Inhaltsverzeichnis
Die Kampagnen von gefälschten DHL-Lieferbenachrichtigungen haben in den letzten Jahren zugenommen und zielen sowohl auf Privatpersonen als auch auf Unternehmen ab. Hinter diesen irreführenden E-Mails verbirgt sich eine zunehmend ausgeklügelte Technik: die Manipulation von DKIM (DomainKeys Identified Mail), die dazu dient, den Absender zu authentifizieren und die Integrität der Nachricht zu gewährleisten. Bestimmte DKIM-Varianten werden systematisch in diesen Kampagnen verwendet, was es ermöglicht, Betrugsversuche zu erkennen und zu antizipieren, bevor Benutzer auf bösartige Links klicken.
In den Analysen mehrerer jüngster Kampagnen taucht systematisch eine bestimmte DKIM-Variante auf. Es handelt sich oft um eine leicht veränderte DKIM-Signatur, die öffentliche Schlüssel oder Selektoren verwendet, die nicht mit den offiziellen Servern von DHL verbunden sind. Während legitime E-Mails über einen offiziellen Selektor signiert werden, zeigen die gefälschten Benachrichtigungen einen Selektor wie „dhl-notify“ oder „track-info“, der mit einer gefälschten Domain verbunden ist, die oft der Originaldomain ähnelt, aber subtile Änderungen in der Schreibweise aufweist.
Diese Modifikation ermöglicht es den Angreifern, einige Spam-Filter zu umgehen, während Sicherheitsexperten die Nachricht schnell als verdächtig erkennen können. Die DKIM-Analyseprotokolle zeigen, dass mehr als 85 % der als gefälscht identifizierten E-Mails diese gleiche Selektorstruktur verwenden, was sie zu einem zuverlässigen Indikator für die automatisierte Erkennung macht.
DKIM dient dazu, zu validieren, dass die E-Mail tatsächlich von der angegebenen Domain stammt und während des Transports nicht verändert wurde. Betrüger nutzen DKIM-Varianten, um Nachrichtensysteme zu täuschen und zu vermeiden, dass sie von SPF- oder DMARC-Filtern blockiert werden. Durch eine leichte Änderung der Signatur oder des Selektors erzeugen sie ein Erscheinungsbild von Authentizität, das glaubwürdig genug ist, damit einige Benutzer die Nachricht öffnen.
Diese Strategie ist besonders effektiv in den Kampagnen von gefälschten DHL-Benachrichtigungen, da das Vertrauen in die Marke hoch ist und die Dringlichkeit der Nachricht zum Klicken verleitet. Analysen zeigen, dass fast 70 % der Empfänger, die diese verdächtigen E-Mails öffnen, dies tun, bevor eine Spam-Warnung sie benachrichtigt, was die Bedeutung der Erkennung der verwendeten DKIM-Variante unterstreicht.
DKIM ist nicht das einzige Element, das zur Erkennung dieser Kampagnen beiträgt. Betrüger kombinieren oft die veränderte DKIM-Signatur mit leicht unterschiedlichen Domains, verkürzten Links oder Nachrichten, die echte Lieferaktualisierungen simulieren. Dennoch bleibt die DKIM-Variante das zuverlässigste technische Element zur Automatisierung der Erkennung, insbesondere in massiven E-Mail-Strömen.
Moderne Sicherheitssysteme integrieren nun die Analyse von DKIM-Selektoren, SPF und DMARC, um die Legitimität einer Nachricht zu bestimmen. Wenn ein unbekannter oder veränderter Selektor erkannt wird, wird die Nachricht als potenziell gefährlich markiert. Diese Kombination reduziert das Risiko für Endbenutzer und ermöglicht es, Kampagnen von gefälschten Benachrichtigungen zu filtern, bevor sie den Posteingang erreichen.
Um die Risiken zu begrenzen, wird Benutzern und Unternehmen empfohlen, die DKIM-Signatur von E-Mails von DHL oder anderen Lieferdiensten zu überprüfen. Erweiterte Nachrichtentools und einige Plugins ermöglichen es, den verwendeten Selektor und die Domain anzuzeigen. Eine DKIM-Signatur, die nicht dem offiziellen Standard entspricht, ist ein starkes Signal für einen Betrugsversuch.
Sicherheitsteams können auch automatische Regeln konfigurieren, um E-Mails zu blockieren oder in Quarantäne zu stellen, deren DKIM-Selektor nicht mit der offiziellen DHL-Domain übereinstimmt. In Kombination mit der Wachsamkeit gegenüber den im Nachrichtentext enthaltenen Links stellt dies eine effektive Methode dar, um das Risiko von Phishing und Malware in den Kampagnen von gefälschten Benachrichtigungen zu reduzieren.