Phishingmails Forscher finden 18 Wege, E-Mail-Absender zu fälschen

Prüfmechanismen sollen sicherstellen, dass eine E-Mail wirklich vom angegebenen Absender stammt. Doch Google, Apple, Microsoft, Yahoo und andere haben Kleinigkeiten übersehen. Betrüger nutzen das aus.
Selbst technisch versierte Anwender können in die Irre geführt werden

Selbst technisch versierte Anwender können in die Irre geführt werden

Foto: Jan-Philipp Strobel/ dpa

Kriminelle wissen: Erfolgreiches Phishing per E-Mail erfordert Kenntnisse in Psychologie und Technik. Wer seinem Opfer eine gefährliche Software unterschieben will, muss sie ungefährlich aussehen lassen, für Menschen wie für deren Computer. IT-Sicherheitsexperten in den USA haben nun die technische Seite der Masche untersucht und dabei festgestellt, dass zehn bekannte E-Mail-Anbieter und 19 E-Mail-Programme zwar gewisse Barrieren für solche Täuschungsversuche aufgebaut haben. Doch sie alle waren anfällig für Tricksereien - und manche sind es bis heute.

Genauer: Drei verbreitete Authentifizierungstechniken, mit denen überprüft werden kann, ob eine Mail wirklich vom angezeigten Absender kommt, ließen oder lassen sich überlisten, die Absenderangabe also fälschen.

Auf der IT-Sicherheitskonferenz Black Hat , die normalerweise in Las Vegas, in diesem Jahr jedoch rein virtuell stattfinden wird, stellen Jianjun Chen und Vern Paxson von der University of California in Berkeley sowie Jian Jiang von der Firma Shape Security ihre Erkenntnisse diese Woche im Detail vor.

Informationen in der "Internetkopfzeile"

Ihre Ausgangsfrage lautete: Wie einfach ist es heutzutage, den Absender einer E-Mail so zu fälschen, dass auch die etablierten Techniken, die genau das erkennen sollen, versagen? Die drei Experten haben sich dazu die am weitesten verbreiteten Erweiterungen für das im Internet übliche E-Mail-Protokoll SMTP, nämlich SPF, DKIM und DMARC , genauer angesehen. Diese Erweiterungen sollen den Absender authentifizieren.

Ob das geklappt hat, lässt sich normalerweise im E-Mail-Header erkennen, einer Art erweitertem Adressfeld mit allerhand Metainformationen zum Absender und zum Weg, den die E-Mail genommen hat. In Microsoft Outlook zum Beispiel heißt der Header "Internetkopfzeile" und lässt sich einsehen, indem man eine Mail per Doppelklick öffnet und dann über den Reiter "Datei" die "Eigenschaften" aufruft.

SPF, DKIM und DMARC versuchen, die verschiedenen Einträge im Header beziehungsweise im sogenannten Envelope - den nur der Mailserver zu "sehen" bekommt - zu verifizieren. SPF ist eine Art Zusicherung, dass die sendende IP-Adresse überhaupt berechtigt ist, E-Mails zu versenden. Mit DKIM wird eine E-Mail kryptografisch signiert. Überprüfbar ist beides anhand von Einträgen im Domain Name System (DNS), dem "Telefonbuch des Internets". DMARC ist vereinfacht gesagt eine Möglichkeit, die beiden anderen Verfahren zu kombinieren.

Wenn die drei Überprüfungen beim Empfänger erfolgreich waren, wird im Header einer Mail eingetragen: spf=pass, dkim=pass und dmarc=pass – Test bestanden. Manche Anbieter berücksichtigen das für ihre Spamfilter, aber nicht alle. Schlagen die Tests fehl, landet die fragliche E-Mail deshalb nicht zwingend im Spamordner. Die Informationen im Header sind deshalb auch eine Möglichkeit zur manuellen Überprüfung einer E-Mail, jedenfalls für sehr sicherheitsbewusste Nutzerinnen und Nutzer.

Prüfmechanismen werden in die Irre geführt

Chen, Paxson und Jiang haben aber festgestellt, dass SPF, DKIM und DMARC sich bei den getesteten Anbietern und Clients unterschiedlich verhalten. Manche interpretieren Sonderzeichen in bestimmten Feldern des Headers so, dass sie bei deren Auftreten das ganze Feld ignorieren und stattdessen ein anderes für die Verifikation verwenden. Andere akzeptieren mehrere verschiedene Einträge im sogenannten From-Header, also dem Bereich, in dem der Absender steht. Wieder andere kommen nicht mit Leerzeichen in bestimmten Feldern des Headers zurecht. Der Effekt ist letzten Endes immer ähnlich: Angreifer können ihre Mails so aussehen lassen, als kämen sie von beliebigen legitimen Adressen - die Prüfmechanismen werden in die Irre geführt und schlagen keinen Alarm.

In unterschiedlichem Ausmaß betroffen waren unter anderem die Mailserver von Google, Apple, Microsoft, Yahoo, Protonmail, Tutanota, Mail.ru sowie 19 weiteren, im Preprint des Papers der drei Forscher  namentlich nicht genannten, E-Mail-Clients.

Insgesamt fanden Chen, Paxson und Jiang 18 verschiedene Wege, den Absender einer E-Mail zu fälschen. Paxson fasst es in gegenüber dem SPIEGEL so zusammen: "Unglücklicherweise können sogar technisch versierte, sicherheitsbewusste Nutzer durch diese Attacken hereingelegt werden, wenn sie nicht genau wissen, wonach sie suchen müssen."

Nicht alle 18 Attacken würden bei jedem Opfer funktionieren. In manchen Fällen müssten Angreifer wissen, welches E-Mail-Programm das Opfer benutzt, und einen passenden Angriff auswählen. Aber immerhin acht der zehn betroffenen Anbieter räumten die Schwachstellen ein und haben inzwischen nachgebessert - nur Microsoft und Yahoo nicht.

Als Faustregel für Nutzerinnen und Nutzer könnte man festhalten: Wenn ihnen eine E-Mail schon so verdächtig vorkommt, dass sie den Absender manuell im Header überprüfen, sollten sie erst mal davon ausgehen, dass es ein Phishingversuch ist - und keine in der Mail enthaltenen Links anklicken oder Anhänge öffnen.

Hinweis: Einige der ursprünglichen Angaben im Artikel zu SPF, DKIM und DMARC wurden präzisiert und korrigiert.

Mehr lesen über

Die Wiedergabe wurde unterbrochen.