So funktioniert E-Mail-Spoofing
Eine E-Mail kann in zwei Hauptabschnitte unterteilt werden: die Kopfzeilen und den Text. Der Zweck der Header besteht darin, Metadaten und die Informationen bereitzustellen, die erforderlich sind, um die E-Mail an ihr Ziel weiterzuleiten. Der Text der E-Mail ist die eigentliche Nachricht, die übermittelt wird.
Das Simple Mail Transfer Protocol (SMTP) definiert die Struktur von E-Mails und die Art und Weise, wie Computer per E-Mail kommunizieren. Bei der Entwicklung von SMTP hatte die Sicherheit keine Priorität, und das Protokoll wurde so konzipiert, dass die Authentizität von E-Mail-Headern nicht überprüft werden konnte.
E-Mail-Spoofing macht sich dies zunutze, indem es den Wert des FROM-Headers ändert, der die E-Mail-Adresse des Absenders enthalten sollte. Dieser Wert wird nur verwendet, um den Empfänger über die Identität des Absenders zu informieren, sodass eine Änderung nicht dazu führt, dass die E-Mail fehlschlägt.
Allerdings kann die FROM-Adresse verwendet werden, um Antworten auf eine E-Mail weiterzuleiten, was bei manchen Phishing-Kampagnen ein Problem darstellen könnte. Der SMTP-Standard enthält jedoch auch einen REPLY-TO-Header, in dem der Absender angeben kann, dass Antworten auf eine E-Mail an eine andere Adresse gesendet werden sollen. Dieses Feld wird häufig in Marketing-E-Mail-Blasts verwendet, kann aber auch von einem Phisher verwendet werden, um Antworten auf Phishing-E-Mails zu erhalten, bei denen er die Adresse gefälscht hat.
So erkennen Sie eine gefälschte E-Mail
Gefälschte E-Mails sind Teil von Phishing Kampagnen, die darauf abzielen, den Empfänger dazu zu verleiten, eine Aktion auszuführen, die dem Angreifer hilft. Wenn eine E-Mail einen eingebetteten Link zum Anklicken oder einen Anhang enthält oder eine andere Aktion anfordert, ist es ratsam, sie auf Spoofing zu überprüfen.
In einigen Fällen kann der Angreifer eine echte, ähnlich aussehende Adresse verwenden, z. B. cornpany.com durch company.com ersetzen. In anderen Fällen kann der Wert des FROM-Headers durch eine legitime Adresse ersetzt werden, die nicht unter der Kontrolle des Absenders steht.
Während der erste Fall in der Regel durch einen sorgfältigen Blick auf die E-Mail-Adresse des Absenders erkannt werden kann, erfordert der zweite Fall möglicherweise mehr Nachforschungen. Gefälschte FROM-Adressen können anhand folgender Kriterien identifiziert werden:
- Zusammenhang: Phishing-E-Mails sollen legitim aussehen, aber sie sind möglicherweise nicht immer erfolgreich. Wenn eine E-Mail nicht so klingt, als käme sie vom angeblichen Absender, handelt es sich möglicherweise um eine gefälschte Phishing-E-Mail.
- Antwort auf: Mit einer Antwortadresse können Antworten auf eine E-Mail von einer Adresse an eine andere Adresse weitergeleitet werden. Dies hat zwar legitime Verwendungszwecke (z. B. Massen-E-Mail-Kampagnen), ist jedoch ungewöhnlich und sollte bei E-Mails, die von einem persönlichen Konto stammen, Anlass zum Misstrauen geben.
Eingegangen: Der RECEIVED-Header in einer E-Mail gibt die IP-Adressen und Domänennamen der Computer und E-Mail-Server entlang des Pfads an, den die E-Mail durchlaufen hat. Eine E-Mail von und an E-Mail-Adressen innerhalb desselben Unternehmens sollte nur über den E-Mail-Server des Unternehmens geleitet werden.
So schützen Sie sich vor E-Mail-Spoofing
Die Zunahme von Spear-Phishing-E-Mails macht die Phishing-Prävention zu einem zentralen Bestandteil eines Unternehmens E-Mail-Sicherheit Strategie. Einige wichtige Best Practices für Schutz vor Phishing-Angriffen enthalten:
- Externe E-Mails kennzeichnen: Gefälschte E-Mails geben oft vor, von internen Adressen zu stammen, stammen aber von außerhalb des Unternehmens. Das Hinzufügen eines Warnbanners zu allen externen E-Mails hilft Empfängern, versuchte E-Mail-Spoofing-Angriffe zu erkennen.
- Aktivieren Sie den E-Mail-Schutz: E-Mail-Schutzmaßnahmen wie DMARC und SPF fügen E-Mails Authentifizierungsinformationen hinzu. Dies erschwert es einem Angreifer, gefälschte E-Mails von den Domänen eines Unternehmens aus zu versenden.
- E-Mail-Adresse überprüfen: Phisher verwenden häufig ähnliche Adressen, um ihre E-Mails legitimer aussehen zu lassen. Vergewissern Sie sich, dass die Adresse eines E-Mail-Absenders korrekt ist, bevor Sie ihm vertrauen.
- Überprüfen Sie die E-Mail-Header: Beim Spoofing werden die SMTP-Header in E-Mails geändert. Wenn eine E-Mail verdächtig aussieht, überprüfen Sie die Kopfzeilen auf Inkonsistenzen.
E-Mail-Spoofing-Schutz mit Check Point
Gefälschte E-Mails sollen täuschen, was bedeutet, dass Mitarbeiter möglicherweise Schwierigkeiten haben, raffinierte Phishing-Angriffe zu erkennen. Ein einziger Klick auf einen schädlichen Link oder das Öffnen eines mit Malware beladenen Anhangs kann dem Unternehmen erheblichen Schaden zufügen. Phishing-E-Mails sind eine der Hauptursachen für Datenschutzverletzungen und einer der häufigsten Verbreitungsmechanismen für Ransomware und andere Malware.
Aus diesem Grund sollte die Cybersicherheitsschulung von Unternehmen zur Erkennung von Phishing-E-Mails durch eine umfassende Schulung ergänzt werden Anti-Phishing-Lösung. Check Point hat sich zusammen mit Avanan entwickelt Harmony email and collaboration , das umfassenden Schutz vor Phishing-Betrug bietet. Wenn Sie mehr über Harmony Email and Collaboration erfahren möchten und erfahren möchten, wie es dabei helfen kann, die Bedrohung durch gefälschte Phishing-E-Mails für Ihr Unternehmen einzudämmen, sind Sie herzlich willkommen Melden Sie sich für eine kostenlose Demo an.
Feedback