Übersicht
In den letzten Jahren wird die Mailabuse-Technik des 'List-Bombing', auch 'E-Mail-Bombe' genannt, immer häufiger eingesetzt.
Jedes Unternehmen, das über Webformulare E-Mail-Adressen erfasst, ist ein potenzielles Ziel für List-Bombing. Eine Attacke dieser Art kann Ihre Zustellraten beeinträchtigen und Folgendes nach sich ziehen:
- Spambeschwerden
- Platzierung Ihrer E-Mails im Junk-Ordner
- Ihre vollständige Blockierung durch E-Mail-Dienstanbieter
Dieser Artikel beschreibt, wie eine solche Attacke funktioniert, warum sie möglich ist und was Sie tun können, um Ihr Unternehmen zu schützen.
Was ist eine List-Bombing-Attacke?
Ein List-Bombing stellt eine automatisierte Attacke dar, bei der eine einzelne gültige E-Mail-Adresse gleichzeitig in die Registrierungsformulare hunderttausender Websites eingegeben wird. In Folge wird die Adresse des Opfers mit E-Mails überschwemmt; seine Mailbox wird unbrauchbar gemacht.
Was passiert während der Attacke?
Folgende Symptome weisen auf eine Attacke hin:
- Ein unerwarteter und substanzieller Anstieg an Registrierungsanfragen oder neuen Abonnenten
Wenn Sie beispielsweise üblicherweise an einem Tag bis zu 200 neue Abonnenten haben und plötzlich täglich über 2000 Neuregistrierungen anfallen, kann das ein Zeichen für eine Attacke sein.
- Eine plötzlich andere Audience
Nehmen wir an, Ihr Unternehmensstandort ist Deutschland und Sie haben überwiegend europäische Mailboxen in Ihrer Liste; wenn Sie nun plötzlich Registrierungsanfragen aus völlig anderen geografischen Regionen erhalten, sollte Sie das misstrauisch machen.
- Mehrere Anfragen von derselben IP
Ein Nutzer, der mehrere Anfragen für verschiedene oder eine einzelne Mailbox sendet, könnte ein Bot sein.
- Ein heftiger Anstieg bei Beschwerden und Bounces
Das ist ein guter Indikator dafür, dass etwas schiefläuft.
Reale Beispiele für 'Registrierungsbomben' enthält dieser Spamhaus-Artikel.
Warum passiert es?
Für eine List-Bombing-Attacke gibt es mehrere mögliche Gründe:
- Sie soll das Opfer von wichtigen Benachrichtigungen ablenken. Unter den vielen tausenden unerwünschten E-Mails könnten zum Beispiel Versuche zur Passwort-Wiederherstellung, nicht autorisisierte Banktransaktionen oder Online-Bestellungen sowie andere wichtige Benachrichtigungen versteckt sein. In diesen Fällen dient die Attacke dazu, einen Hacking-Versuch zu verschleiern.
- Die Attacke kann zum Vergnügen, um das Opfer zu ärgern oder sich an ihm zu rächen, sowie aus anderen niederträchtigen Motiven heraus erfolgen.
- Sie kann auch für die Verteilung von Spam verwendet werden. Wenn das Webformular Namen oder Nachnamen erfasst, können diese Felder mit Spam-Text und Phishing-Websites gefüllt werden, die dann später in der Personalisierung Ihrer E-Mails verwendet werden, etwa in Double Opt-in Mails (DOI-Mails), Willkommen-Mails und sogar Marketing-Mails (mangels Opt-in).
Warum passiert es Ihnen?
In den letzten Jahren haben ISPs gelernt, einfache Attacken sehr effektiv abzuwehren; andererseits werden aber auch die Spammer immer besser.
E-Mails von unbekannten IPs und irgendwelchen Domains senden - das funktioniert nicht mehr. Deshalb suchen Spammer nach einer Möglichkeit, eine gültige E-Mail-Infrastruktur mit einer gut eingeführten Reputation zu verwenden.
Schädliche Skripts durchstöbern das Web auf der Suche nach nicht geschützten Websites (ohne CAPTCHA- und Double Opt-in-Lösungen), deren Formulare sie nutzen können. Registrierungsformulare triggern üblicherweise transaktionale E-Mails, die eine bessere Reputation haben und so die verschiedenen Filter besser umgehen können. Zudem werden sie oft mit höherer Priorität gesendet und haben bessere Zustellraten. Daraus folgt, dass diese Art von Attacke eine viel größere Chance hat, in der Inbox zu landen. Es ist immer schwer, zwischen einer gültigen DOI-Mail und einer unerwünschten E-Mail zu unterscheiden - daher kann eine Attacke aus einer einzelnen Quelle häufig für Tage ungehindert fortgesetzt werden.
Was sind die Auswirkungen?
Tatsächlich hat eine List-Bombing-Attacke drei Opfer:
- Den Empfänger - die betroffene Mailbox wird unbrauchbar oder der Mailserver des Empfängers ist überlastet.
- Den Sender - hohe Spam- oder Bounce-Raten beschädigen die Senderreputation. Das kann zur Blockierung durch Spamhaus (oder andere öffentliche Blocklists) führen, was wiederum bedeutet, dass keine E-Mails zugestellt werden oder die Zustellung extrem erschwert wird; zudem kann es zu rechtlichen Schwierigkeiten führen, weil das Newsletter Opt-in nicht rechtskonform ist (schließlich enthält Ihre Datenbank Kontakte, die davon nichts wissen und keine Newsletter erhalten sollten).
