Wie Phishing-Mails wirklich funktionieren

Spurensuche

Zu lesen sind diese Header in umgekehrter Reihenfolge. An erster Stelle steht meistens der eigene Mail-Server beziehungsweise der Empfangsserver des Mail-Providers. Jeder Server, der die Nachricht vorher weitergeleitet hat, hängt seinen eigenen „Stempel“ an den Header an, beginnend beim Mail-Provider des Absenders, bis hin zum eigenen Maileingang. Jeder mit „Received:“ beginnende Eintrag ist eine Station in der Route einer Mail. In diesen Informationen befindet sich bereits eine Menge an Daten, die sich für das Erkennen einer Phishing-Mail nutzen lassen. So gleichen etwa Mail-Filter die Ursprungsadresse einer Mail mit Echtzeit-Blocklisten ab, in denen solche IP-Adressen gelistet sind, von denen Spam- oder Phishing-Nachrichten gesendet werden. Diese werden laufend gepflegt – und ist ein bestimmter Server hier auffällig geworden, so landet er auf einer Blockliste.

Diese sogenannten „erweiterten E-Mail-Header“ sind allerdings in den meisten Mail-Programmen nicht aktiviert und werden daher nicht angezeigt. Wer sich jedoch dafür interessiert, kann sie in den meisten Programmen nachträglich aktivieren. Entsprechende Anleitungen dazu finden sich im Netz.

Absender und Zeichenverwirrung

Viele Angaben im Header lassen sich auch fälschen, weil sie im Prinzip Freitext beinhalten. Eines der wichtigsten ist der „From:“-Teil. Genau wie man bei einem echten Brief einen beliebigen Absender auf den Umschlag schreiben kann, lässt sich hier ein beliebiger Absender als Name eintragen. Dieser Teil wird dann im Mail-Programm als Absender angezeigt. Hier kann dann entweder „Max Mustermensch“ stehen – oder eben auch „Paypal Kundendienst“. So lässt sich auf eine primitive Art und Weise ein Absender fälschen.

Diese Art der Fälschung ist allerdings relativ leicht zu durchschauen, wenn man den Absender vollständig anzeigt. Hier steht zwar „PayPal Kundendienst“ im Absendernamen, aber die Mailadresse lautet in Wahrheit vielleicht etwas wie [email protected]. An dieser Stelle verbergen sich gleich zwei potenzielle Fallen. Zum einen sieht der vordere Teil der Adresse mit „[email protected]“ legitim aus und könnte als echt durchgehen. Der eigentliche Servername ist jedoch der, der unmittelbar vor dem „.com“-Suffix steht. Hier lauert die erste Falle. Da die Adresse sehr lang ist, wird sie oft nicht vollständig angezeigt. Der eigentliche Servername ist entweder abgeschnitten oder nur durch Scrollen lesbar. Weil viele Menschen ihre Mails jedoch nicht am heimischen Computer lesen, sondern auf einem mobilen Endgerät, fallen solche Fälschungen aufgrund des begrenzten Anzeigeraums nicht direkt auf.

Ein weiterer Trick, der oft zur Anwendung kommt, um Absenderdaten zu fälschen, ist die Nutzung typografischer Tricks – so sehen etwa die Großbuchstaben „I“ (wie „Ida“) und der Kleinbuchstabe „l“ (wie „Ludwig“) sich in vielen Schriftarten sehr ähnlich. Wer nicht genau hinschaut, wird im Absendernamen oder der angezeigten Mailadresse kaum einen Unterschied zwischen „Paypal“ und „PaypaI“ feststellen.

Lesebestätigung wider Willen

Einige Tätergruppen wollen auch wissen, ob ihre Nachrichten tatsächlich von jemandem gelesen werden. Dazu setzen sie sogenannte Trackingpixel ein. Dabei handelt es sich um eine Grafik, die genau einen Pixel groß ist und die beim Öffnen einer Nachricht vom Mail-Programm aus dem Internet nachgeladen wird. Dieser Download wird dann von den Tätern registriert, und so wissen sie, dass eine Mail-Adresse echt ist und genutzt wird. Diese Information wiederum lässt sich nutzen, um den Empfänger der Nachricht weiter unter Druck zu setzen. Etwa durch Folge-E-Mails, in denen Täter auf vorangegangene Nachrichten Bezug nehmen. Das wiederum mutet ein bisschen menschlicher an.

