E-Mail-Spoofing ist eine Internetkriminalität, bei der ein böswilliger Akteur die Absenderadresse einer E-Mail fälscht, um sich als rechtmäßiger Absender auszugeben - eine Taktik, die Marken schon seit Jahrzehnten plagt. Wenn eine E-Mail versendet wird, zeigt die Absenderadresse nicht den Server an, von dem sie stammt, sondern die Domäne, die bei der Erstellung der Adresse eingegeben wurde. Dies macht es sehr schwer, Spoofing ohne spezielle Anti-Spoofing-Maßnahmen zu erkennen und trägt zum Erfolg dieser Angriffe bei.
Spoofing wird von Cyber-Akteuren häufig für Spamming und Phishing verwendet, wobei Phishing-Vorfälle Berichten zufolge während großer globaler Ereignisse wie der Pandemie um 220 % im Vergleich zum jährlichen Durchschnitt ansteigen. Phishing ist ein betrügerischer Versuch, an sensible Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten (einschließlich PIN-Nummern) zu gelangen, oft zu böswilligen Zwecken; der Begriff selbst erinnert an das "Fischen" nach einem Opfer durch Vortäuschen von Vertrauenswürdigkeit. Diese gefälschten E-Mails enthalten oft bösartige Links oder Anhänge, die die Opfer dazu verleiten sollen, solche sensiblen Daten preiszugeben. Sie können die Opfer auch dazu verleiten, Malware oder Viren herunterzuladen, und sie können ein Vektor für die Verbreitung von Ransomware sein.
Wichtigste Erkenntnisse
- E-Mail-Spoofing fälscht Absenderadressen, um sich als vertrauenswürdige Quellen auszugeben, und ermöglicht so Phishing, die Verbreitung von Malware und erhebliche finanzielle und rufschädigende Schäden.
- Ein solider Schutz umfasst einen mehrschichtigen Ansatz: Implementierung von E-Mail-Authentifizierung (SPF, DKIM, DMARC, BIMI), Einsatz von E-Mail-Filtern, sichere Gateways und Mitarbeiterschulung.
- Eine ordnungsgemäße Verwaltung der SPF-Einträge (Einhaltung der Abfragegrenzen, Aktualisierung der IP-Listen) und die Durchsetzung von DMARC (p=reject/quarantine) sind für die Wirksamkeit der Authentifizierung von entscheidender Bedeutung.
- Die Angreifer verwenden verschiedene Techniken, darunter die Fälschung von Anzeigenamen, die Ausnutzung legitimer Domänen (über SMTP-Schwachstellen) und ähnlich aussehende Domänen, um Empfänger zu täuschen.
- Einzelpersonen können dazu beitragen, gefälschte E-Mails zu erkennen, indem sie die Absenderangaben genau prüfen, auf ungewöhnliche Inhalte/Links achten und verdächtige Anfragen über separate Kanäle verifizieren.
Wie kann man Spoofing-E-Mails stoppen?
1. Implementierung von E-Mail-Authentifizierungsprotokollen
Neben den drei Hauptprotokollen tragen auch andere Protokolle wie MTA-STS (SMTP MTA Strict Transport Security) und TLS-RPT (TLS Reporting) zu einem sichereren E-Mail-Ökosystem bei, indem sie die Verschlüsselung erzwingen und Berichte über TLS-Verbindungsprobleme liefern.
- SPF (Sender Policy Framework): Eines der grundlegenden E-Mail-Authentifizierungsprotokolle, das zusammen mit DKIM und DMARC verwendet wird, um E-Mail-Spoofing zu verhindern. SPF-Einträge haben ein Limit von 10 DNS-Lookups, um die Kosten für die Verarbeitung jeder E-Mail niedrig zu halten. Während die Konfiguration von SPF oft einfach ist, stellt die Wartung eine Herausforderung dar. Es besteht ein erhebliches Risiko, dieses Limit von 10 DNS-Lookups zu überschreiten, insbesondere bei der Verwendung mehrerer E-Mail-Absender von Drittanbietern. Wenn diese Grenze überschritten wird, wird SPF nicht mehr funktionieren, legitime E-Mails können nicht mehr authentifiziert werden, und Ihre Domäne wird anfälliger für Spoofing- und BEC-Angriffe (Business Email Compromise).
