Was ist E-Mail-Spoofing?
Beim E-Mail Spoofing handelt es sich um die Erstellung eines gefälschten E-Mail-Headers, mit dem Ziel, dem Empfänger glaubhaft zu machen, dass die E-Mail von einer anderen Person oder einer anderen Quelle stammt. Da in den wichtigsten E-Mail-Protokollen keine Authentifizierungsmethode integriert ist, wird in Spam- und Phishing-E-Mails häufig das Spoofing eingesetzt, um Empfänger dazu zu bringen, dem Ursprung der Nachricht zu vertrauen.
Das ultimative Ziel von E-Mail-Spoofing ist es, die Empfänger dazu zu bringen, dass sie eine Nachricht öffnen und sogar auf eine Aufforderung reagieren. Obwohl solche gefälschten Nachrichten normalerweise nur ärgerlich sind und außer dem Löschen keine weiteren Aktionen erfordern, gibt es ein paar bösartigere Varianten, die erhebliche Probleme verursachen und manchmal eine ernsthafte Sicherheitsbedrohung darstellen können.
Beispielsweise kann eine gefälschte E-Mail vorgeben, von einem bekannten Einzelhandelsunternehmen zu stammen und den Empfänger auffordern, persönliche Informationen wie ein Passwort oder eine Kreditkartennummer zu übermitteln. In der gefälschten E-Mail wird der Empfänger möglicherweise sogar aufgefordert, auf einen Link zu klicken, der zu einem zeitlich begrenzten Angebot führt. Dabei versteckt sich in Wirklichkeit hinter dem Link eine Datei zum Herunterladen und Installieren von Malware auf dem Gerät eines Empfängers.
Eine Art von Phishing, die bei E-Mail-Spoofing in der Geschäftswelt verwendet wird, besteht darin, E-Mails des CEO oder CFO eines Unternehmens, das mit Lieferanten im Ausland zusammenarbeitet, zu fälschen und Überweisungen an den Lieferanten an ein anderes Zahlungsziel anzufordern.
So funktioniert E-Mail-Spoofing
E-Mail-Spoofing ist möglich, da das SMTP (Simple Mail Transfer Protocol) keinen Mechanismus für die Adressauthentifizierung bietet. Obwohl Protokolle und Mechanismen zur Authentifizierung von E-Mail-Adressen entwickelt wurden, um E-Mail-Spoofing zu bekämpfen, werden diese Mechanismen bisher nur langsam in der Praxis eingeführt.
Ursachen für E-Mail-Spoofing
Obwohl E-Mail-Spoofing am häufigsten für Phishing-Zwecke eingesetzt wird, gibt es tatsächlich auch noch weitere Gründe, um die Absenderadresse einer E-Mail zu fälschen. Dazu gehören u. a.:
- Verbergen der wahren Identität des Absenders – Wenn das allerdings das einzige Ziel ist, ist es einfacher, anonyme E-Mail-Adressen zu registrieren.
- Vermeiden von Spam-Blocklisten. Wenn ein Absender Spam versendet, wird er unweigerlich auf eine Blockliste gesetzt werden. Dieses Problem lässt sich einfach durch einen Wechsel der E-Mail-Adressen lösen.
- Es wird vorgegeben, eine Person zu sein, die dem Empfänger bekannt ist, um beispielsweise nach vertraulichen Informationen zu Fragen oder Zugriff auf private Daten zu erhalten.
- Der Absender gibt vor, ein Unternehmen zu sein, zu dem der Empfänger eine Beziehung hat, um Zugriff auf Anmeldedaten für Bankkonten oder andere personenbezogene Daten zu erhalten.
- Schädigung des Rufs des vermeintlichen Absenders. Solch ein Angriff zielt darauf ab, den angeblichen Absender in ein schlechtes Licht zu rücken.
- Nachrichten können auch im Namen einer anderen Person versendet werden, um Identitätsdiebstahl zu begehen, zum Beispiel damit Informationen von Finanz- und Gesundheitskonten des Opfers angefordert werden können.
Schutz vor E-Mail-Spoofing
Da das E-Mail-Protokoll SMTP (Simple Mail Transfer Protocol) nicht authentifiziert ist, war es früher recht einfach, eine Absenderadresse zu fälschen. Infolgedessen sind die meisten E-Mail-Anbieter Experten darin geworden, Spam zu erkennen und Benutzer darauf hinzuweisen, anstatt ihn ganz allgemein abzulehnen. Es wurden jedoch auch mehrere Frameworks entwickelt, um die Authentifizierung eingehender Nachrichten zu ermöglichen:
- SPF (Sender Policy Framework): Dieses Framework prüft, ob eine bestimmte IP zum Senden von E-Mails von einer bestimmten Domain berechtigt ist. SPF kann zu irrtümlich gemeldeten E-Mails (sogenannte „False Positives“) führen und erfordert trotzdem eine Überprüfung des SPF-Eintrags durch den Server und die Validierung des E-Mail-Absenders durch den Server.
