Verdächtige E-Mails analysieren – so entlarven Sie gefälschte Mails

Wenn Sie eine E-Mail von dubioser Authentizität erhalten, prüfen Sie die Mail sorgfältig – wir erklären worauf Sie achten sollten.

Phishing-Anzeichen springen manchmal direkt ins Auge – die Adresse des Absenders stimmt nicht mit dem angeblichen Unternehmen überein, eindeutige Widersprüchlichkeiten, Benachrichtigungen, die anscheinend von Onlinediensten kommen usw. – aber es nicht immer so einfach eine gefälschte E-Mail auf den ersten Blick zu erkennen. Betrüger können beispielsweise an dem sichtbaren Feld mit der E-Mail-Adresse herumpfuschen, damit es überzeugender aussieht.

Diese Technik wird zwar selten für groß angelegte Phishing-Kampagnen verwendet, dafür ist sie für gezielte Phishing-Angriffe aber umso beliebter. Wenn die E-Mail nicht verdächtig aussieht, Sie aber Zweifel an der Authentizität des Absenders haben, können Sie mithilfe des sogenannten Received-Headers, der Kopfzeile der Mail, der Sache auf den Grund gehen. In diesem Artikel erklären wie Ihnen ausführlich wie das geht.

Gründe, um an der Authentizität einer E-Mail zu zweifeln

Jegliche ungewöhnliche Anfrage ist ein klarer Warnhinweis. Zum Beispiel, eine geschäftliche E-Mail in der Sie gebeten werden etwas zu tun, was nicht zu Ihren üblichen Aufgaben gehört, ist ein deutliches Warnzeichen und erfordert eine genaue Überprüfung. Besonders, wenn die Mail angeblich sehr wichtig ist (eine Anfrage persönlich vom Geschäftsführer) oder wenn etwas dringlich erledigt werden soll (Rechnung muss innerhalb von zwei Stunden bezahlt werden!). All das zählt zu den gewöhnlichen Phishing-Tricks. Sie sollten aber auch auf der Hut sein, wenn Sie um Folgendes gebeten werden:

  • Auf einen Link zu klicken, um auf einer externen Webseite Ihre Zugangs- oder Kontodaten einzugeben.
  • Einen Anhang herunterzuladen und zu öffnen (besonders, wenn es sich um eine ausführbare Datei handelt).
  • Aktionen auszuführen, die mit Geldüberweisungen oder Zugang zu Systemen oder bestimmten Diensten verbunden sind.

E-Mail-Header finden

Leider ist das sichtbare Absenderfeld leicht zu spoofen, d. h. der Name des Absenders kann gefälscht werden, damit er glaubwürdiger erscheint. In der Kopfzeile wird in der Regel die echte Internetadresse (Domain) des Absenders angegeben. Bei allen E-Mail-Clienten ist es möglich den Header einzusehen. Für diesen Artikel werden wir den Vorgang bei Microsoft Outlook erklären, weil er der meistverwendete E-Mail-Client bei modernen Unternehmen ist. Es ist davon auszugehen, dass die Header-Suche bei anderen Mail-Clienten ähnlich ist. Falls Sie einen anderen E-Mail-Dienst verwenden, können Sie sich entweder in den Hilfeinhalten des entsprechenden Clienten schlaumachen oder einfach versuchen die Kopfzeile selbst zu finden.

In Microsoft Outlook:

  1. Doppelklicken Sie auf die E-Mail-Nachricht, die Sie überprüfen möchten, um sie außerhalb des Lesebereichs zu öffnen.
  2. Klicken Sie auf Datei → Eigenschaften.
  3. Kopfzeileninformationen werden im Feld Internetkopfzeilen angezeigt.

Bevor die E-Mail im Posteingang des Empfängers ankommt, wird sie möglicherweise über mehrere Zwischenknoten weitergeleitet. Aus diesem Grund werden Sie in den Kopfzeileninformationen wahrscheinlich mehrmals „Received“ (erhalten) sehen. In der untersten Received-Zeile sind die Informationen über den Originalabsender enthalten. Das sieht in etwa so aus:

Kopfzeile mit Received-Einträgen

Internetadresse in der Kopfzeile überprüfen

Am einfachsten können Sie die Informationen aus der Kopfzeile auf unserem Threat Intelligence Portal überprüfen. Einige Features des Portals sind kostenfrei, d. h. Sie können die Funktionen nutzen, ohne sich zu registrieren.

Zur Überprüfung der Internetadresse, kopieren Sie die Domain, gehen Sie zum Kasperskys Threat Intelligence Portal, klicken Sie auf die Schaltfläche Lookup, fügen Sie die kopierten Daten in das Feld ein und klicken Sie auf den grünen Button Look up. Daraufhin erhalten Sie die verfügbaren Informationen zur Domain, die Absender-Reputation und WHOIS-Infos. (Whois ist ein Protokoll, dass zur Abfrage von Informationen genutzt wird und steht für die Frage „who is“, wobei es sich um die Frage handelt, „wer ist“.) Die Antwort auf Ihre Anfrage im Threat Intelligence Portal sieht in etwa so aus:

Information from Kasperskys Threat Intelligence Portal

In der ersten Linie wird wahrscheinlich „Good“ (gut) oder „Uncategorized“ (noch nicht klassifiziert) angezeigt. Das bedeutet, dass diese Domain in unserem System nicht als eine Internetadresse verzeichnet ist, die bereits für kriminelle Zwecke verwendet wurde. Bei der Vorbereitung eines Angriffes können die Internetverbrecher allerdings eine neue Domain registrieren oder eine legitime, gehackte Domain verwenden, die eine ausgezeichnete Reputation genießt. Überprüfen Sie sorgfältig welches Unternehmen die Domain registriert hat und ob diese Informationen mit den Absenderdaten übereinstimmen. Beispielsweise wird ein Mitarbeiter eines Partnerunternehmens aus der Schweiz bestimmt keine E-Mail über eine unbekannte Domain schicken, die in Malaysia registriert wurde.

Nebenbei bemerkt können Sie unser Portal auch verwenden, um die Links in dubiosen E-Mails zu überprüfen. Außerdem verfügt das Portal auch über die Schaltfläche File Analysis. Hier können Sie E-Mail-Anhänge vor dem Öffnen scannen lassen, wenn Ihnen eine Datei verdächtig vorkommt.

Kasperskys Threat Intelligence Portal bietet eine Menge an nützlichen Funktionen, allerdings stehen die meisten nur registrierten Benutzern zur Verfügung. Unter der Schaltfläche About the Portal finden Sie detaillierte Informationen über den Service.

Schutz vor Phishing und schädlichen E-Mails

Auch wenn es grundsätzlich klug ist verdächtige E-Mails zu überprüfen, ist es noch klüger vorher zu verhindern, dass diese E-Mails überhaupt in den Posteingang gelangen. Aus diesem Grund empfehlen wir in Unternehmen eine Anti-Phishing-Lösungen auf Serverebene zu verwenden.

Zusätzlich sollte auch eine Schutzlösung zur Abwehr von Spam und Phishing auf den Workstations installiert werden, damit Redirects von Phishing-Links sofort blockiert werden, für den Fall, dass sich doch eine gefälschte E-Mail durch geschmuggelt hat und der Betrüger es schafft den Empfänger auszutricksen.

Tipps