Was ist Spoofing?
E-Mail-Spoofing ist eine besonders hinterlistige Form des Cyberangriffs: Der Absender einer E-Mail wird gefälscht, um Vertrauen zu erschleichen und Empfänger zu täuschen. Die Folgen reichen von Datenklau über Malware bis hin zu finanziellen Schäden. In diesem Beitrag erfahren Sie, wie Spoofing funktioniert, warum es so gefährlich ist – und wie Sie sich wirksam davor schützen können.
Beim E-Mail-Spoofing wird der Absender einer E-Mail gefälscht, um den Eindruck zu erwecken, dass die Nachricht von einer vertrauenswürdigen Quelle stammt. Dabei wird die Absenderadresse so manipuliert, dass die E-Mail z.B. von einem bekannten Unternehmen, einer Behörde oder einer dem Empfänger bekannten Person zu stammen scheint.
Für das E-Mail-Spoofing sind die SMTP-Informationen im E-Mail-Header relevant, vor allem der Header-From: Hier wird angegeben, von welcher E-Mail-Adresse die Nachricht stammt. Wenn Sie beispielsweise eine E-Mail versenden, füllt das E-Mail-Programm dieses Feld automatisch mit Ihrer E-Mail-Adresse aus, wobei der Header-From nicht nur die Absenderadresse, sondern auch den Absendernamen enthält. Beim Fälschen ändern Kriminelle die Angaben und setzen eine vertrauenswürdige Absenderadresse und einen plausiblen Absendernamen ein.
Spoofing ist mit Social Engineering verwandt. Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Autoritätshörigkeit ausgenutzt, um Menschen geschickt zu manipulieren. Während der Empfänger beim Social Engineering also über Emotionen dazu gebracht werden soll, bestimmte Handlungen auszuführen, so erzeugt Spoofing die technischen Voraussetzungen, damit die jeweiligen Ziele des Angreifers erreicht werden.
Diese Ziele sind beispielsweise das Ausspähen von Konto- oder Zugangsdaten, das Erschleichen von Geld oder die Verbreitung von Malware.
Wie funktioniert Mail Spoofing?
Beim E-Mail-Spoofing wird eine E-Mail mit gefälschtem Absendernamen oder gefälschter Absenderadresse versendet, ohne dass der Angreifer tatsächlich Zugriff auf den echten E-Mail-Account hat. Die ist möglich, weil jede E-Mail zwei From-Felder hat, das Feld MAIL FROM und das Feld Header-From. E-Mail-Clients zeigen aber nur das Header-From-Feld an. Der Angreifer nutzt hier also Schwachstellen im E-Mail-Protokoll (SMTP) aus, um gefälschte Absenderinformationen einzufügen.
E-Mail-Spoofing ist grundsätzlich auf verschiedenen Wegen möglich. Mit Hilfe von Skripten oder Programmiersprachen, die SMTP unterstützen, kann das Spoofing auf einfache Weise automatisiert werden.
So ist es möglich, in PHP über die mail()-Funktion eine beliebige Absenderadresse zu setzen – und genau das wird von Angreifern missbraucht.
Hier ein Beispiel:
$to = 'opfer@example.com';
$subject = 'Wichtige Nachricht';
$message = 'Bitte klicken Sie auf folgenden Link...';
$headers = "From: info@beispielbank.de\r\n";
$headers .= "Reply-To: info@beispielbank.de\r\n";
$headers .= "X-Mailer: PHP/" . phpversion();
mail($to, $subject, $message, $headers);
?>Hier sieht es so aus, als käme die Mail von info@beispielbank.de.
Wie erkenne ich E-Mail-Spoofing?
Analysieren Sie den E-Mail-Header
Seien Sie misstrauisch
Dies gilt vor allem bei unerwarteten E-Mails, Dringlichkeits- oder Droh-E-Mails oder Forderungen nach Geld oder Daten.
Prüfen Sie die Absenderadresse
Lassen Sie sich die vollständige Absenderadresse anzeigen. Achten Sie auf Buchstabendreher in der Domain oder Domainzusätze.
Warum ist Spoofing gefährlich?
Sie meinen, dass Sie niemals auf Spoofing hereinfallen würden? Nun – Spoofing ist deshalb so gefährlich, weil es Vertrauen missbraucht, und das macht es so gefährlich: finanzielle Schäden, ein zerstörter Ruf oder Verseuchung durch Malware sind nur einige mögliche Folgen eines Spoofing-Angriffs.
So erhielt ein Mitarbeiter des Autozulieferers Leoni AG eine E-Mail, die angeblich vom Vorstand stammte. Die Absenderadresse war gefälscht, die E-Mail in perfektem Deutsch – mit der Anweisung, einen größeren Betrag auf ein ausländisches Konto zu überweisen.
Ein weiterer Fall: Angreifer fälschten E-Mails an den Autozulieferer Toyota Boshoku, die wie interne Zahlungsanweisungen aussahen, angeblich vom Management. Ein Mitarbeiter der Finanzabteilung wurde überredet, Geld auf ein Konto zu überweisen, das nicht zu Toyota, sondern zu den Kriminellen gehörte.
Und sogar Security-Experten wie Troy Hunt sind nicht vor Spoofing sicher und wurden schon Opfer von Kriminellen.
Wie kann ich mich vor Spoofing schützen?
SMTP ist allein nicht in der Lage, die Echtheit einer E-Mail zu überprüfen. E-Mails mit gefälschter „From“-Zeile und gefälschtem Anzeigenamen landen so direkt im Posteingang. Wie können Sie sich also schützen?
Neben Möglichkeiten wie der Zwei-Faktor-Authentisierung (2FA) oder dem allgemeinen Rat, keine Links oder Anhänge von unbekannten Absendern zu öffnen, gibt es verschiedene technische Maßnahmen:
Sie haben NoSpamProxy noch nicht im Einsatz?
Mit NoSpamProxy können Sie Ihr Unternehmen zuverlässig vor Scamming-Angriffen schützen und von vielen weiteren Sicherheitsfunktionen profitieren. Fordern Sie jetzt Ihre kostenlose Testversion an!
