Definition

E-Mail-Spoofing ist eine Technik, die bei Spam- und Phishing-Angriffen verwendet wird, um Benutzern vorzutäuschen, dass eine E-Mail von einer Person oder Einrichtung stammt, die sie entweder kennen oder der sie vertrauen können. Bei Spoofing-Angriffen fälscht der Absender den E-Mail-Header, so dass die Client-Software eine gefälschte Absenderadresse anzeigt, die von den meisten Benutzern nicht hinterfragt wird. Sofern die Benutzer den Header nicht genauer untersuchen, sehen sie den gefälschten Absender. Wenn es sich um einen Namen handelt, den sie wiedererkennen, ist die Wahrscheinlichkeit groß, dass sie ihm vertrauen. Also klicken sie auf bösartige Links, öffnen Malware-Anhänge, senden sensible Daten und überweisen sogar Firmengelder.

Mail-Spoofing ist möglich aufgrund der Art und Weise, wie E-Mail-Systeme konzipiert sind. Ausgehenden Nachrichten wird von der Client-Anwendung eine Absenderadresse zugewiesen. Die Server für ausgehende E-Mails haben keine Möglichkeit, um zu erkennen, ob die Absenderadresse legitim oder gefälscht ist und Spoofmails sind schwer erkennbar.

Empfängerserver und Antimalware-Software können dabei helfen, gefälschte Nachrichten und Spoofing-Mail zu erkennen und zu filtern. Leider hat nicht jeder E-Mail-Dienst Sicherheitsprotokolle eingerichtet. Jedoch können Benutzer die E-Mail-Header überprüfen, die mit jeder Nachricht gesendet werden, und auf diese Weise feststellen, ob die Absenderadresse gefälscht wurde.

E-Mail-Spoofing: Ursprünge und Entwicklung

Aufgrund der Funktionsweise von E-Mail-Protokollen ist E-Mail-Spoofing bereits seit den 1970er Jahren ein Problem. Es begann mit Spammern, die diese Technik nutzten, um E-Mail-Filter zu umgehen. In den 1990er Jahren wurde das Problem dominanter und entwickelte sich in den 2000er Jahren zu einem globalen Cybersicherheitsproblem.

Im Jahr 2014 wurden Sicherheitsprotokolle eingeführt, um E-Mail-Spoofing und Phishing zu bekämpfen. Aufgrund dieser Protokolle schaffen es heute viele gefälschte E-Mail-Nachrichten nur in die Spam-Postfächer der Benutzer, oder sie werden direkt abgewiesen und erreichen nie den Posteingang der Empfänger.

Wie E-Mail-Spoofing funktioniert

Das Ziel von Spoofing ist es, den Benutzern vorzutäuschen, dass die E-Mail von jemandem stammt, den sie kennen oder dem sie vertrauen können – in den meisten Fällen ein Kollege, ein Lieferant oder eine Marke. Der Angreifer nutzt dieses Vertrauen aus und fordert den Empfänger auf, Informationen preiszugeben oder eine andere Aktion durchzuführen.

Ein Angreifer erstellt zum Beispiel eine E-Mail, die aussieht, als käme sie von PayPal. In der E-Mail wird dem Benutzer mitgeteilt, dass sein Konto gesperrt wird, wenn er nicht auf einen Link klickt, sich auf der Website authentifiziert und das Passwort seines Kontos ändert. Wenn der Benutzer erfolgreich getäuscht wird und seine Anmeldedaten eingibt, verfügt der Angreifer nun über die Anmeldedaten, um sich beim PayPal-Konto des Benutzers zu authentifizieren und möglicherweise Geld vom Benutzer zu stehlen.

Komplexere Angriffe zielen auf Finanzangestellte ab und nutzen Social Engineering und Online-Spionage, um einen Benutzer dazu zu bringen, Millionenbeträge auf das Bankkonto des Angreifers zu überweisen.

