

Systeme sollten in der Lage sein, ungewöhnliche E-Mail-Mengen und Benachrichtigungsmuster automatisch zu erkennen. Auffällige E-Mails – etwa Massenanmeldungen oder Bestätigungen – können in Quarantäne verschoben werden, bevor sie Schaden anrichten.

Überwachung in Echtzeit.

Ein zentrales Monitoring des E-Mail-Verkehrs hilft, Auffälligkeiten frühzeitig zu identifizieren. Wenn Sie sehen, dass plötzlich tausende E-Mails innerhalb weniger Minuten eingehen, können Sie sofort Maßnahmen einleiten.

Transparente Verwaltung.

Durch Black- und Whitelisting-Regeln können Administratoren gezielt steuern, welche Absender zugelassen oder blockiert werden. So bleibt die Kontrolle auch in Stresssituationen erhalten.

Sensibilisierung der Mitarbeitenden.

Die beste Technik nützt wenig, wenn Angreifer über Social Engineering erfolgreich sind. Regelmäßige Schulungen helfen, verdächtige Nachrichten oder Anrufe zu erkennen – und richtig zu reagieren.

logo hornetsecurity 1240x614 1

Unterstützung

Spezialisierte Sicherheitslösungen.

Als Gold-Partner von Hornetsecurity setzen wir bei der IF-Tech AG auf Technologien, die Unternehmen genau bei diesen Punkten unterstützen.
Hornetsecurity-Lösungen erkennen automatisch, wenn ungewöhnlich viele Benachrichtigungs-E-Mails eingehen, und leiten sie in Quarantäne, bevor sie den Posteingang überfluten.

Über das E-Mail Live Tracking erhalten Administratoren in Echtzeit Einblick in den E-Mail-Verkehr und können sofort eingreifen, falls ein Angriffsmuster erkennbar wird.

Warum viele unserer Kunden auf Hornetsecurity vertrauen, erzählen diese am besten selbst. Lesen Sie unsere Success Stories und Fallbeispiele unserer Kunden.

Success Story PlanetHome

Nachlesen

Entdecken Sie unsere Anwendungs- und Kundenbeispiele.

Herunterladen
Herunterladen

Ihr Draht zu uns

Sprechen Sie uns an.
Wir freuen uns auf Ihre Nachricht.

fabian frey
Fabian Frey
Solution Architect
+49 89 2000669 20
vertrieb@if-tech.de

*“ zeigt erforderliche Felder an

Einwilligung*