- DKIM (DomainKeys Identified Mail): Ein E-Mail-Authentifizierungsprotokoll zum Signieren aller ausgehenden Nachrichten, um E-Mail-Manipulationen zu verhindern. Durch die Verwendung von DKIM kann die Integrität Ihrer ausgehenden E-Mails gewahrt werden, was im Kampf gegen E-Mail-Spoofing-Angriffe hilfreich ist.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): DMARC ist ein E-Mail-Authentifizierungsprotokoll, das es Organisationen ermöglicht, sich vor Spoofing- und Phishing-Angriffen zu schützen. DMARC setzt auf SPF und DKIM auf und ermöglicht es Domänenbesitzern, eine Richtlinie zu veröffentlichen, wie empfangende E-Mail-Server mit Nachrichten umgehen sollen, die die SPF- oder DKIM-Authentifizierungs- und Abgleichsprüfungen nicht bestehen. Dies hilft den E-Mail-Empfängern zu erkennen, wenn eine E-Mail nicht rechtmäßig von den genehmigten Domänen eines Unternehmens stammt, und gibt ihnen Anweisungen (z. B. Quarantäne, Zurückweisung), wie sie solche nicht genehmigten E-Mails sicher entsorgen können.
Stoppen Sie gefälschte Emails mit PowerDMARC!
2. Regelmäßige Überwachung des E-Mail-Verkehrs
Behalten Sie Ihren E-Mail-Verkehr und die Absenderquellen im Auge, indem Sie die Berichte Ihrer Domain überprüfen DMARC-Berichte. Diese umfassenden Berichte geben einen genauen Überblick über Ihre E-Mail-Kanäle, Domain-Aktivitäten, E-Mail-Kopfzeilen und Nachrichtenquellen. Sie können helfen, Spoofing-Versuche auf Ihrer Domain schnell zu erkennen, so dass Sie sofort Maßnahmen ergreifen können.
Das Lesen dieser Berichte kann jedoch eine Herausforderung sein. Aufgrund des komplizierten XML-Formats der DMARC-Rohberichte sind sie für technisch nicht versierte Benutzer oft schwer zu entziffern. Wir empfehlen die Verwendung eines DMARC-Berichts-Analysator Tool zu verwenden, um diese Berichte in ein für den Menschen lesbares Format zu überführen. Dadurch wird die technische Komplexität beseitigt, und die Berichte sind für jedermann leicht zu verstehen.
Es gibt auch Tools, mit denen Sie eine Personensuche nach E-Mails durchführen können, um mehr Details über den Absender zu erfahren und diese Angriffe wirksam zu unterbinden.
3. Verwenden Sie Anti-Spoofing-E-Mail-Filter
Anti-Spoofing-Filter analysieren eingehende E-Mails auf verdächtige Merkmale und Anzeichen von Spoofing. Dazu können nicht übereinstimmende Absenderadressen, Phishing-Signaturen, bösartige E-Mail-Anhänge usw. gehören. Die Filter müssen in Ihren E-Mail-Clients und -Diensten angewendet und korrekt konfiguriert werden, um zu verhindern, dass gefälschte E-Mails Ihren Posteingang erreichen.
4. Einrichten einer benutzerdefinierten "Von"-Adresse
Richten Sie eine benutzerdefinierte "Von"-Adresse ein, für die E-Mail-Authentifizierungsprotokolle wie SPF, DKIM und DMARC aktiviert sind. Diese verhindern, dass unbefugte Absender Ihre Domäne missbrauchen und Token in Ihrem Namen signieren. Um E-Mail-Spoofing zu verhindern, muss die Domäne Ihres Unternehmens eine erzwungene DMARC-Richtlinie von "Quarantäne" oder "Zurückweisen" verwenden.
