Google, Facebook und Microsoft gehen gemeinsam gegen Phishing vor

15 führende Internetfirmen haben sich in der Arbeitsgruppe Dmarc.org zusammengeschlossen, um gemeinsam einen technischen Standard zur Abwehr von Phishing-Angriffen mit gefälschten E-Mails zu entwickeln. Dmarc steht für „Domain-based Message Authentication, Reporting and Conformance“. Dem Konsortium gehören Google, Facebook, Microsoft, Yahoo und PayPal an. Ebenfalls dabei sind AOL, Bank of America, Fidelity Investments, American Greetings, LinkedIn sowie auf sichere E-Mails spezialisierte Dienstleister wie Agari und eCert.

Ein typischer Fall von E-Mail-Phishing ist etwa eine gefälschte Nachricht, die angeblich von der Bank des Empfängers kommt und in der er aufgefordert wird, seine Kontendaten auf einer verlinkten Webseite einzugeben. Betrügern gelingt es auf diese Weise immer wieder, Identitäten zu stehlen und Konten zu plündern. „Mit E-Mail-Phishing werden jedes Jahr Millionen von Menschen sowie Unternehmen betrogen, was zu einem Verlust des Verbrauchervertrauens in E-Mail und das Internet insgesamt führt“, erklärt Brett McDowell, Paypal-Manager und Vorsitzender von Dmarc.org. „Die Zusammenarbeit der Branche ist – neben Technologie und Verbraucheraufklärung – ausschlaggebend im Kampf gegen Phishing.“

Dmarc baut auf früheren Standards der Mail-Authentifizierung wie SPF und DKIM auf und schafft ein Standard-Protokoll, um auf Domain-Spoofing und andere Phishing-Methoden zu reagieren. Die Versender zahlreicher E-Mails können damit sicherstellen, dass ihre verschickten Nachrichten von Providern wie Yahoo oder Google Mail als echt erkannt werden. Sie können außerdem Richtlinien vorgeben, laut denen Nachrichten abzulehnen sind, die ihre Absenderadressen vorzutäuschen versuchen. Die Provider wiederum geben den Versendern ausführliche Rückmeldungen zu noch bestehenden Lücken im System.

Google berichtet in einem Blogeintrag, schon seit fast zwei Jahren für die Dmarc-Gruppe aktiv zu sein. Rund 15 Prozent aller Nachrichten in Google Mail, bei denen es sich nicht um Spam handelt, kämen bereits von durch Dmarc geschützten Domains. Da jetzt auch andere wichtige Versender und Provider – darunter Facebook, LinkedIn und Paypal – die Dmarc-Spezifikation aktiv nutzten, sei der Weg frei, zusammen mit weiteren Mitgliedern des E-Mail-Ökosystems das Phishing-Problem in den Griff zu bekommen: „Das Potenzial für Phishing fällt, wenn das System einfach funktioniert, und dafür steht Dmarc.“

Dmarc.org hat angekündigt, seine Spezifikation bei der Internet Engineering Task Force (IETF) als Standard vorzuschlagen. Aber auch diese Brancheninitiative kann letztlich nicht für absolute Sicherheit sorgen. Während Dmarc bestätigte Absender garantiert, kann es beispielsweise nicht das „Typo-Phishing“ mit leicht veränderten Domain-Schreibweisen verhindern.

Schema des E-Mail-Authentifizierungsprozesses mittels Dmarc (Bild: Dmarc.org)