Eine weitere Masche, die in der Vergangenheit bereits zur Anwendung gekommen ist, ist das automatische Anzeigen eines Countdowns. In der entsprechenden Mail drohten Täter mit der Veröffentlichung angeblich erbeuteten kompromittierenden Bildmaterials nach Ablauf des Countdowns, es sei denn, der Empfänger zahlt einen gewissen Geldbetrag. Auch in Verbindung mit einem angeblichen Sonderangebot zu einem derzeit gefragten Artikel lässt sich ein solcher Countdown einsetzen, um etwa einen schwindenden Lagerbestand zu suggerieren. Diese suggerierte Verknappung dient dazu, ahnungslose Opfer auf Webseiten zu locken, wo sie Zahlungsinformationen oder persönliche Daten eingeben sollen, um sich etwa „schnell einen der begehrten Artikel zu sichern“.

„Unternehmen können viel tun, um sicher zu gehen, dass zum einen ihr guter Name nicht von Kriminellen missbraucht wird, und zum anderen, dass niemand ihre Domain in Verbindung mit Phishing bringen kann.“

Tim Berghoff, G DATA CyberDefense

Wehren kann man sich nur schwer gegen die Flut von Mails, die jedem von uns Daten abluchsen sollen. Es gibt jedoch zahlreiche Möglichkeiten, nicht zum Opfer zu werden. Auf der einen Seite behalten natürlich die seit Jahren ausgesprochenen Empfehlungen hinsichtlich gesteigerter Aufmerksamkeit ihre Gültigkeit. Da, wo künstlich psychologischer Druck aufgebaut und zu schnellem Handeln gedrängt wird, sollte man Vorsicht walten lassen. Täter verstehen sich sehr gut darauf, einige menschliche Instinkte für sich zu nutzen – von Neugier bis hin zu Angst und Belohnung. Doch auch auf der technischen Seite gibt es zahlreiche Möglichkeiten, dem Phishing-Strudel zu entkommen.

Technisches Bollwerk gegen Phishing und Co.

Ein Mail-Filter gehört mittlerweile überall zum guten Ton und zur Standardausstattung. Diese lassen sich meist auch detailliert konfigurieren, sodass bestimmte Absender geblockt oder bestimmte Typen von Dateianhängen gelöscht werden. Doch die meisten Ansätze fokussieren sich hier auf Maßnahmen, die vom Anwender umzusetzen sind. Aber auch Unternehmen können viel tun, um sicher zu gehen, dass zum einen ihr guter Name nicht von Kriminellen missbraucht wird, und zum anderen, dass niemand ihre Domain in Verbindung mit Phishing bringen kann. Hierzu kommt das Sender Policy Framework zum Einsatz. Der „SPF-Record“, der Teil des DNS-Eintrages für eine Domain ist, enthält, vereinfacht gesagt, eine Liste derjenigen IPs, die die Erlaubnis haben, im Namen der Absenderdomäne Mails zu versenden. Der Mail-Server des Empfängers überprüft den SPF-Record – und falls die Sender-IP keinen Eintrag besitzt, der das Versenden von Mails im Namen der Domain enthält, muss ein Mail-Server – zumindest, wenn er die entsprechende RFC 7208 konsequent umsetzt - die Nachricht verwerfen (siehe auch E-Mail-Security: Schutz vor Phishing mit SPF, DKIM und DMARC).

So nützlich SPF auch ist – falls ein legitimer und zum Versand im Namen einer Domäne berechtigter Server kompromittiert wurde, können auch illegitime Nachrichten versendet werden. Zudem nutzen einige Tätergruppen auch selbst SPF-Records, um die Zustellung ihrer Nachrichten sicherzustellen. Sender Policy Framework ist also auch kein Allheilmittel. Das SPF wird meist in Verbindung mit einer weiteren Technologie eingesetzt, wie etwa DKIM („Domain Keys Identified Mail“). Hier kommt ein asymmetrisches Kryptoverfahren zum Einsatz. Die Kurzfassung ist, dass der sendende Mail-Server mit Hilfe eines kryptografischen Schlüssels einen Hash der Gesamtnachricht erstellt, der im Header der Mail hinterlegt ist. Der empfangene Mail-Server wiederum ruft den öffentlichen Schlüssel des Absenders ab und berechnet ebenfalls einen Hash aus der Mail. Gibt es eine Übereinstimmung, dann ist damit verifiziert, dass die Mail auch tatsächlich vom angegebenen Server gesendet wurde und auch nicht unterwegs abgefangen und verändert worden ist. Nachteil: Der empfangende Mail-Server muss dafür entsprechend konfiguriert sein.