5. Aufklärung der Mitarbeiter über E-Mail-Sicherheit
Ihre Mitarbeiter sind das schwächste Glied in Ihrem Unternehmen, das Ihre Domain ungewollt dem Spoofing aussetzen kann. Die Schulung Ihrer Mitarbeiter kann dieses schwache Glied in die stärkste Verteidigung gegen E-Mail-Betrug verwandeln! Kostenlose E-Mail-Sicherheitskurse bieten einen guten Einblick in Angriffsvektoren, bewährte Verfahren und Warnzeichen und helfen Ihren Mitarbeitern, informiert und wachsam zu bleiben.
6. Umsetzung von BIMI (Brand Indicators for Message Identification)
BIMI ist eine visuelle E-Mail-Sicherheitsfunktion, die eine erzwungene DMARC-Richtlinie erfordert, um Ihr Markenlogo direkt in den Posteingängen der Empfänger neben Ihren authentifizierten Nachrichten anzuzeigen. Durch das Anbringen des Logos einer Marke in ihren E-Mails schafft BIMI Vertrauen und Glaubwürdigkeit. Wenn ein Angreifer eine E-Mail sendet, die scheinbar von Ihrer Domäne stammt, aber DMARC (und damit die BIMI-Validierung) nicht besteht, wird in der E-Mail nicht Ihr Logo angezeigt, so dass es für die Empfänger einfacher ist, eine Fälschung zu erkennen. Dies hilft nicht nur, E-Mail-Spoofing zu unterbinden, sondern steigert auch den Wiedererkennungswert der Marke, sobald eine legitime E-Mail empfangen wird. Um BIMI richtig zu konfigurieren, benötigt Ihre Domain eine erzwungene DMARC-Richtlinie(p=quarantine oder p=reject) und ein BIMI-kompatibles SVG-Logo.
7. Nutzung von E-Mail-Gateway-Lösungen
E-Mail-Gateways filtern Phishing-E-Mails heraus, um die Sicherheit eingehender E-Mails zu erhöhen. Diese Gateways setzen eine Kombination aus künstlicher Intelligenz, Sandboxing und Threat Intelligence-Technologien ein, um E-Mail-Bedrohungen aktiv zu erkennen und zu verhindern.
Wie können Hacker Ihre E-Mail-Adresse fälschen?
Wenn Ihre Antwort auf die Frage "Werde ich gefälscht?" positiv ausfällt, dann müssen Sie wissen, wie Sie von Bedrohungsakteuren ausgetrickst werden. Auf diese Weise werden Sie beim nächsten Mal vorsichtiger sein.
Spoofing ist möglich, weil das Simple Mail Transfer Protocol (SMTP) standardmäßig nicht prüft, ob die Absenderadresse in einer E-Mail echt ist; Server für ausgehende E-Mails haben oft keine Möglichkeit zu erkennen, ob sie echt oder gefälscht ist. Angreifer nutzen dies aus, indem sie die E-Mail-Syntax fälschen und manchmal Skripte verwenden oder die APIs von E-Mail-Clients manipulieren, um die Absenderadresse zu konfigurieren. Auf diese Weise können sie Tausende von gefälschten Nachrichten von einer scheinbar authentischen E-Mail-Domäne aus versenden, oft ohne tiefgreifende Programmierkenntnisse zu benötigen. Hier sind einige gängige Methoden:
Spoofing über Anzeigename
Dabei wird nur der Anzeigename des E-Mail-Absenders gefälscht, indem ein neues E-Mail-Konto mit demselben Namen wie der nachgeahmte Kontakt erstellt wird. Die angezeigte E-Mail-Adresse des Absenders ist jedoch eine andere.
