News

Gefälschte E-Mail-Rechnungen vom Finanzamt – Angstmache oder reale Gefahr?

News | 20.12.2021

Gefälschte Zahlungsaufforderungen vom Finanzamt? Ein Gedankenexperiment mit ernstem Hintergrund.

Wäre es nicht praktisch, wenn die Steuerbehörden einfache Online-Zahlung in 3 Klicks implementieren und allen Online-Steuerzahlern einen Rabatt von 60% gewähren würden?

Natürlich wäre das möglich, mögen sich manche Empfänger einer E-Mail vom Finanzamt denken, wenn sie darüber informiert werden, dass sie in eine Fokusgruppe eingeladen wurden. Durch Bezahlung der Steuer innerhalb von 2 Tagen, würden Sie mehr als die Hälfte Rabatt auf Ihre Steuerzahlung erhalten. Aus Sicht der Opfer gäbe es abgesehen von steuerrechtlichen Bedenken vielleicht wenig Grund, dem Schreiben vom Finanzamt nicht zu vertrauen.

Wie sich die Ereignisse danach weiter entwickeln kennt man schon: Etwa 4 Tage später beginnen die ersten Newsfeeds, Nachrichten über Massen-Spoofing im Auftrag der Finanzbehörden und über Tausende Opfer von Betrüger-Aktionen zu veröffentlichen, die scheinbar im Auftrag des Finanzamts Nachrichten verschickten.

Ist eine solche Situation grundsätzlich möglich?

Wir haben uns entschieden, das zu überprüfen und sicherzustellen, ob die oben genannten Maßnahmen nicht doch ausgeführt werden könnten. Dazu haben wir die Domains von Steuerbehörden in 4 osteuropäischen Ländern anhand von drei Markern auf Schwachstellen analysiert: Konkret die SPF-, DKIM- und DMARC-Einstellungen.

1. Was ist SPF?

SPF (Sender Policy Framework) ist ein Datensatz, der die Kommunikation zwischen den Mailservern des Absenders und des Empfängers sicherstellt. Es enthält Informationen darüber, von welchen IP-Adressen E-Mails von Ihrer Domain gesendet werden können.

Ein SPF-Eintrag entspricht einer Domäne.

Beispielsweise fordert der Empfängerserver SPF während der Nachrichtenzustellung an. Wenn der Absender diesen Eintrag hat, übergibt er darin eine Liste von IP-Adressen, von denen aus er E-Mails versenden kann. In der Regel handelt es sich dabei um Daten von einem oder mehreren Mailservern.
Der Empfängerserver vergleicht die IP-Adresse des Mailservers des Absenders mit der Liste aus dem SPF. Findet er die gewünschte IP in der Liste, überspringt er die Meldung weiter.
Dies ist die erste Markierung, die darauf hinweist, dass Sie Informationen im Namen Ihrer Domain senden.
Daher ist die Einstellung von SPF wichtig für eine sichere Kommunikation und eine Erhöhung der Zustellrate Ihrer E-Mails. Und wie die Praxis zeigt, ist der SPF-Eintrag für die meisten Absender richtig konfiguriert.

2.Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist die zweite Schutzstufe beim Datentransfer zwischen Mailservern. Es ist ein Mechanismus, der über Verschlüsselungsschlüssel funktioniert. Um es zu aktivieren, müssen Sie zwei Schlüssel erstellen: private und öffentliche.
Privat ist Ihr persönlicher einzigartiger Schlüssel, der eine versteckte Signatur in den Kopfzeilen jedes Ihrer e-Mails verschlüsselt. Er ist für Benutzer nicht sichtbar.
Den öffentlichen Schlüssel tragen Sie in Ihre DNS-Einträge ein, es handelt sich um eine Signatur im txt-Format.
Ein Beispiel für einen öffentlichen Schlüssel:

public_key

Die beiden Tasten arbeiten zusammen. Wenn der Server des Empfängers eine E-Mail sieht, fragt er nach Ihrem öffentlichen Schlüssel. Mit seiner Hilfe entschlüsselt er die versteckte Signatur, die Ihre Urheberschaft bestätigt.

Dementsprechend lehnen viele Mailserver den Empfang Ihrer Briefe ab, wenn Sie DKIM nicht installiert haben. Dies ist eine Autorisierungsmethode, die nicht übergangen werden kann.

3.Was ist DMARC?

DMARC (Domain-based Message Authentication, Reporting, and Conformance) ist die dritte Schutzstufe. Es ist eine Technologie, die bestimmt, was mit Ihren Nachrichten zu tun ist, wenn sie nicht mit SPF und DKIM authentifiziert sind. Dies ist die Regel, die Sie für in Ihrem Namen gesendete E-Mails festlegen.
So schützen Sie Ihre Empfänger vor Missbrauch Ihres Rufs, Nutzung Ihrer Domain durch Betrüger.

Vor der Installation von DMARC ist es wichtig sicherzustellen, dass SPF und DKIM richtig angegeben sind, da dies sonst dazu führen kann, dass Briefe von Ihnen herausgefiltert werden.

4. So funktioniert der E-Mail-Schutzmechanismus und der Schutz vor Spoofing.

Es gibt drei Grundregeln, nach denen der DMARC-Mechanismus funktioniert, wenn er Nachrichten als verdächtig erkennt:

  1. Ergreift keine Aktion;
  2. Markiert E-Mails als Spam und schickt sie in Quarantäne;
  3. Lehnt die Nachricht ohne Zustellung an den Adressaten ab.

Die Ergebnisse mit den aktuellen Sicherheitseinstellungen der Postdienste der Steuerbehörden der 4 osteuropäischen Länder sind in der folgenden Tabelle aufgeführt:

* Die betroffenen Behörden wurden zu ihrem Schutz in der Tabelle durch "*****" anonymisiert.

The result of checking the security of mail servers of tax services of 4 Eastern European countries

Schlussfolgerungen: Spoofing-Mailing von allen Steuerbehörden von 4 Ländern ist basierend auf den drei geprüften Merkmalen möglich. Das Ergebnis ist äußerst unbefriedigend.

Es gibt viele Anleitungen im Netzwerk mit der detaillierten Konfiguration jedes der Protokolle, aber die Prozedur ist ziemlich mühsam und erfordert einige Kenntnisse. Sie können auch die Lösung von Red Sift verwenden, die eine detaillierte Checkliste für die Einrichtung bereitstellt.

Wenn Sie Beratung, Projektkalkulation oder eine Testversion der Lösung benötigen, kontaktieren Sie uns bitte:

FAQ on the main mechanisms for protecting your mailings:

DNS-server - speichert Informationen über die Domain und ihre IP-Adressen. Sie können SPF- und DKIM-Einträge (öffentlicher Schlüssel) zu DNS über Ihren Domainnamen-Registrar hinzufügen.
SPF – ein Datensatz mit Informationen zu den Mailservern, von denen Sie Nachrichten senden. Wenn Sie e-Mails von IPs erhalten, die nicht im SPF angegeben sind, werden diese nicht authentifiziert.
DKIM – Verschlüsselungs-basierter Schutzmechanismus. Der öffentliche Schlüssel wird in DNS-Einträge eingetragen und ist lesbar, während der private Schlüssel Ihre versteckte Signatur in Nachrichtenkopfzeilen verschlüsselt. Die Entschlüsselung erfolgt, wenn Nachrichten vom Empfänger zugestellt werden.
DMARC – eine Reihe von Regeln für Briefe in Ihrem Namen, die die SPF- und DKIM-Authentifizierung nicht bestanden haben.