Für den Benutzer sieht die gefälschte E-Mail legitim aus, und viele Angreifer übernehmen Elemente von der offiziellen Website, um die Nachricht noch glaubwürdiger zu gestalten. Hier ist ein Beispiel für einen PayPal-Phishing-Angriff mit einem gefälschten E-Mail-Absender:

 

Beispiel einer Spoofing-Mail, die aussieht, als wäre sie von PayPal.

 

Bei einem typischen E-Mail-Client (wie Microsoft Outlook) wird die Absenderadresse automatisch eingegeben, wenn ein Benutzer eine neue E-Mail-Nachricht sendet. Ein Angreifer kann jedoch programmgesteuert E-Mails senden, indem er einfache Skripte in einer beliebigen Sprache verwendet, die die Absenderadresse auf eine E-Mail-Adresse seiner Wahl konfigurieren. E-Mail-API-Endpunkte erlauben es einem Absender, eine beliebige Absenderadresse anzugeben, unabhängig davon, ob diese Adresse tatsächlich existiert. Und Server für ausgehende E-Mails können nicht feststellen, ob die Absenderadresse legitim ist.

Ausgehende E-Mails werden über das Simple Mail Transfer Protocol (SMTP) abgerufen und weitergeleitet. Wenn ein Benutzer in einem E-Mail-Client auf „Senden“ klickt, wird die Nachricht zunächst an den in der Client-Software konfigurierten ausgehenden SMTP-Server gesendet. Der SMTP-Server identifiziert die Empfängerdomäne und leitet die Nachricht an den E-Mail-Server der Domäne weiter. Der E-Mail-Server des Empfängers leitet die Nachricht dann an den richtigen Posteingang des Benutzers weiter.

Für jeden „Sprung“, den eine E-Mail auf ihrem Weg durch das Internet von Server zu Server macht, wird die IP-Adresse jedes Servers protokolliert und in den E-Mail-Header aufgenommen. Diese Header verraten die Herkunft und den wahren Absender, aber viele Benutzer überprüfen die Header nicht, bevor sie mit einem E-Mail-Absender interagieren.

Die drei Hauptbestandteile einer E-Mail sind:

- Die Absenderadresse

- Die Empfängeradresse

- Der Text der E-Mail

Eine weitere Komponente, die häufig beim Phishing verwendet wird, ist das Antwortfeld „Reply-To“. Dieses Feld ist ebenfalls vom Absender konfigurierbar und kann bei einem Phishing-Angriff verwendet werden. Die Reply-To-Adresse teilt der Client-E-Mail-Software mit, wohin sie eine Antwort senden soll, und diese muss nicht mit der Adresse des Absenders identisch sein. Auch hier gilt, dass E-Mail-Server und das SMTP-Protokoll nicht überprüfen, ob diese E-Mail legitim oder gefälscht ist. Es liegt am Benutzer, zu erkennen, dass die Antwort an den falschen Empfänger geht.

Hier ist ein Beispiel für eine gefälschte E-Mail:

 

SMTP-Protokoll einer gefälschten E-Mail.

 

Sie sehen, dass die E-Mail-Adresse im Absenderfeld angeblich von Bill Gates stammt (b.gates@microsoft.com). Es gibt zwei Abschnitte, die Sie im E-Mail-Header überprüfen können. Der Abschnitt „Received“ zeigt, dass die E-Mail ursprünglich vom E-Mail-Server email.random-company.nl bearbeitet wurde, was ein erster Hinweis darauf ist, dass es sich um eine Spoofmail handeln könnte. Das beste Feld zum Überprüfen ist jedoch der Abschnitt „Received-SPF“ – Sie sehen, dass dieser Abschnitt den Status „Fail“ („Fehlgeschlagen“) hat.

