Social Engineering Technik: SMTP Smuggling

Table of Contents

SMTP Smuggling ist eine Angriffstechnik, bei der Angreifer Schwachstellen im SMTP (Simple Mail Transfer Protocol) ausnutzen, um Sicherheitsmechanismen wie SPF, DKIM und DMARC zu umgehen. Die Technik basiert darauf, dass unterschiedliche SMTP-Server (Outbound und Inbound) die End-of-Data-Sequenz (.) unterschiedlich interpretieren können. Dies ermöglicht es Angreifern, in den E-Mail-Fluss einzudringen und eigene SMTP-Befehle zu injizieren oder separate E-Mails zu senden. Durch gezielte Manipulation der SMTP-Daten können sie E-Mails mit gefälschten Absenderadressen versenden, die als legitim erscheinen, obwohl sie es nicht sind. Dies kann für Phishing und andere betrügerische Aktivitäten ausgenutzt werden.

Beispiel:

CONNECT smtp.server.com 587
SEND "HELO client.example.com"
SEND "MAIL FROM: <angreifer@example.com>"
SEND "RCPT TO: <ziel@victim.com>"
SEND "DATA"
SEND "From: legitimer-absender@example.com"
SEND "To: ziel@victim.com"
SEND "Subject: Wichtige Nachricht"
SEND "Hier ist der normale Nachrichteninhalt."
SEND "<CR><LF>.<CR><LF>"  // Normales Ende der Nachrichtendaten
SEND "RCPT TO: <weiteres-ziel@victim.com>"  // Manipulierter Befehl nach dem normalen Ende
SEND "DATA"
SEND "From: angreifer@example.com"
SEND "To: weiteres-ziel@victim.com"
SEND "Subject: Gefälschte Nachricht"
SEND "Dies ist eine gefälschte Nachricht, die durch SMTP Smuggling geschickt wird."
SEND "<CR><LF>.<CR><LF>"  // Ende der manipulierten Nachricht
SEND "QUIT"

Gemeinsamkeiten zur HTTP Smuggling Technik

SMTP Smuggling hat Parallelen zu HTTP Smuggling in der Art, wie es Schwachstellen in der Kommunikation zwischen Servern ausnutzt. Beide Techniken beruhen auf Inkonsistenzen in der Verarbeitung von Protokollspezifikationen durch unterschiedliche Server. Im Falle von SMTP Smuggling geht es um unterschiedliche Interpretationen der End-of-Data-Sequenz in E-Mail-Protokollen, während bei HTTP Smuggling Unterschiede in der Verarbeitung von HTTP-Headern wie “Content-Length” und “Transfer-Encoding” ausgenutzt werden. In beiden Fällen ermöglicht die Schwachstelle einem Angreifer, unautorisierte Daten oder Befehle einzuschleusen und so Sicherheitsmechanismen zu umgehen.

Related Posts

Web-Injection Attacken auf Banktransaktionen haben 2023 wieder zugenommen

Webinjektionen, eine bevorzugte Methode verschiedener Banking-Trojaner, haben in der Cyberkriminalität wieder zugenommen. Eine neue Malware-Kampagne, die seit Anfang 2023 über 40 Banken in Nordamerika, Südamerika, Europa und Japan betrifft, nutzt JavaScript-Webinjektionen, um sensible Informationen zu kompromittieren. Sicherheitsforscher vermuten eine Verbindung zur DanaBot-Malware. Die Kampagne zielt darauf ab, beliebte Bankanwendungen zu kompromittieren und Benutzeranmeldeinformationen abzufangen. Die Malware wird über ein extern gehostetes Skript geliefert, das in die Kopfzeile der HTML-Dokumente der Webseite eingefügt wird. Der Code ist absichtlich verschleiert und dynamisch, wobei er kontinuierlich Befehle vom Kontrollserver erhält und sich anpasst. Die Tricks der Hacker sind sehr subtil, am Ende geht es aber darum, webseiten auf denen bezahlt werden soll so zu manipulieren, dass Eingaben zu Passwörtern, Nutzernamen und Zahlungsinformationen abgegriffen werden, indem die Formulare manipuliert werden und anschliessend eine Fehlermeldung im Stil - die gewünschte Transaktion konnte nicht durchgeführt werden, versuchen Sie es bitte später nochmal - angezeigt wird, obwohl im Hintergrund bereits die Daten versand wurden, jedoch an die Hacker.

Read More

Hackerangriff auf Landmaschinenhersteller Grimme - Lieferkette beeinträchtigt

Der kürzlich erfolgte Cyberangriff auf den renommierten Landmaschinenhersteller Grimme ist ein Beweis dafür, wie entscheidend Datenschutz und IT-Sicherheit für Unternehmen aller Branchen und Größen sind. Grimme, ein führendes Unternehmen im Bereich der Kartoffelerntetechnik, erlebte eine erhebliche Betriebsstörung infolge eines Hackerangriffs, der die IT-Systeme des Unternehmens kompromittierte. Dieser Vorfall führte zu erheblichen Einschränkungen bei Ersatzteil- und Maschinenlieferungen und beeinträchtigte den Zugang zu verschiedenen internen und externen Portalen.

Read More

Datenleck an Uni Innsbruck: 23.000 Stammdaten von Hackern gestohlen

An der Universität Innsbruck ereignete sich ein Datenleck, bei dem rund 23.000 Stammdaten von Studierenden widerrechtlich heruntergeladen wurden. Der Vorfall ereignete sich am Abend des 21. Dezembers. Die Universität hat daraufhin Gegenmaßnahmen ergriffen und sowohl die betroffenen Studierenden als auch die Datenschutzkommission informiert. Zusätzlich wurde die Polizei eingeschaltet.

Read More