Jeder kennt sie: die Spammails, die Phishingmails und die Betrügermails, die unsere Postkästen zum überquellen bringen.
Sie stammen von der Deutschen Bank, der Sparkasse, der Telekom, Vodafon, ebay, Paypal oder Amazon – zumindest behaupten sie das. Aber sie stammen aus der Hand von Betrügern, welche mit verschiedenen Tricks arbeiten, um die Mails glaubwürdig zu gestalten.
Eine dieser Tricks, welche angewendet werden, um die Mail so glaubwürdig wie möglich zu gestalten, ist das Mail-Spoofing.
Spoofing
Als Spoofing bezeichnet man zunächst das grundsätzlich Vortäuschen von Adressen in Bezug auf die Informationstechnik. Damit ist jetzt jetzt nicht allein das Vortäuschen von Namen oder Mailadressen gemeint, sondern kann auch in Bezug auf die Vortäuschung falscher MAC- oder IP-Adressen als Begriff angewendet werden (Beispiel: IP-Spoofing).
Wer Spoofing betreibt, macht dieses meist als Mittel für einen weiterführenden Angriff, in Bezug auf das Mail-Spoofing ist dies der Phishingangriff.
Mail-Spoofing ist ein sehr bedeutender Bestandteil eines Phishingangriffes. Dabei wird die Absenderadresse so “gespooft” (verschleiert), dass sie zu dem Inhalt der Mail passt. In der Realität werden also als Absender Adressen wie “service@amazon.de” oder “service@paypal.de” als Absender einer Mail gelesen, obwohl diese Mails garn nicht von diesen Adressen stammen.
Diese Verschleierung wird genutzt, um das Vertrauen des Empfängers zu wecken. Das Grundproblem beim Mail-Spoofing ist: der Empfänger kann zunächst nichts gegen den Empfang von gespooften Mails machen, da die Identität des Absenders auf dem E-Mail Server nicht geprüft wird. Gleiches gilt beim öffnen der Mail: eine gespoofte Adresse lässt sich als solche zunächst nicht erkennen.
Varianten des Mail-Spoofing
Technisch gesehen die einfachere Variante ist das registrieren von Mail-Domänen, welche einer Existierenden sehr ähnlich sieht. Ein Klassiker unter dieser Variante ist die irreführende Schreibweise “Amazin.com” oder konstruierte Namen wie “Rechnungsstelle-paypal.com”. Dabei wird spekuliert, dass die jeweiligen Empfänger den Namen als echt aufnehmen.
Eine andere Variante ist das Fälschen in den echten Namen selbst über offene Relays. Dabei ist es dann möglich, exakt die Adressen anzugeben, wie sie die echten Dienste auch nutzen würden. Dies ist die weitaus überzeugendere Variante, wie sie einen Empfänger erreichen könnte.
Gegenmaßnahmen nur bedingt zufriedenstellend
Natürlich gibt es Wege, E-Mails mit gespooften Adressen gar nicht erst zu empfangen, doch im Alltag sind diese wenig zufriedenstellend. So bieten signierte E-Mails, bei denen die Versender mit Hilfe eines Schlüssels eine Signatur erzeugen, eine Vertrauensbasis.
Die andere Möglichkeit wäre, E-Mails nur von vertrauenswürdigen Servern anzunehmen, bei denen durch verschiedene Protokolle die Verbindung von E-Mailadresse und tatsächlich entsprechendem Konto gesichert ist. Damit schließt man jedoch auch eine Menge an Mails aus, welche kein Spam sind.
Bot-Netze im Einsatz
In vielen Fällen übernehmen mittlerweile Bot-Netze, welche aus unzähligen infizierten Rechnern bestehen, den Spamversand und verzichten dabei auf Mail-Spoofing. Das ist immer dann der Fall, wenn man eine betrügerische Mail bekommt, bei der der Absender scheinbar eine private Adresse ist.
Autor: Andre, mimikama.org
Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.
2) Einzelne Beiträge entstanden durch den Einsatz von maschineller Hilfe und wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)