- Den E-Mail-Dienstanbieter (ESP) - das Blocklisting von Sender-IPs oder sogar kompletten IP-Bereichen macht es dem ESP grundsätzlich schwerer, E-Mails zu versenden - auch für andere Kunden.
Auch wenn der Sender nicht der Initiator der E-Mail-Bombe ist, werden Mailbox-Anbieter trotzdem sowohl den Sender als auch den E-Mail-Dienstanbieter dafür verantwortlich machen; weil diese ihre Infrastruktur nicht schützen konnten, leisten sie quasi Beihilfe zur Attacke. Um ihr Netzwerk und ihre Reputation zu schützen, müssen E-Mail-Dienstanbieter präventive Schritte setzen und so verhindern, Opfer einer solchen Attacke zu werden.
Wie können Sie eine Attacke verhindern?
Essenzielle präventive Schritte
- CAPTCHA oder reCAPTCHA
CAPTCHA ('Completely Automated Public Turing test to tell Computers and Humans Apart') ist eine Form von Challenge Response Test, mit dem bestimmt werden soll, ob der Nutzer ein Mensch ist oder nicht. CAPTCHA fordert die Nutzer auf, verzerrt dargestellte Buchstaben oder Ziffern zu identifizieren. Mit diesen Tests können Bot-Aktivitäten herausgefiltert werden.
reCAPTCHA ist ein im Besitz von Google befindliches Verifizierungssystem, das mittels Verhaltensanalyse herausfindet, ob der Nutzer ein Mensch ist oder nicht. Weitere Informationen erhalten Sie in der von Google bereitgestellten Dokumentation.
Um Ihr Unternehmen vor einer Bot-Attacke zu schützen, können Sie CAPTCHA oder reCAPTCHA als Teil des Registrierungsvorgangs verwenden.
- Double Opt-In (DOI)
Ein DOI kann Ihre Formulare nicht vor Missbrauch schützen; es sorgt jedoch für die notwendige Listenhygiene. Das bedeutet im Allgemeinen, dass ein Abuse- oder Spam-Mail nur ein einziges Mal gesendet werden kann. Bei einem Double Opt-in wird eine E-Mail mit einem Bestätigungs-Link gesendet. Sobald der Empfänger den Link klickt, können Sie verifizieren, dass es sich um keinen Bot handelt, und den Kontakt für Ihren Newsletter anmelden.
Ohne DOI landen missbräuchlich verwendete Adressen direkt auf Ihrer Abonnentenliste; das beschädigt die Integrität Ihrer Datenbank und macht es sehr schwer, missbrauchte Kontakte zu identifizieren. In manchen Fällen können die Opfer von List-Bombing-Attacken auch noch Jahre nach der Attacke ungültige Marketingkampagnen erhalten.
Optionale präventive Schritte
- IP/Wert-Begrenzung und Berücksichtigung des Zeitaufwands
Begrenzen Sie die Möglichkeit, mehrere Requests von derselben IP zu senden. Bitte bedenken Sie aber auch, dass Bots häufig die IP-Adressen wechseln; es handelt sich hierbei also um keinen hundertprozentigen Schutz.
Im Hinblick auf List-Bombing-Attacken kann es auch Sinn machen, ein Limit für die Übergabe desselben Werts (dieselbe Mailbox) hinzuzufügen.
Eine weitere Metrik, die Sie verwenden können, ist die Zeit, die der Nutzer mit dem Ausfüllen des Formulars verbringt. Ein Mensch braucht bis zu einer Minute, um die verschiedenen Felder auszufüllen; ein Bot schafft das in einer Sekunde.
- Honeypot-Methode
Bei der Honeypot-Methode wird dem Formular ein spezielles Feld hinzugefügt; dieses ist im HTML versteckt und daher für Menschen unsichtbar, während Bots es sehr wohl erkennen können. Wird das Feld ausgefüllt, stammt die Anfrage von einem Bot und sollte zurückgewiesen werden.
Was ist zu tun, wenn man Opfer einer Attacke wird?
Verfallen Sie nicht in Panik und beginnen Sie sofort mit der Problemlösung.
- Finden Sie heraus, welches Webformular missbraucht wird, ebenso wie den Zeitrahmen der Attacke. Das List-Bombing kann von Ihnen unbemerkt schon vor Tagen oder sogar Wochen begonnen haben.
- Nehmen Sie das Formular offline und implementieren Sie die beschriebenen Maßnahmen.
- Stellen Sie das Formular wieder online und beobachten Sie es weiterhin.
- Identifizieren Sie die Kontakte, die durch Bots zu Ihrer Liste hinzugefügt wurden, und entfernen oder blockieren Sie diese.
Das erreichen Sie mit folgenden einfachen Schritten:
- Filtern Sie nach Nutzern, die in der Zeit der List-Bombing-Attacke erstellt wurden.
- Suchen Sie nach Nutzern mit ähnlichen Namen, ähnlichen E-Mail-Domains oder solchen, die sich über dieselbe IP registriert haben.
- Sobald Sie den gemeinsamen Nenner identifiziert haben, können Sie damit beginnen, alle betroffenen Nutzer zu entfernen.
Ein List-Bombing hat negative Auswirkungen auf den Ruf Ihres Unternehmens und Ihre Senderreputation sowie die Inbox-Platzierung und Zustellbarkeit Ihrer E-Mails. Glücklicherweise genügen einige wenige einfache Maßnahmen, um Ihre Website zu schützen und eine aktuelle Attacke zu stoppen. Seien Sie vorbereitet und lassen Sie sich von niemandem in eine Cyberattacke hineinziehen!