Eine weitere Möglichkeit ist das Graylisting: Hier hält der empfangende Mail-Server eine Nachricht zunächst in einem Zwischenspeicher und sendet an den Mail-Server, der die Nachricht abgeschickt hat, eine Bitte um erneutes Senden der Nachricht. Hier macht man sich eine weitere Eigenart vieler Spam-Versender (und damit auch Versendern von Phishing-Mails) zunutze: Diese versenden in der Regel einmal die Mail und beantworten diese Anfrage des Empfängerservers nicht. Sendet der ursprüngliche Server die Nachricht erneut, wird der Absender in eine Allow-Liste aufgenommen, sodass künftige Nachrichten von diesem Absender direkt zugestellt werden. Der Nachteil dieser Methode ist, dass die Zustellung einer (legitimen) Nachricht potenziell zeitverzögert erfolgt.

Der Teufel im Detail

Doch die Nachrichten, welche alle Klippen umschifft haben und tatsächlich im Posteingang landen, sind erschreckend überzeugend gemacht. Die Zeiten, in denen Phishing-Mails aufgrund hanebüchener Grammatik- und Rechtschreibfehler zu entlarven waren, sind vorbei. Täter sind mittlerweile sehr versiert darin, das Design anderer (legitimer) Anbieter derart gut zu kopieren, dass sie vom Original kaum noch zu unterscheiden sind. Sie laden die Originalgrafiken (zum Beispiel von Paypal) direkt von der Paypal-Website nach. Auch die Fußzeilen von Phishing-Nachrichten, die meist Dinge wie die Links zu Internetseite und das Impressum sowie Datenschutzrichtlinien enthalten, führen auf die echte Website.

Das setzt sich auch auf den Websites fort, auf die die Adressaten einer Phishing-Mail geführt werden sollen. Selbst ein Blick in den Quellcode verrät hier manchmal erst auf den zweiten Blick, dass eingegebene Daten nicht etwa bei der Bank oder einem Shopping-Portal landen, sondern in den Händen von Kriminellen. Der verräterische Code verbirgt sich oft nur an einer einzigen Stelle, nämlich dem „Absenden“-Button oder der Schaltfläche „Anmeldung“. Zwar sind diese Websites meist nur kurze Zeit online, aber während dieser Zeit landen viele von ihnen bereits auf Blocklisten von Sicherheitsanbietern. So erhalten potenzielle Opfer sofort eine entsprechende Warnung, wenn sie eine solche Webseite öffnen.

Probe aufs Exempel

Einige Dienstleistungsunternehmen bieten Phishing-Simulationen an. Diese können über mehrere Wochen laufen und so die Aufmerksamkeit der Belegschaft in einem Unternehmen testen. So kann im Bedarfsfall mit Hilfe von Schulungen nachgesteuert werden. Das Schwierigkeitslevel ist meist variabel – und selbst Profis sind nicht sicher vor solchen Mails. Ein leitender Angestellter, der sein Fach wirklich versteht, hat dabei beispielsweise auf einen Link in einer (simulierten) Phishing-Mail geklickt und seine Zugangsdaten eingegeben. Das Besondere: Genau wie echte Angreifer es tun würden, kam die Mail an einem Freitagnachmittag an. Zu dieser Zeit lässt die Aufmerksamkeit meist schon merklich nach, denn das Wochenende steht vor der Tür. Zum anderen passte die Ansprache, und auch das Timing. Die Nachricht kam Ende September an, wenn Personalabteilungen einen genauen Blick auf die Resturlaubstage der Angestellten werfen. Die jeweiligen Abteilungsleiter bekommen darauf tatsächlich eine Mail mit entsprechendem Inhalt. Die Fälschung wäre erkennbar gewesen – anhand eines Schreibfehlers in der Betreffzeile. Man könnte meinen, dass das schon ein sehr schmutziger Trick war und vielleicht einer Übung nicht angemessen – aber das schert echte Täter auch nicht.

Im Trüben gephisht

Phishing-Mails bewegen sich in ihrer Qualität auf einem breiten Spektrum. Dieses reicht von „reichlich plump“ bis „extrem ausgeklügelt“. Von der angeblichen Gewinnbenachrichtigung, bei der sich Empfänger mit den Daten aus ihrem Personalausweis „legitimieren“ sollen, bis hin zu wirklich raffinierten Kampagnen, die teils mit Insider-Wissen arbeiten, ist alles dabei. Einen Fehler sollten wir an dieser Stelle jedoch nie machen: Die Täter unterschätzen.

Über den Autor:
Tim Berghoff, Security Evangelist bei G DATA CyberDefense.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.