Blog › Verteidigung gegen E-Mail-Spoofing

Verteidigung gegen E-Mail-Spoofing

05. November 2020

05. November 2020

min

3 min

Adrien Gendre
Adrien Gendre

E-Mail-Spoofing ist eine Technik zum Fälschen eines E-Mail-Headers, der Empfängern vorgaukelt, der Absender sei eine bekannte Marke oder ein Bekannter. Es ist ein kritisches Element sowohl von Phishing- als auch von Spear-Phishing-Angriffen, das für Benutzer und sogar äußerst fortschrittliche E-Mail-Filter extrem schwer aufzudecken sein kann.

Warum ist E-Mail-Spoofing so schwer zu erkennen? Schauen Sie sich einmal das folgende Beispiel an: Sie erhalten eine E-Mail von support@appIe.com, in der Sie gebeten werden, Ihr Kennwort für Ihr iTunes-Konto zu bestätigen. Es ist eine nachvollziehbare Anfrage, also klicken Sie auf das Link und geben Ihre Apple-ID und Ihr Kennwort damit an einen Hacker weiter.

Was ist passiert? Um den Angriff zu verstehen, müssen Sie den Unterschied zwischen apple.com und appIe.com erkennen. Sie sehen gleich aus, aber sie sind es nicht. Das erste Beispiel ist Apples legitime Domain, das zweite jedoch eine Phishing- Domain, die das kleingeschriebene „l“ in „apple“ durch ein großes „i“ ersetzt. Diese Art von Spoofing ist mit dem bloßen Auge fast unsichtbar, und selbst E-Mail-Filter haben Mühe, diese Art von Spoofing zu erkennen.

Die Bandbreite des E-Mail-Spoofings

E-Mail-Spoofing kann in ganz unterschiedlichen Komplexitätsgraden auftreten. Während einige Formen des Spoofings recht einfach sind, erfordern andere ein hohes Maß an Geschicklichkeit. Innerhalb dieses Spektrums gibt es drei wichtige Arten:

Spoofing des angezeigten Displaynamens

Dies ist ein einfacher, aber effektiver Ansatz für E-Mail-Spoofing, bei dem der Name des Absenders gefälscht wird, die E-Mail-Adresse jedoch nicht. Ein geschulter Benutzer könnte die Diskrepanz zwischen dem Anzeigenamen und der E-Mail-Adresse bemerken, die Hacker jedoch hoffen auf ungeschulte Benutzer, die sich auf den Anzeigenamen und nicht die E-Mail-Adresse konzentrieren.

Spoofing des angezeigten Displaynamens

So funktioniert das Spoofing des Anzeigenamens: Sie erhalten eine E-Mail mit dem Anzeigenamen „Microsoft Outlook“, aber die E-Mail-Adresse lautet xyz22@gmail.com. Der Angreifer geht davon aus, dass die meisten Menschen im hektischen Alltag die E-Mail-Adresse des Absenders nicht sorgfältig prüfen – und das stimmt auch.

Das Spoofing des Anzeigenamens ist auf Mobiltelefonen besonders effektiv, denn obwohl der Name des Absenders auf dem Mobiltelefon immer sichtbar ist, gilt das nicht für die E-Mail-Adresse. Dies trifft sowohl auf Microsoft Outlook als auch auf Gmail zu. Darüber hinaus ist es wahrscheinlicher, dass Handy-Benutzer unterwegs sind und damit stärker abgelenkt als Desktop-User. Verizon zufolge sind bei mobilen Angriffen Handy-Benutzer anfälliger für Spear-Phishing und E-Mail-Spoofing, was sowohl auf die Ablenkung der Benutzer als auch auf das Design der Handy-Apps zurückzuführen ist.

Eine weitere Taktik beim Spoofing des Anzeigenamens besteht darin, eine E-Mail-Adresse als Anzeigenamen zu verwenden. Das lenkt den Benutzer vom Blick auf die tatsächliche E-Mail-Adresse des Absenders ab und verleiht der E-Mail zusätzlich ein vertrauenswürdiges Aussehen. Im folgenden Beispiel verwendet der Hacker eine Microsoft-E-Mail-Adresse als Anzeigename.