- DKIM (Domain Key Identified Mail): Bei dieser Methode wird ein Paar aus kryptografischen Schlüsseln verwendet, mit denen ausgehende Nachrichten signiert und eingehende Nachrichten validiert werden können. Da DKIM jedoch nur zum Signieren bestimmter Teile einer Nachricht verwendet wird, kann die Nachricht weitergeleitet werden, ohne die Gültigkeit der Signatur zu beeinträchtigen. Diese Methode wird als „Replay-Angriff“ bezeichnet.
- DMARC (Domain-Based Message Authentication, Reporting, and Conformance): Diese Methode bietet dem Absender die Möglichkeit, dem Empfänger mitzuteilen, ob seine E-Mail durch SPF oder DKIM geschützt ist und welche Maßnahmen zu ergreifen sind, wenn E-Mails eingehen, bei denen die Authentifizierung fehlschlägt. DMARC ist zurzeit noch nicht weit verbreitet.
So werden E-Mails gefälscht
Am einfachsten lassen sich E-Mails fälschen, indem der Angreifer einen Mailserver mit einem offenen SMTP-Port (Simple Mail Transfer Protocol) findet. SMTP verfügt über keine Authentifizierung, sodass schlecht konfigurierte Server keinen Schutz vor potenziellen Cyberkriminellen bieten. Außerdem lässt es sich nicht verhindern, dass ein entschlossener Angreifer seine eigenen E-Mail-Server einrichtet. Dies ist häufig bei CEO/CFO-Fraud der Fall. Angreifer registrieren Domains, die der Domain des Unternehmens, als das sie sich ausgeben, zum Verwechseln ähnlich sind, z. B. „@exarnple.com“ anstatt „@example.com“. Je nach Formatierung der E-Mail kann es für einen durchschnittlichen Benutzer äußerst schwierig sein, den Unterschied zu erkennen.
Obwohl E-Mail-Spoofing beim Fälschen einer E-Mail-Adresse effektiv ist, kann die IP-Adresse des Computers, der die E-Mail sendet, im Allgemeinen anhand der Zeile „Received:“ im E-Mail-Header identifiziert werden. Dies ist häufig darauf zurückzuführen, dass ein unschuldiger Dritter mit Malware infiziert wird, der dann das System missbraucht und E-Mails versendet, ohne dass der eigentliche Besitzer der E-Mail dies überhaupt bemerkt.
Sehen Sie, welche Bedrohungen sich heute in Ihrem Posteingang verstecken.
Unser kostenloser Scan nach E-Mail-Bedrohungen hat mehr als 12.000 Unternehmen dabei geholfen, fortschrittliche E-Mail-Angriffe zu entdecken.
STARTEN SIE IHREN E-MAIL-BEDROHUNGSSCANWarum E-Mail-Spoofing wichtig ist
Damit Sie kein Opfer von E-Mail-Spoofing werden, sollten Sie unbedingt Ihre Anti-Malware-Software auf dem aktuellsten Stand halten und die im Social Engineering verwendeten Taktiken im Auge behalten. Wenn Sie nicht sicher sind, ob eine E-Mail legitim ist, kontaktieren Sie den Absender am besten direkt, um sich so vor einem Angriff zu schützen. Das gilt vor allem, wenn Sie persönliche oder finanzielle Informationen teilen.
E-Mail Spoofing – weiterführende Ressourcen
Zugehörige Begriffe
Weiterführende Ressourcen
- Threat Spotlight: Email Malware Impersonates Secure Bank Messages (Englisch)
- Threat Spotlight: Real-World Spear Phishing, Initiating the Attack and Email Spoofing (Englisch)
- Barracuda Email Security Gateway: Absenderauthentifizierung
- Knowledgebase: Can I prevent spammers from spoofing legitimate users in my domain on the Email Security Gateway? (Englisch)
Wie Barracuda Sie unterstützen kann
Barracuda Email Protection bietet einen E-Mail-Spoofing-Schutz, um Spear Phishing-Versuche zu blockieren, bevor diese Ihrem Unternehmen schaden. Darüber hinaus verwendet Barracuda Anti-Fraud-Intelligence, Verhaltens- und heuristische Erkennung ebenso wie die Validierung von Domain-Namen, um die Schäden durch E-Mail-Fraud auf ein Minimum zu reduzieren.
Barracuda Domain Fraud Protection hilft, Ihre Unternehmensmarke zu schützen, indem Domain-Spoofing und unerlaubte Aktivitäten unterbunden werden. Sie bietet einen intuitiven Assistenten zum Einrichten einer DMARC-Spezifikation (Domain-based Message Authentication Reporting & Conformance) für optimalen Schutz.
Haben Sie weitere Fragen zum Thema E-Mail-Spoofing? Wir freuen uns auf Ihre Nachricht!