Diese E-Mails werden nicht als Spam eingestuft, weil sie legitim aussehen.
Spoofing über legitime Domains
Bei dieser Methode verwenden die Angreifer eine vertrauenswürdige E-Mail-Adresse in der Kopfzeile "Von" (z. B. [email protected]). In diesem Fall sind sowohl der Anzeigename als auch die E-Mail-Adresse gefälscht.
Die Hacker kapern kein internes Netzwerk, sondern nutzen das Simple Mail Transfer Protocol (SMTP), um die Adressen "An" und "Von" manuell anzugeben.
Spoofing über Lookalike-Domains
Wenn eine Domain geschützt ist, ist es nicht möglich, Domains zu fälschen. Deshalb müssen Spoofers eine ähnlich aussehende Domäne erstellen. Zum Beispiel mit 0 (Null) anstelle von O (dem 15. Buchstaben des englischen Alphabets). Anstelle von www.amazon.com können sie beispielsweise www.amaz0n.com erstellen.
Der Trick funktioniert, da die meisten Empfänger solche geringfügigen Änderungen in der Rechtschreibung nicht bemerken.
Erkennen der Anzeichen für Spoofing
Anzeichen für gefälschte E-Mails
Sie müssen vorsichtig sein, wenn:
- Sie sehen in Ihrem "Sendefach" E-Mails, die nicht von Ihnen stammen.
- Sie erhalten Antworten auf E-Mails, die nicht von Ihnen stammen.
- Ihr Passwort wurde geändert, und zwar nicht von Ihnen.
- Personen betrügerische E-Mails in Ihrem Namen erhalten.
Tipps für Empfänger zur Erkennung von gefälschten E-Mails
Während Unternehmen technische Schutzmaßnahmen einführen, spielen auch Einzelpersonen eine Rolle beim Erkennen potenziell bösartiger E-Mails. Seien Sie vorsichtig, wenn Sie eine E-Mail erhalten und bemerken:
- Absenderinformationen stimmen nicht überein: Prüfen Sie den Domänennamen des Absenders sorgfältig. Sieht er etwas anders aus (z. B. "beispiel.co" statt "beispiel.com") oder völlig anders als erwartet?
- Schlechte Grammatik und Tippfehler: Viele Phishing-E-Mails enthalten auffällige Rechtschreib- oder Grammatikfehler.
- Verdächtige Links oder Anhänge: Bewegen Sie den Mauszeiger über Links (ohne zu klicken!), um die tatsächliche Ziel-URL zu sehen. Seien Sie vorsichtig bei unerwarteten Anhängen, insbesondere von unbekannten Absendern.
- Dringende oder drohende Sprache: E-Mails, die ein falsches Gefühl von Dringlichkeit oder Angst erzeugen, um sofortiges Handeln zu erzwingen, sind eine gängige Taktik.
- Anfragen nach sensiblen Informationen: Seriöse Unternehmen fragen selten per E-Mail nach Passwörtern, Sozialversicherungsnummern oder vollständigen Kreditkartendaten.
- Allgemeine Grüße: E-Mails, die mit "Sehr geehrter Kunde" statt mit Ihrem Namen beginnen, können ein Warnsignal sein, auch wenn sie nicht immer eindeutig sind.
- Wenn Sie unsicher sind, klicken Sie keine Links an und öffnen Sie keine Anhänge. Kontaktieren Sie den vermeintlichen Absender über einen bekannten, separaten Kommunikationskanal (z. B. seine offizielle Website oder Telefonnummer), um die Echtheit der E-Mail zu überprüfen, oder melden Sie sie Ihrer IT-Abteilung.