Das Sender Policy Framework (SPF) ist ein Sicherheitsprotokoll, das im Jahr 2014 als Standard festgelegt wurde. Es arbeitet in Verbindung mit DMARC (Domain-based Message Authentication, Reporting and Conformance), um Malware- und Phishing-Angriffe zu stoppen.

SPF kann gefälschte E-Mails erkennen und ist bei den meisten E-Mail-Diensten üblich geworden, um Phishing zu bekämpfen. Es liegt jedoch in der Verantwortung des Domaininhabers, SPF zu integrieren. Um SPF zu verwenden, muss ein Domaininhaber einen DNS-TXT-Eintrag konfigurieren, der alle IP-Adressen angibt, die berechtigt sind, E-Mails im Namen der Domäne zu versenden. Wenn dieser DNS-Eintrag konfiguriert ist, suchen die E-Mail-Server beim Empfang einer Nachricht nach der IP-Adresse, um sicherzustellen, dass sie mit den autorisierten IP-Adressen der E-Mail-Domäne übereinstimmt. Wenn es eine Übereinstimmung gibt, zeigt das Feld Received-SPF einen PASS-Status an. Wenn es keine Übereinstimmung gibt, zeigt das Feld den Status FAIL an. Empfänger sollten diesen Status überprüfen, wenn sie eine E-Mail mit Links, Anhängen oder schriftlichen Anweisungen erhalten.

Statistiken zu E-Mail-Spoofing und Phishing

E-Mail-Clients, die für die Verwendung von SPF und DMARC konfiguriert sind, weisen E-Mails, die die Validierung nicht bestehen, automatisch zurück oder senden sie an das Spam-Postfach des Benutzers. Angreifer haben es auf Menschen und Unternehmen abgesehen, und schon ein einziger erfolgreich getäuschter Benutzer kann zum Diebstahl von Geld, Daten und Zugangsdaten führen.

Es ist kein Wunder, dass Phishing heute zu den bekanntesten Cyberangriffen gehört. Schauen Sie sich die folgenden Statistiken an:

  • Pro Tag werden 3,1 Milliarden Domain-Spoofing-E-Mails verschickt.
  • Mehr als 90 % der Cyberangriffe beginnen mit einer E-Mail.
  • E-Mail-Spoofing und Phishing haben seit 2016 weltweit Kosten in Höhe von geschätzten 26 Milliarden US-Dollar verursacht.
  • Im Jahr 2019 meldete das FBI, dass 467.000 Cyberangriffe erfolgreich waren; 24 % davon basierten auf E-Mails.
  • Durchschnittlich wurden die Benutzer um 75.000 Dollar betrogen.

E-Mail-Spoofing wird häufig beim CEO-Betrug, auch bekannt als Business Email Compromise (BEC), eingesetzt. Hierbei fälscht der Angreifer die E-Mail-Adresse des Absenders, um sich als Führungskraft oder Eigentümer eines Unternehmens auszugeben. Dieser Angriff zielt in der Regel auf einen Mitarbeiter in der Finanz-, Buchhaltungs- oder Kreditorenabteilung ab.

Selbst clevere Mitarbeiter mit guten Absichten können dazu verleitet werden, Geld zu überweisen, wenn die Aufforderung von jemandem kommt, dem sie vertrauen – insbesondere von einer Autoritätsperson. Hier sind einige bekannte Beispiele für Phishing-Betrug:

  • Der kanadische Stadtkämmerer wurde von einem Angreifer, der sich als Stadtmanager Steve Kanellakos ausgab, dazu gebracht, 98.000 $ aus Steuergeldern zu überweisen.
  • Mattel wurde hereingelegt und überwies 3 Millionen Dollar auf ein Konto in China. Das Unternehmen hatte jedoch Glück und bekam das Geld zurück, als der betrogene Finanzmanager nachweisen konnte, dass die E-Mail-Nachricht nicht vom CEO, Christopher Sinclair, gesendet wurde.
  • Die Crelan-Bank in Belgien wurde dazu gebracht, Angreifern 70 Millionen Euro zu schicken.

