In der heutigen digitalen Zeit muss alles immer rasanter erledigt werden wie es abgearbeitet werden kann. Als Arbeitnehmer besteht somit immer ein Druck, die Arbeit schnellst- und bestmöglich durchzuführen. Dies hat zur Folge, dass nicht mehr mit der gleichen Konzentration gearbeitet wird und es können Fehler entstehen. Besonders gefährlich wird’s, wenn der «Chef» mal wieder Zahlungsanweisungen via Mail verschickt…


Nebenbei erwähnt

Ein weiser Mann hat mir einmal gesagt: «Wo gehobelt wird, da fallen Späne.» Das ist ein Fakt und jeder kennt dies sicher, aber wenn Fehler vermieden werden können, ist dies natürlich sehr nice und für jeden von Vorteil (bis auf z.B. die Scamers / Spoofer etc. natürlich, aber später mehr hierzu). Man kann nicht jeden Fehler vermeiden, aber ich kann euch wenigstens zeigen, wie man nicht auf Spoofing-Mails reinfällt. Das ist nicht nur für die Informatik-Abteilung wichtig, sondern viel mehr für alle anderen Mitarbeitenden, die darauf sensibilisiert werden müssen.


Wie sind Spoofing-Mails aufgebaut und was ist das Ziel?

Sicherlich hat jeder schon mal eine gefälscht E-Mail erhalten. Sei es nun eine Rechnung von etwas, was nie bestellt wurde, oder eine Nachricht mit einem dubiosen Link auf welchen der Empfänger klicken soll etc.

—————— cut ——————

Guten Tag Herr Meier

Bitte überweisen Sie mir sofort 10’000 .- CHF auf das folgende Konto 01-3433324-1313

Ich brauche das Geld sofort! ist für einen sehr wichtigen Deal!

Freundliche Grüsse

Regina Tidemann

CEO

—————— cut ——————

In nahezu allen Unternehmen, gibt es tagtäglich solche Fake-Mails. Hierbei werden die Empfänger gerne unter psychischen Druck gesetzt, damit Sie sofort handeln und sich nicht getrauen, die Anweisung zu hinterfragen.

In Medien-Portalen und Social Media gibt es immer mehr Berichte darüber, wie Mitarbeiter dazu missbraucht wurden, Geld an eine fremde Person zu überweisen, jedoch glaubten, der Auftrag kam von ihrer vorgesetzten Person.

Es geht nicht immer um Geld bei solchen Mails. Häufig möchte ein Angreifer, dass die Zielperson einen Link oder Anhang öffnet oder auch Informationen preisgibt, welche für einen Angriff genutzt werden können.


Vom Social Engineering zum Header-Attribut – warum die Täuschung gelingt

Durch «Social Engineering», welches womöglich im Vorfeld stattgefunden hat via Xing, Facebook etc. oder weil das Unternehmen seine Personalstruktur bereitwillig auf Ihrer Website veröffentlicht, sind oft auch die korrekten Personen adressiert.

So sehen die Mails womöglich korrekt aus und es wird angenommen, dass sie von dem angezeigten Absender stammen. Dies ist leider nicht der Fall. Es wird hier ein Trick gebraucht, durch welcher der «richtige» Absender hinter einem Namen der Firma versteckt wird. Dies funktioniert, da es bei einer E-Mail zwei Attribute für den Absender gibt.

Zu einem wäre hier der sogenannte «Envelope Sender» [MAIL FROM Header], in welchen der «originale» Absender steht. Im zweiten Attribut, dem «From» bzw. dem [FROM Header] kann reingeschrieben werden, was einem beliebt und in einem Mail Client (z.B. Outlook) wird dann dieser Name / E-Mailadresse angezeigt. Somit ist die Täuschung perfekt.


Viele Systeme sind in der Lage dies zu überprüfen und zu detektieren

Mailgateways besitzen verschiedene technische Mechanismen, um verdächtige und bösartige Mails bereits im Voraus zu erkennen und zu löschen bzw. in gewissen Fällen werden diese gar nie angenommen.

Solche Systeme inspizieren eingehende Mails auf deren Ursprung, Reputation des Senderservers und Inhalt. Die Funktionen sind von System zu System verschieden. Viele davon arbeiten mit Listen, welche die IP-Adressen von suspekten und auch bekannten bösartigen Servern beinhalten und immer wieder aktualisiert und abgefragt werden.

Als weiteren Schutz kann auf die E-Mail Signierung zurückgegriffen werden. Hierbei werden die Mails vom Sender mit einer Signatur versehen, welche der Empfänger wiederum überprüfen und somit bestätigen kann, dass die Mail wirklich von diesem Sender bzw. Senderdomäne stammt.

Leider sind IT-Security-Systeme dem Angreifer aber oftmals einen Schritt hinterher und erkennen nicht jedes bösartige Mail. Gerade wenn es sich nicht um eine breitgestreute Malware, sondern um eine zielgrerichtete Attacke handelt, ist die Erkennung extrem schwierig. In diesem Fall muss der User das Mail als gefälscht erkennen.


Awareness schaffen: Was kann der User unternehmen?

Es gibt verschiedene Möglichkeiten, um sicher zu gehen ob das Mail nun vom angezeigten Absender kommt oder nicht. Unten einige Tipps, die man seinen Mitarbeitenden unbedingt geläufig machen sollte. Awareness ist die wichtigste Massnahme im Kampf gegen Spoofing-Mails und da stehen die IT-Abteilgungen in der Pflicht.

  • Überprüfen der Rechtschreibung / Anzeige

Fun Fact: Viele solcher Mails beinhalten Rechtschreib- oder Anzeigefehler
z.B. ä,ö,ü können nicht dargestellt werden, Namen sind falsch geschrieben oder in der falschen Reihenfolgen (z.B. Guten Tag Müller Anita).

  • Überprüfen der Header vom Mail

Eine Mail z.B. in einem Editor öffnen und die Header und E-Mailadressen vergleichen.
Hierbei kann schnell erkannt werden, wenn eine andere E-Mailadresse eingetragen wurde z.B. beim Return Header.

  • Überlegen, ob solche Anfragen schon vorgekommen sind.

Gab es früher immer wieder solche legitime Anfragen oder wäre dies das erste Mal?

  • Das Einfachste zum Schluss: Kurz bei der Person anrufen und nachfragen

Hand aufs Herz, ich glaube ja, dass jeder froh ist, wenn kurz nachgefragt wird, ob ein grosser Batzen Geld überwiesen werden soll anstatt dieser einfach «verloren» geht.


Schlussendlich…

…ist es wichtig, bei Mails eine gewisse Skepsis zu haben, sei es im Büro oder auch bei den privaten Mails. Allzu schnell können Personen hier hinters Licht geführt werden.

Ich persönlich bin immer sehr skeptisch bei Mails, vor allem da ich immer noch auf die Auszahlung meines 125’000 Euro Gewinns der spanischen Nationallotterie warte, obwohl ich die Überweisungsgebühr schon längst gezahlt habe…


Links


Bender

Bender

Bender ist Security Engineer bei AVANTEC. Er hat grosses Interesse an der Welt der E-Mails und den verschiedenen Produkten wie IronPort, SEPPmail und Symantec.cloud. Weiter ist er ein stolzer Serienjunkie und Gamer.

Privacy Preference Center