Wie gefälschte Emails Ihnen schaden können
Gefälschte E-Mails sind wie die Büchse der Pandora, denn ein hoher Prozentsatz der Cyberangriffe (einigen Studien zufolge über 70 %) beginnt mit einer bösartigen E-Mail, und viele Datenschutzverletzungen gehen auf Social-Engineering-Taktiken wie Spoofing zurück. Sie können eine ganze Reihe von Problemen auslösen und gefährliche Konsequenzen nach sich ziehen:
- Spoofing kann zu Phishing-E-Mails führen, die in Ihrem Namen verschickt werden, um sensible Informationen wie Anmelde- und Kreditkartendaten zu stehlen.
- Spoofing kann zu BEC-Angriffen führen. Cyberkriminelle geben sich als legitime Führungskräfte eines Unternehmens aus, um Geld zu überweisen oder vertrauliche Informationen weiterzugeben.
- Gefälschte E-Mails können zur Verbreitung von Malware und Spyware sowie zu Ransomware-Angriffen führen.
- Wiederholte Spoofing-Angriffe auf Ihre Domäne können zu einer erheblichen Rufschädigung und einem Vertrauensverlust in Ihre Marke führen, so dass Kunden möglicherweise nicht einmal mehr legitime E-Mails öffnen. Dabei kann es auch zu Verletzungen von Markenrechten oder geistigem Eigentum kommen. Solche Angriffe können zu erheblichen finanziellen Verlusten für Unternehmen führen.
- Fortgesetzte erfolgreiche Spoofing-Versuche können zu Identitätsdiebstahl und unbefugtem Zugriff auf Konten führen.
- Unternehmen, die es versäumen, ihre E-Mail-Domänen zu sichern, müssen mit Geldbußen oder rechtlichen Konsequenzen rechnen, die sich aus verschiedenen Compliance-Regelungen ergeben.
- Gefälschte E-Mails, die auf Zulieferer oder Händler abzielen, können Geschäftsbeziehungen gefährden und zu betrügerischen Transaktionen, Datenschutzverletzungen oder Betriebsunterbrechungen führen.
Was sollte ich tun, wenn meine Domäne gespoofed wird?
Wenn Sie den Verdacht haben, dass Ihre E-Mail-Adresse für einen Spoofing-Angriff verwendet wurde, können Sie die unten aufgeführten bewährten Verfahren für den Umgang mit Domain-Spoofing-Vorfällen befolgen:
- Prüfen Sie DMARC-Berichte auf Spoofing-Versuche
- Verstärken Sie Ihre DMARC-Richtlinie (z. B. von "keine" zu "Quarantäne" oder "Ablehnung")
- Benachrichtigung aller betroffenen Nutzer und internen Teams
- Melden Sie Spoofing-Vorfälle an Ihren E-Mail-Anbieter oder Ihre Sicherheitsteams
- Tools zum Verfolgen und Analysieren von Spoofing-Versuchen verwenden
Best Practices zur Vermeidung von E-Mail-Spoofing
Einige bewährte Praktiken, die Ihnen helfen können, E-Mail-Spoofing zu vermeiden, sind die folgenden:
Sensibilisierung der Mitarbeiter
Die Mitarbeiter spielen eine entscheidende Rolle bei der Verhinderung von E-Mail-Spoofing, da sie oft die erste Verteidigungslinie gegen Angriffe sind. Unternehmen sollten Schulungen zur Erkennung von Phishing-Versuchen, zur Überprüfung der Absenderangaben und zur angemessenen Reaktion auf verdächtige E-Mails anbieten. Wenn die Mitarbeiter wissen, worauf sie achten und wie sie auf Spoofing-Versuche reagieren sollen, kann das Risiko, Opfer eines solchen Angriffs zu werden, erheblich verringert werden.
Pflegen Sie genaue Absenderlisten (SPF Records)
Überprüfen und aktualisieren Sie Ihren SPF-Eintrag regelmäßig, um sicherzustellen, dass er nur aktuell autorisierte IP-Adressen und Drittanbieter aufführt, die in Ihrem Namen E-Mails versenden dürfen. Wenn Sie die Dienste eines Anbieters einstellen, entfernen Sie dessen IP-Adressen umgehend aus Ihrem SPF-Eintrag. Ein veralteter Eintrag könnte es einem kompromittierten System eines ehemaligen Anbieters ermöglichen, gefälschte E-Mails zu versenden, die SPF-Prüfungen für Ihre Domäne bestehen.
