Gefälschte E-Mails erkennen

Aktuell wird der gefährliche Trojaner Emotet mittels Office Makros in vermeintlichen Rechnungen weitflächig versendet. Wenn dabei E-Mail Verteiler der IHK-GfI verwendet werden, welche öffentlich erreichbar sein müssen, können E-Mails womöglich so aussehen, als stammten sie von der IHK-GfI. Virenscanner entfernen in der Regel enthaltene Schadsoftware, sind aber für neuartige Varianten so lange blind, wie die Erkennungsmechaniken nicht auf deren Erkennung angepasst wurde. 

Sie haben eine E-Mail an Empfänger und Empfängerinnen in unserem Netzwerk geschickt, welche aber auf Grund der SPF Überprüfung abgelehnt wurde. Das heißt, dass Sie für Ihre Domain einen entsprechenden SPF Eintrag für autorisierte Versender und Versenderinnen von E-Mails gesetzt haben. Die abgelehnte E-Mail kam jedoch von einem System, welches dort nicht berücksichtigt wurde. Bitte wenden Sie sich an Ihren Domain-Administrator, um Ihren SPF-Record entsprechend zu aktualisieren. 

Eine angebliche Hacking Gruppe versendete um den 18.08.2017 herum E-Mails mit der auf den Namen der IHK-GfI registrierten Absender- und Absenderinnenadresse info@comnetmedia.de an Unternehmen mit der Androhung eines Hacking Angriffs auf ihre Webseite. Zu dessen Vermeidung sollte ein Betrag in Bitcoins gezahlt werden. Wir erhielten die Information durch einzelne Bounce E-Mails, also Nichtzustellbarkeitsnachrichten, die aufgrund des gefälschten Absender und Absenderinnen an unsere E-Mail Adresse zurückgesendet wurden.

E-Mail Absender- und Absenderinnenadressen sind wie die Absender- und Absenderinnenadressen auf Briefen. De*die Verfasser*in wählt selbst, welche Absender- und Absenderinnenadresse er versendet. Eine Prüfung findet nicht statt. Daher kann jeder*e Briefe wie auch E-Mails im Namen beliebiger Personen versenden. In der Regel sorgen die E-Mail Server der Absender und Absenderinnen dafür, dass nur im Unternehmen vorhandene E-Mail Adressen als Absender*innen verwendet werden können. Der*die Empfänger*in kann die Korrektheit der Absender*innen jedoch in der Regel nicht überprüfen.

Gefälschte E-Mail Adressen werden entweder eingesetzt, um anonym zu bleiben oder einen seriösen Eindruck zu erwecken. Droh-E-Mails sind meistens offensichtlich nicht von legitimen Besitzer und Besitzerinnen der E-Mail Adresse verfasst worden. Sie missbrauchen seriöse E-Mail Adressen lediglich zur Umgehung von Spam-Filtern für eine zuverlässigere Zustellung. Betrügerische E-Mails versuchen mit den gefälschten Adressen hingegen den Eindruck zu erwecken, relevante Informationen der vermeintlichen Absender und Absenderinnen zu enthalten. Sie enthalten in der Regel die Aufforderung, Informationen preiszugeben, Rechnungskonten zu ändern, Überweisungen zu veranlassen, E-Mail Anhänge oder Web-Links zu öffnen (welche Schadsoftware installieren) oder andere Aktionen zu veranlassen, die Betrüger und Betrügerinnen nutzen.

Manche E-Mails stammen offensichtlich nicht von behaupteten Absender und Absenderinnen, da in ihnen kein Bezug zu Inhaber und Inhaberinnen der E-Mail Adresse oder dem Unternehmen genommen wird. Betrügerische E-Mails mit gefälschter Identität folgen jedoch oft einem einfachen Muster. Sie versuchen zunächst Vertrauen aufzubauen ("Hallo, wir kennen uns doch..."). Dabei werden oft öffentlich verfügbare Informationen aus sozialen Medien verwendet, um die Behauptung zu unterstützen. In der Folge werden dann wahlweise interne Informationen angefragt, Angebote oder Rechnungen übermittelt (oft mit Schadsoftware versehen) oder zum Besuch einer Webseite aufgefordert, von der entweder Schadsoftware ausgeliefert oder ein Passwort abgefragt wird.