E-Mails: Rund 70 Prozent Ausschuss

Hornetsecurity Security Lab veröffentlicht neue Analyse-Zahlen zu unerwünschten E-Mails

[datensicherheit.de, 17.08.2020] Nach aktuellen Erkenntnissen des Hornetsecurity Security Lab sind rund 70 Prozent aller E-Mails ungewollte Zusendungen. Rund 300 Milliarden E-Mails werden demnach täglich versendet – die Zahl der privat und geschäftlich verschickten und empfangenen E-Mails solle laut Prognose bis 2024 sogar auf 361,6 Milliarden ansteigen. Allerdings seien nicht alle E-Mails, die im Postfach landen, erwünscht – und ungewollte E-Mails enthielten nicht nur fragwürdige Werbung, sondern oftmals auch schädliche Anhänge und Links. Wie viele E-Mails überhaupt von Nutzern erwünscht sind, und welche Gefahren in den Postfächern lauern können, hätten die Experten des Hornetsecurity Security Lab anhand der im System eingegangenen E-Mails für das Jahr 2020 analysiert und seien zu interessanten Ergebnissen gekommen: „Nur 28 Prozent der E-Mails konnten als ,clean‘, also unschädlich, von den Filtern von Hornetsecurity eingestuft werden – somit waren mehr als 70 Prozent aller adressierten E-Mails vom Empfänger ungewollt.“

Abbildung: Hornetsecurity Security Lab

Hornetsecurity-Analyse: „Rund 70 Prozent aller E-Mails sind ungewollt!“

Die Top 4 der bereits im Voraus blockierten E-Mails

Ganze 67 Prozent der eingehenden E-Mails könnten z.B. von Hornetsecuritys Filtermechanismen bereits im Voraus geblockt werden: „Das bedeutet, dass diese bereits aufgrund unterschiedlicher Faktoren als schädlich oder ungewollt klassifiziert wurden.“ Im Juni 2020 habe das Security Lab die unterschiedlichen Gründe für das Blockieren von eingegangenen E-Mails analysiert. Dabei seien die nachfolgenden Gründe als die wichtigsten identifiziert worden:

• Auf Platz 1 befänden sich mit knapp 58 Prozent E-Mails, die im Voraus mit Hilfe einer „Realtime Blackhole List“ als Spam hätten klassifiziert werden können.
• Mit zwölf Prozent befänden sich E-Mails, die versuchten, die Mailserver von Hornetsecurity als „Open Relay“ zu verwenden, auf Platz 2. „,Open Relay‘ nennt sich der Vorgang, bei dem ein E-Mail-Server E-Mails, für die er gar nicht zuständig ist, zustellt. Hat beispielsweise ,example.com‘ einen E-Mail-Server, sollte dieser nur E-Mails für ,mustermann [at] example [dot] com‘ annehmen.“ Ein „Open Relay“-Server würde aber auch E-Mails für andere Domains annehmen, wie z.B. „@test.com“. Oft würden diese „Open Relays“ für das Versenden von Spam mit gefälschten Absenderadressen missbraucht und deshalb schon im Voraus z.B. von Hornetsecurity blockiert.
• Auf Platz 3 der wichtigsten Gründe für das Blockieren im Voraus seien mit 5,9 Prozent E-Mails, „bei denen Hornetsecurity keine richtige Absenderadresse feststellen konnte – Cyber-Kriminelle versuchen auf diese Weise ihre Identität zu verbergen oder sich als jemand anderes auszugeben. Ein Beispiel: Wenn im Fall von ,mustermann [at] example [dot] com‘ die Domain ,example.com‘ nicht existiert, wird die E-Mail geblockt.“
• Platz 4 belegten mit 5,3 Prozent E-Mails, in denen schädliche Inhalte gefunden wurden. Zu schädlichen Inhalten zählten Anhänge wie „*.xls“, „*.doc“, „*.pdf“, die Schadprogramme enthielten, aber auch Links, die zu schädlichen oder kompromittierten Webseiten führten.

Zu den restlichen Gründen, weshalb E-Mails im Voraus z.B. von Hornetsecurity blockiert werden, zählten unter anderem technische Fehler, „Greylisting“ oder wenn eine E-Mail einen nicht existierenden User adressiert.

Obwohl Großteil schädlicher E-Mails geblockt werden kann, sollten Nutzer sich nicht zurücklehnen!

Interessant seien allerdings auch die Anteile von Spam, Malware und anderen Bedrohungen in den nicht im Voraus geblockten E-Mails. Für diese Auswertung hätten die Security-Experten die Gesamtanzahl der eingegangenen E-Mails abzüglich der geblockten Mails überprüft:

• Bei etwa zehn Prozent dieser analysierten E-Mails habe es sich um Spam und bei rund drei Prozent um Infomails gehandelt.
• Die Experten vom „Security Lab“ hätten außerdem in circa einem Prozent aller eingegangenen E-Mails Schadsoftware finden können – „knapp 0,1 Prozent wurden von ,Hornetsecuritys Advanced Threat Protection‘ erkannt“. Hierbei habe es sich um Angriffe wie CEO-Fraud, Spearphishing oder Angriffe gehandelt, welche neuartige Malware verwendeten, „welche nur durch die ,Hornetsecurity ATP Sandbox‘ und keine klassischen Filter erkannt wurden“. Das bedeute im Umkehrschluss: Mehr als zehn Prozent der nicht im Voraus geblockten E-Mails enthielten Spam oder für den User schädliche Anhänge und Inhalte.

Obwohl ein Großteil der schädlichen E-Mails geblockt werden könne, sollten Nutzer sich nicht zurücklehnen: „Cyber-Kriminelle finden immer wieder neue Wege, um schädliche E-Mails in Postfächer einzuschleusen. Neben Spam und Malware gefährden auch zunehmend komplexere Gefahren wie Ransomware und CEO-Fraud die Empfänger“, so das warnende Hornetsecurity-Fazit.

Weitere Informationen zum Thema:

HORNETSECURITY, Security Lab, 07.07.2020
Clop, Clop! Eine TA505 HTML Malspam Analyse

datensicherheit.de, 12.02.2020
Corona-Virus: Gefährliche E-Mails virulent / Hornetsecurity warnt vor Phishing- und Malware-Attacken im Namen von Gesundheitsorganisationen

datensicherheit.de, 27.01.2020
Ursnif lauert im Gewand scheinbar legitimer Geschäfts-E-Mails / Carl Wearn kommentiert aktuelle „Trojaner-Welle“

datensicherheit.de, 12.08.2019
Mimecast-Analyse zu 67 Milliarden zurückgewiesenen E-Mails / „Threat Intelligence Report / Black Hat Edition 2019“ publiziert

datensicherheit.de, 06.05.2019
Selbst signierte E-Mails sind potenziell gefährlich / Jeder noch so aufmerksame Mitarbeiter kann irgendwann auf eine gefälschte E-Mail hereinfallen

datensicherheit.de, 10.02.2019
Emotet: Erneute Verbreitung über gefälschte E-Mails / Michael Kretschmer gibt Empfehlungen für Unternehmen und private Nutzer