E-Mail-Spoofing ist das häufigste Merkmal von Phishing- und Spear-Phishing-E-Mails. Die Methoden, die Hacker verwenden, um E-Mail-Adressen zu fälschen, werden immer raffinierter und überrumpeln E-Mail-Filter und Benutzer gleichermaßen. Bei geringfügigen Abweichungen der Firmennamen und fast unsichtbaren Textänderungen kann es äußerst schwer sein, eine gefälschte E-Mail zu erkennen. Hier sind nur ein paar Gründe, warum die Benutzer sie nicht erkennen.

Das Spoofing des Anzeigenamens ist verdächtig einfach

Das Anzeigenamen-Spoofing ist eine der häufigsten Spoofing-Formen. Es lässt sich einfach bewerkstelligen, ist jedoch schwer für Benutzer und E-Mailfilter zu erkennen. Und so funktioniert es:

Das Absenderfeld einer E-Mail zeigt sowohl den Namen des Absenders als auch seine E-Mail-Adresse an.

In Microsoft Outlook ist eine E-Mail-Adresse von zwei Winkel klammern (< >) umgeben. Anstatt zu versuchen, die genaue Domain zu fälschen – und aufgrund von DMARC ist es schwierig, an einem E-Mail-Filter vorbeizukommen – verwenden Hacker Absendernamen und E-Mail-Adressen im Anzeigefeld, die einfach nur echt aussehen.

Im folgenden Beispiel verwendet der Hacker eine gefälschte SharePoint-E-Mail-Adresse im Feld für den Anzeigenamen:

Das Spoofing des Anzeigenamens ist verdächtig einfach

Im untenstehenden Beispiel des Anzeigenamen-Spoofings verwendete der Hacker im Absenderfeld anstelle des Markennamens eine gefälschte Microsoft-E-Mail-Adresse. Das Raffinierte an diesem Anzeigenamen ist, dass das Schlüsselwort „Quarantine“ in der gefälschten E-Mail-Adresse mit der Nachricht der E-Mail übereinstimmt – ein gängiger Trick beim Fälschen des Anzeigennamens. Dies kann dazu führen, dass die E-Mail selbst für den Benutzer glaubwürdiger aussieht, der damit auch eher die seltsame Tatsache verzeiht, dass die E-Mailadresse im Absenderfeld erscheint.

Beachten Sie auch, dass sich der Hacker nicht die Mühe gemacht hat, eine gefälschte E-Mail-Adresse in das E-Mail-Feld einzutragen, das wir verwischt haben. Dies kommt beim Spoofing des Anzeigenamens häufig vor. Entweder wollte sich der Hacker nicht die Mühe machen, oder aber er hofft, dass sich der Benutzer auf den Anzeigenamen und nicht auf die E-Mail-Adresse konzentriert. Eine andere Möglichkeit besteht darin, dass der Hacker gehofft hat, dass der Benutzer ein Mobilgerät zur E-Mailanzeige verwendet. Das ist optimal für den Hacker, da E-Mail-Adressen in Outlook Mobile nicht sichtbar sind, es sei denn, sie werden explizit eingeblendet.

Das Spoofing des Anzeigenamens ist verdächtig einfach

Cousin-Domains sind fast unmöglich zu erkennen

Amerikaner verbringen durchschnittlich drei Stunden pro Tag damit, arbeitsbezogene E-Mails zu lesen. Im Vereinigten Königreich sind es eher zwei Stunden pro Tag. Die Benutzer werden so mit E-Mails überschwemmt, dass es unwahrscheinlich ist, dass sie E-Mail-Adressen auf Anzeichen von Spoofing untersuchen. Das ist der Grund, warum Cousin-Domains so effektiv sind.