Spoofing des angezeigten Displaynamens

In Kombination mit Social Engineering kann das Spoofing von Anzeigenamen Menschen zu Handlungen verleiten, die sie sonst vermeiden würden. Der Angreifer recherchiert zum Beispiel den Empfänger und verwendet bekannte Fakten, um Vertrauen zu wecken, bevor er eine Anfrage startet. Diese Social Engineering-Taktik wird häufig bei Spear-Phishing, auch bekannt als Business Email Compromise oder CEO-Betrug, eingesetzt, bei dem sich ein Hacker als ein hochrangiger leitender Angestellter ausgibt und einen Mitarbeiter auffordert, eine Überweisung durchzuführen.

Spoofing der exakten Domain

Mit den richtigen Werkzeugen kann ein Angreifer eine Phishing-E-Mail versenden, die von einer echten Domain zu kommen scheint. Zum Beispiel könnte ein Angreifer eine E-Mail schreiben, die scheinbar von support@bofa.com kommt, einer legitimen E-Mail-Adresse der Bank of America. Nur: Sie stammt nicht wirklich von dieser Adresse. Es ist eine Phishing-E-Mail, die Sie dazu veranlasst, auf eine URL zu klicken, die Sie zu einer gespooften Webseite führt, die so aussieht wie www.bofa.com.

Glücklicherweise ist das Spoofing der exakten Domains dank Sender Policy Framework (SPF) und Domain Keys Identified Mail (DKIM) weniger verbreitet als früher. Sind SPF oder DKIM einmal in die DNS-Einstellungen integriert, verhindern sie die unbefugte Verwendung von Domainnamen für Spoofing-Angriffe.

Cousin-Domains

Die Cousin-Domain sieht einer echten Domain sehr ähnlich und ist manchmal nicht von ihr zu unterscheiden. Bei dieser Vorgehensweise könnte die Domain-Erweiterung „.co“ anstelle von „.com“ verwendet werden, eventuell hat die URL auch einen Buchstaben oder ein Wort mehr oder weniger.

Cousin-Domains

Sagen wir, Ihr Unternehmen hieße Maine Express und hätte den Domainnamen maineexpress.com. Ein Spoofer könnte die Domain mainexpress.com oder maineexpresss.com anmelden und wäre damit in der Lage, zumindest einen Teil der E-Mail-Empfänger hereinzulegen. Oder er könnte der URL ein zusätzliches, aber plausibles Wort hinzufügen, z. B. „global“, sodass sie zu maineexpressglobal.com wird und so weiter.

Wie man E-Mail-Spoofing stoppt

Obwohl einige Spoofing-Angriffe extrem schwer aufzudecken sind, sind viele andere leicht zu erkennen, und Schulungen zur Sensibilisierung der Benutzer können Ihre Mitarbeiter in die Lage versetzen, sich an der Lösung des Problems zu beteiligen. Das Einrichten klarer Verfahrensrichtlinien wie z. B. für Überweisungen, hilft ebenfalls, die Risiken von Business Email Compromise, CEO-Betrug und vergleichbaren Spear-Phishing-Angriffen einzudämmen. Um „Cousin“-Domains entgegenzuwirken, kaufen einige Unternehmen absichtlich alle ähnlichen Domains auf. Das hat den zusätzlichen Vorteil, dass das Risiko der Markenrechtsverletzungen reduziert wird.

Fortschrittliche E-Mail-Sicherheitslösungen können eingehende E-Mails darüber hinaus auch schnell auf Anzeichen von Spoofing und andere Anomalien untersuchen. Vade Secure for Microsoft 365 analysiert die E-Mail-Header, um festzustellen, ob der Anzeigename und die E-Mail-Adresse mit dem Entitätsmodell des Unternehmens übereinstimmen. Die Lösung fügt auch eine SPF-ähnliche Ebene zum E-Mail-Filterungsprozess hinzu, die die unautorisierte Verwendung von Domainnamen und Cousins erkennt.

Sie sucht auch nach Inkonsistenzen in der E-Mail-Struktur und im Inhalt, einschließlich Wörtern und Phrasen, die häufig in Business Email Compromise-Angriffen verwendet werden. Vermutet die Lösung Spear-Phishing, wird ein anpassbares Warn-Banner in die E-Mail eingefügt, das den Benutzer auf einen mutmaßlichen Spoofing-Versuch aufmerksam macht.

Abonnieren Sie die Benachrichtigungen für unsere neuesten Blog-Einträge