Praktische Tipps zur E-Mail-Sicherheit umsetzen
Ermutigen Sie die Benutzer, keine Anhänge von unbekannten Absendern zu öffnen, auf Unstimmigkeiten in den E-Mail-Adressen zu achten und verdächtige Nachrichten zu melden. Diese kleinen, aber effektiven Gewohnheiten können das Risiko von Spoofing-Angriffen minimieren.
Nichtzustellungsberichte (NDRs) deaktivieren
Das Verhindern von NDRs aus Spam- oder gefälschten E-Mails stellt sicher, dass Angreifer kein Feedback erhalten, das zur Verfeinerung ihrer Taktik beitragen könnte. Dieser einfache Schritt kann die Anfälligkeit für zukünftige Spoofing-Versuche verringern.
Tools und Ressourcen zur Bekämpfung von E-Mail-Spoofing
Es gibt mehrere Hilfsmittel, die Sie im Kampf gegen Spoofing einsetzen können. Sie sind:
SPF-Abflachungswerkzeuge
SPF-Einträge können durch zu viele DNS-Abfragen beschädigt werden. Dies kann verhindert werden, indem SPF-Flattening-Tools mit SPF-Makros Optimierungsfunktionen. Während herkömmliche oder dynamische Flattening-Lösungen vorübergehend Abhilfe schaffen können, sind fortschrittliche SPF-Flattening-Tools, die oft SPF-Makros verwenden, effektiver. Einige Tools bieten auch Funktionen wie regelmäßige Überprüfungen zur Überwachung von Änderungen der IP-Adressen bei Ihren E-Mail-Dienstanbietern, damit Ihr SPF-Datensatz korrekt und aktuell bleibt.
DMARC XML-Leser
DMARC-Berichte werden im XML-Format gesendet, das manuell schwer zu interpretieren sein kann. DMARC-XML-Leser parsen diese Berichte in ein einfach zu lesendes Format und geben Aufschluss über fehlgeschlagene Authentifizierungen, nicht autorisierte Absender und Domain-Spoofing-Versuche. Auf diese Weise können Unternehmen ihre E-Mail-Sicherheitslage überwachen und Korrekturmaßnahmen ergreifen.
E-Mail-Sicherheitslösungen von Drittanbietern
Moderne E-Mail-Sicherheitslösungen nutzen fortschrittliche KI-gestützte Bedrohungsdaten, um Angriffsmuster und -trends zu erkennen und vorherzusagen. Diese neueren Technologien können Spoofing-E-Mails verhindern, bevor sie überhaupt in den Posteingang gelangen können! PowerDMARC verwendet zum Beispiel Predictive Threat Intelligence-Analyse um Cyber-Bedrohungen per E-Mail vorherzusagen, bevor sie auftreten.
Letzte Worte
E-Mail-Spoofing ist zwar eine der hartnäckigsten Bedrohungen in der Cyberwelt, doch können Unternehmen die richtigen Tools und Strategien einsetzen, um sich dagegen zu schützen. Durch eine konsequente Überwachung, die Einhaltung bewährter Verfahren zur E-Mail-Authentifizierung und die Investition in Anti-Spoofing-Tools kann ein Großteil des Risikos gemindert werden.
Indem Sie E-Mail-Spoofing verhindern, können Sie Ihre Marke vor großen finanziellen Verlusten und der nächsten großen Datenpanne schützen. Es ist an der Zeit, proaktiv zu werden, indem Sie sich für eine kostenlosen DMARC-Testversionund beginnen Sie damit, Ihre Domains vor Spoofing zu schützen!