Phishing-Angriffe setzen oft nicht auf gefälschte Domains oder komplexe Technik – sie missbrauchen einfach den Anzeigenamen im Absenderfeld einer E-Mail. Das nennt sich Display Name Spoofing, und es ist erschreckend einfach umzusetzen.
Was ist Display-Name-Spoofing?
Der Anzeigename im Absenderfeld («From») ist frei wählbar – z. B. Hans Muster, CEO. Die eigentliche Absenderadresse (z. B. hans.muster.ceo@betrug-mail.com) stimmt dabei nicht mit der Identität überein. Viele Mailprogramme zeigen standardmässig nur den Anzeigenamen an, die vollständige Adresse bleibt verborgen.
Typische Merkmale:
- Der Anzeigename entspricht einer bekannten Person (z. B. CEO, Finanzleiter, IT-Administrator)
- Die E-Mail-Adresse dahinter gehört nicht zur Organisation
- Ziel ist meist, Empfänger zu Überweisungen, dem Teilen vertraulicher Daten oder dem Öffnen von Schadlinks zu bewegen
Wie erkennt Microsoft solche Angriffe?
Bei reinem Display-Name-Spoofing schlägt SPF/DKIM/DMARC nicht fehl – die Absenderdomain (z. B. @gmail.com) ist technisch legitim authentifiziert. Microsoft Defender for Office 365 setzt deshalb auf eine Kombination aus modernen Erkennungsmethoden:
1. Composite Authentication (CompAuth)
Das System prüft, ob die technisch authentifizierte Absenderdomain zum Kontext des Anzeigenamens passt. Weicht die Domain stark vom erwarteten Absender ab, erhöht sich das Risiko-Rating der Nachricht.
2. Mailbox Intelligence
Das System analysiert normale Kommunikationsmuster. Taucht plötzlich ein «CFO» mit einer externen Gratis-Mailadresse auf, wo sonst nur intern kommuniziert wird, schlägt das System an.
3. Impersonation Protection
Ist eine Person in den Anti-Phishing-Policies als schützenswert definiert, wird bei passendem Anzeigenamen aber abweichender Absenderadresse sofort eine Aktion ausgelöst – z. B. direkte Verschiebung in die Quarantäne.
4. User Interface Signale
Outlook blendet visuelle Hinweise ein – z. B. ein «?» im Absenderfoto bei unauthentifizierten Mails oder den «First Contact Safety Tip» bei Erstkontakt.
Wie schützt man sich in Exchange Online?
Der wichtigste Schutz erfolgt über die Anti-Phishing-Richtlinien in Microsoft Defender for Office 365:
https://security.microsoft.com/antiphishing
Dort können unter User Impersonation gezielt schützenswerte Personen eingetragen werden (bis zu 350 Benutzer).
| Benutzertyp | Vorgehen |
|---|---|
| Interne Benutzer (Entra ID) | Microsofts KI leitet Namensvarianten automatisch ab – keine manuellen Mehrfacheinträge nötig |
| Externe Personen | Für Partner ohne Entra-ID-Objekt lohnen sich manuelle Einträge mit verschiedenen Schreibweisen |
Welche Lizenz wird benötigt?
| Lizenz | Impersonation Protection |
|---|---|
| Exchange Online Protection (EOP) | Nicht enthalten |
| Defender for Office 365 Plan 1 | Mindestanforderung – alle Funktionen enthalten |
| Defender for Office 365 Plan 2 | Erweitert – zusätzlich Threat Explorer und automatische Reaktion |
Warum wird reines Display-Name-Spoofing nicht automatisch blockiert?
Würde Microsoft ausschliesslich den Anzeigenamen als Basis für Blockierungen nutzen, käme es zu sehr vielen Fehlalarmen – Namen wie «Hans Meier» kommen weltweit mehrfach vor.
Eine Mail wird blockiert, wenn:
- Die Absenderadresse täuschend ähnlich zu einer geschützten Identität aussieht (z. B. Tippfehler-Domain wie
firma-sg.comstattfirma-sg.ch) - Ein Absender vorgibt, von einer internen Adresse zu senden, aber SPF/DKIM/DMARC fehlschlagen
- Mailbox Intelligence erkennt, dass der angebliche Absender nicht zum üblichen Kommunikationsmuster passt
Reines Display-Name-Spoofing wird nicht automatisch blockiert. Ein wirksamer Schutz entsteht durch die Kombination aus Impersonation Protection, Mailbox Intelligence, klarer Kennzeichnung externer Absender – und Benutzerschulung.
Keine Kommentare:
Kommentar veröffentlichen