So schützen Sie sich vor E-Mail-Spoofing

Selbst wenn Funktionen zur E-Mail-Sicherheit implementiert wurden, können einige bösartige E-Mail-Nachrichten in die Posteingänge der Benutzer gelangen. Unabhängig davon, ob Sie als Angestellter für finanzielle Entscheidungen verantwortlich sind oder private E-Mails bei der Arbeit nutzen – Sie können bestimmte Schritte unternehmen, um zu vermeiden, dass Sie einem E-Mail-Betrug zum Opfer fallen:

  • Klicken Sie niemals auf die Links in einer E-Mail, um sich auf einer Website zu authentifizieren. Geben Sie immer die offizielle Domain in Ihren Browser ein und authentifizieren Sie sich direkt auf der Seite.
  • Die Schritte zum Anzeigen des E-Mail-Headers sind bei jedem E-Mail-Client unterschiedlich. Schauen Sie zuerst nach, wie Sie den E-Mail-Header bei Ihrer Software anzeigen. Öffnen Sie dann den E-Mail-Header, suchen Sie nach dem Abschnitt „Received-SPF“ und suchen Sie nach einem PASS- oder FAIL-Status.
  • Kopieren Sie den Inhalt einer E-Mail und fügen Sie ihn in eine Suchmaschine ein. Die Chancen stehen gut, dass der in einem gängigen Phishing-Angriff verwendete Text bereits gemeldet und im Internet veröffentlicht wurde.
  • Seien Sie misstrauisch bei E-Mails, die angeblich von einer offiziellen Quelle stammen und schlechte Rechtschreibung oder Grammatik aufweisen.
  • Öffnen Sie keine Anhänge von verdächtigen oder unbekannten Absendern.
  • Bei E-Mails, die Reichtum versprechen – oder irgendetwas anderes, das zu schön ist, um wahr zu sein – handelt es sich wahrscheinlich um Betrug.
  • Seien Sie vorsichtig bei E-Mails, die ein Gefühl von Dringlichkeit oder Gefahr vermitteln. Phishing- und BEC-Angriffe versuchen oft, die natürliche Skepsis der Empfänger zu unterdrücken, indem sie suggerieren, dass etwas Schlimmes passieren wird, wenn sie nicht schnell handeln. Behandeln Sie E-Mail-Links mit besonderer Vorsicht, wenn die Nachricht vor anstehenden Kontoauflösungen, geplanten Zahlungsausfällen oder verdächtigen Aktivitäten auf einem Ihrer Finanzkonten warnt. Besuchen Sie die Website direkt über Ihren Browser, klicken Sie nicht auf den Link in der E-Mail und denken Sie daran, dem IT-Team die Phishing-Mail zu melden.

Proofpoint E-Mail-Protection

Die Email Protektion-Lösungen mit dem Proofpoint Mail Gateway schützen Ihr Unternehmen vor unerwünschten Mails mit Malware und anderen Bedrohungen.

Ponemon-Studie: Die Kosten durch Phishing 2021

Die Kosten durch Phishing-Angriffe sind für große Unternehmen auf fast 15 Millionen US-Dollar (also mehr als 1.500 US-Dollar pro Mitarbeiter) gestiegen. Die Studie schlüsselt die Kosten durch diese enorme Bedrohung auf und zeigt, wie Unternehmen diese Kosten senken können.

Was ist Business E-Mail Compromise (BEC)?

Schützen Sie Ihr Unternehmen vor betrügerischen Geschäftsemails (BEC), Phishing Attacken, Spam, Betrüger E-Mails und mehr mit Proofpoint DE.

Was ist E-Mail-Sicherheit?

Erfahren Sie mehr über E-Mail Threat Protection: Definition und Tipps zum E-Mail-Schutz, Arten der Bedrohung und wie Sie Ihren E-Mail-Account schützen.