E-Mail-Spoofing: Wie funktioniert es und wie erkennt man eine gefälschte E-Mail?

Juli 5, 2022

Was ist E-Mail-Spoofing?

E-Mail-Spoofing ist eine Art von Cyberangriff, der sich gegen Unternehmen richtet und E-Mails mit gefälschten Absenderadressen nutzt. Da der Empfänger dem vermeintlichen Absender vertraut, ist die Wahrscheinlichkeit höher, dass er die E-Mail öffnet und mit ihrem Inhalt (z. B. einem schädlichen Link oder Anhang) interagiert.

Spoofing wird zur Vorbereitung von Spam, Betrug, Malware-Angriffen, Identitätsdiebstahl und Phishing eingesetzt. Gefälschte Nachrichten können aber auch bei IP-Spoofing, BEC-Attacken (Business Email Compromise, Kompromittierung geschäftlicher E-Mail-Adressen) und Man-in-the-Middle-Angriffen eine Rolle spielen, um Daten oder Geld zu stehlen.

Eine E-Mail-Spoofing-Kampagne, mit der ein anschließender Überweisungsbetrug vorbereitet wurde, schaffte es sogar in ein Bulletin der US-Steuerbehörde IRS. Bei dem Angriff erhielten Mitarbeiter der Personalabteilung oder Lohnbuchhaltung gefälschte E-Mails, die scheinbar aus der Führungsetage des angegriffenen Unternehmens kamen. In den betrügerischen E-Mails wurde um die schnellstmögliche Übermittlung einer Liste aller Mitarbeiter samt ihrer Gehaltsabrechnungen gebeten. Bis dahin handelte es sich um normales E-Mail-Spoofing. Es ging aber noch weiter: Auf das Phishing folgte ein weiterer Betrugsversuch, bei dem Mitarbeiter um eine Überweisung gebeten wurden. Bei dieser Phase des Angriffs handelte es sich um eine BEC-Attacke. Diese Art von Betrugsversuch in zwei Etappen wird auch heute noch häufig beobachtet.

CrowdStrike Global Threat Report 2024: Kurzfassung

Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.

Jetzt herunterladen

Wie funktioniert E-Mail-Spoofing?

Beim E-Mail-Spoofing wird kein Konto eines Absenders gehackt, sondern eine E-Mail so manipuliert, dass sie den Eindruck erweckt, sie würde von einem bekannten Absender kommen. Dahinter steht folgende Überlegung: Wenn ein Betrüger das Konto eines Absenders hackt, könnte er Zugriff auf die Kontakte der Person erhalten oder von diesem Konto aus Spam versenden. Dies würde sich aber negativ auf die E-Mail-Reputation auswirken. Die E-Mail-Reputation ist jedoch eine wichtige Größe für die Zustellbarkeit der E-Mails.

E-Mail-Spoofing-Angriffe werden über einen SMTP-Server (Simple Mail Transfer Protocol) und eine E-Mail-Plattform wie Outlook, Gmail usw. durchgeführt. Der Betrüger ändert Felder im Nachrichten-Header, z. B. die Felder FROM, REPLY-TO und RETURN-PATH.

Dies ist durch die Art und Weise möglich, wie E-Mails aufgebaut sind. Die Nachrichten-Header mit den Feldern TO, FROM und BCC sind vom Hauptteil der Nachricht getrennt. Während der Entwicklung von SMTP wurden keine Sicherheitsmaßnahmen in dieses Protokoll integriert. Daher gibt es auch keine Möglichkeit, Adressen zu authentifizieren.

Wie erkenne ich eine gefälschte E-Mail?

  • Der angezeigte Absendername stimmt nicht mit der E-Mail-Adresse überein.
  • Die Informationen in der E-Mail-Signatur (z. B. die Telefonnummer) entsprechen nicht den bekannten Informationen über den Absender (z. B. wenn sich der Absender in Süddeutschland befindet, die Telefonnummer in der Signaturdatei aber eine Vorwahl aus Norddeutschland hat).
  • Prüfen Sie im E-Mail-Header die Zeile RECEIVED. Sie muss die E-Mail-Adresse enthalten, die in der E-Mail angezeigt wird.
  • Prüfen Sie im E-Mail-Header die Zeile RECEIVED-SPF. Dort sollte „Pass“ stehen. Wenn dort „Fail“ oder „Softfail“ steht, wurde die E-Mail möglicherweise gefälscht.
  • Wenn das Unternehmen DKIM und DMARC nutzt, steht unter AUTHENTICATION-RESULTS, ob die E-Mail die Anforderungen dieser Protokolle erfüllt.

Wie schützen Sie sich vor E-Mail-Spoofing?

E-Mail-Sicherheitsprotokolle verwenden

E-Mail-Sicherheitsprotokolle minimieren Bedrohungen und Spam mithilfe einer Domänenauthentifizierung. Die heute gebräuchlichen E-Mail-Sicherheitsprotokolle heißen Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) sowie Domain-based Message Authentication, Reporting, and Conformance (DMARC).

SPF erkennt gefälschte Absenderadressen in der Zustellungsphase, allerdings nur im E-Mail-Envelope, der verwendet wird, wenn eine E-Mail nicht zugestellt werden konnte. In Kombination mit der DMARC-Authentifizierung kann SPF jedoch einen gefälschten „sichtbaren Absender“ erkennen – eine Technik, die häufig bei Phishing oder Spam verwendet wird.

E-Mails verschlüsseln

DKIM verwendet öffentliche und private Schlüssel, um nachzuweisen, dass ein Absender echt ist. Jede über SMTP versendete Nachricht braucht ein Schlüsselpaar, das mit einem öffentlichen DNS-Datensatz übereinstimmt, der vom empfangenden E-Mail-Server verifiziert wird.

E-Mail-Sicherheitsgateway bereitstellen

E-Mail-Sicherheitsgateways – oder sichere E-Mail-Gateways – sind eine Sammlung von Technologien, die auf Netzwerkebene arbeiten, um E-Mails zu blockieren, die die Sicherheitsrichtlinien nicht erfüllen. Ein E-Mail-Sicherheitsgateway scannt alle ein- und ausgehenden E-Mails und kann auch Funktionen wie Malware-Blockierung, Spam-Filterung, Inhaltsfilterung und E-Mail-Archivierung beinhalten. Da diese Schutzmaßnahmen auf Netzwerkebene implementiert werden, sind die Benutzer davon überhaupt nicht betroffen.

Malware-Schutzlösung verwenden

Malware-Schutz kann gefälschte E-Mails erkennen und blockieren, bevor sie die Posteingänge ihrer Ziele erreichen. Halten Sie Ihre Malware-Schutzsoftware immer auf dem neuesten Stand, denn die Angreifer warten nur auf neu entdeckte Schwachstellen, um sie dann sehr schnell auszunutzen.

WEITERE INFORMATIONEN

Es gibt viele andere Arten von Spoofing, die viele andere Arten von Geräten betreffen können.Klick hier um mehr zu erfahren