Eine Cousin-Domain, die auch als Look-Alike-Domain bezeichnet wird, ist keine exakte Replik einer legitimen E-Mail-Adresse, sondern eine Variation einer E-Mail-Adresse, die für das bloße Auge fast unmöglich zu unterscheiden ist – zumindest auf den ersten Blick. Es gibt drei immer wieder auffallende Haupttricks, die beim Cousin-Domain-Spoofing verwendet werden:

1. Kyrillische Zeichen: Mit rund 133.000 Zeichen, die in 139 Sprachen und Schriften verfügbar sind, ist Unicode ein gängiges Spoofing-Tool für Hacker, und kyrillische Zeichen gehören zu den beliebtesten und effektivsten. Um eine Cousin-Domain einer Markendomain wie microsoft.com zu erstellen, ersetzen Hacker einen lateinischen Buchstaben wie „o“ durch das kyrillische, genauso aussehende „о“. Das Ergebnis? Micrоsоft.cоm. Das kyrillische „o“ ist für das bloße Auge völlig unauffällig und für E-Mail-Filter, die mit Unicode kämpfen, schwer zu erkennen.

2. Erweiterungen: Die Verwendung von zufälligen Domain-Erweiterungen und zusätzlichen Abschnitten und Subdomains zur URL ist eine gängige Methode, Cousin-Domains zu erstellen. Sie verschmelzen mit dem umgebenden Text und sind schwer ausfindig zu machen, wenn man die E-Mail nicht genau betrachtet. Da zudem viele Phishing-E-Mails als Sicherheitswarnungen und andere Benachrichtigungen getarnt sind, erwarten die Benutzer, dass sich die E-Mail-Adressen von anderen Mitteilungen der bekannten Marke unterscheiden. .exe, .ca, .co, .company und email sind allesamt gängige Erweiterungen, die für Cousin-Domains verwendet werden.

Cousin-Domains sind fast unmöglich zu erkennen

3. Zusätzliche/fehlende Zeichen: Das Hinzufügen oder Weglassen eines einzelnen Zeichens einer E-Mail-Adresse ist eine weitere einfache, aber effektive Methode, die für Cousin-Domains verwendet wird. Während einige schlecht ausgeführt und unverhohlen offensichtlich sind, sind andere besser konzipiert und schwieriger zu erkennen. Eine zufällige Großschreibung kommt ebenfalls häufig vor und fällt nicht auf, wenn sie nicht genau untersucht wird.

Cousin-Domains sind fast unmöglich zu erkennen

Gefälschte E-Mails und Spear-Phishing

Spear-Phishing ist besonders schwer zu erkennen, da dabei Menschen und nicht Marken nachgeahmt werden. Aus diesem Grund sind die E-Mails einfacher und enthalten nur wenige visuelle Komponenten und Hinweise. Phishing-E-Mails von geringer Qualität enthalten oft offensichtliche Anzeichen von E-Mail-Spoofing und schlecht gestaltete Grafiken. Spear-Phishing-E-Mails hingegen bestehen in der Regel nur aus Text.

Die unten abgebildete Spear-Phishing-E-Mail enthält eine Cousin-Domain mit der Erweiterung „global“. Diese personalisierte E-Mail kommt angeblich von einem Mitarbeiter, der eine Lieferantenzahlung fordert.

Gefälschte E-Mails und Spear-Phishing

Wenn eine E-Mail von einer Person kommt, ignoriert der Empfänger oft die E-Mail-Adresse und konzentriert sich stattdessen auf den Anzeigenamen. Ist es jemand, den man kennt, und vor allem dann, wenn man nicht darauf trainiert ist, Spear-Phishing zu erkennen, neigt man dazu, einfach darauf zu vertrauen, dass die E-Mail echt ist.

Spoofing-E-Mails stoppen

DMARC ist der Standard beim Spoofing-Schutz, aber er beschränkt sich darauf, das exakte Domain-Spoofing zu blockieren, und er ist keine Antwort auf Cousin-Domains oder ein Spoofing des Anzeigenamens. Trotz seiner Einschränkungen stoppt DMARC wirksam bestimmte Arten von gefälschten E-Mails und schützt den Ruf der eigenen Domain.

Letztlich sollte DMARC mit anderen Anti-Spoofing-Technologien kombiniert werden, die künstliche Intelligenz, einschließlich Machine Learning und Natural Language Processing, verwenden, um Phishing- und Spear-Phishing-E-Mails zu blockieren. Taktiken wie die Verwendung kyrillischer Zeichen und Erweiterungen oder andere geringfügige Änderungen an Domainnamen sind schwer zu erkennen und erfordern eine Verhaltensanalyse der E-Mail, um diese und andere Anomalien sowohl im E-Mail-Verkehr als auch bei den E-Mail-Adressen zu erkennen.