Navigation und Service


Gefährliche Kuckuckseier: E-Mails mit falschem Absender

Wer über E-Mails Viren und Würmer verbreiten will, versteckt sich gerne hinter seriös wirkenden Absenderadressen. Die Empfänger vertrauen solchen Absendern, öffnen die Nachrichten und infizieren dadurch ungewollt ihre PCs. Adressen von persönlich Bekannten des Empfängers werden dabei ebenso missbraucht wie die von anerkannten öffentlichen Einrichtungen oder Großunternehmen.

Kein Flash-Plugin vorhanden

Aber auch Versender von Werbemails (Spammer) verschleiern ihre Identität, und zwar aus zwei Gründen: Einerseits ist das Versenden von Spams in Deutschland ungesetzlich. Daher bleiben die Urheber lieber anonym. Andererseits rechnen auch Spammer damit, dass Nachrichten von seriösen oder persönlich bekannten Absendern mit größerer Wahrscheinlichkeit geöffnet werden. Möglicherweise werden Sie auch schon einmal Rückmeldungen auf Nachrichten erhalten haben, die Sie nie geschrieben haben. Dann wurde vielleicht Ihre eigene Adresse missbraucht. Dagegen können Sie praktisch nichts unternehmen. Die Betrüger verwischen Ihre Spuren nämlich im Regelfall so gründlich, dass eine Nachverfolgung nicht möglich ist. Die beste Reaktion: Die Mails ignorieren und löschen.
Gefälschte Absenderadressen sind übrigens auch eine Basis für die Praktiken der Phisher.

Hinweis: Gefälschte E-Mail mit offiziellen Absendern in Umlauf

Mit einer hinterhältigen Masche versuchen Cyber-Kriminelle immer wieder Schädlinge auf fremde Rechner zu schmuggeln. Sie verschicken E-Mails mit einem gefälschten Absender, die angeblich vom Bundeskriminalamt (BKA), vom Landeskriminalamt Rheinland-Pfalz oder sonstigen offiziellen Stellen stammen sollen. Der Inhalt der E-Mails mit Betreffzeilen wie z. B. "Onlinedurchsuchung", "Aktenzeichen" oder "Bericht" besagt, dass gegen den Empfänger Strafanzeige gestellt werde, da sein PC von einem Trojaner durchsucht und illegale Software, Filme und Musikdateien auf dem Computer des Empfängers sichergestellt worden seien.
Im Anhang der E-Mail befindet sich eine Datei, die angeblich Details zum Ermittlungsverfahren enthält und vom Empfänger geöffnet werden soll. Geschieht dies, installiert sich ein Schädling auf dem Rechner. Auch wenn die E-Mail vermeintlich echt aussieht: Absenderadressen von E-Mails können relativ leicht gefälscht werden und Empfänger sollten sich daher nicht verunsichern lassen. Offizielle Stellen informieren vermeintliche Straftäter zudem nicht per E-Mail über Ermittlungsverfahren. Empfänger derartiger E-Mails sollten keinesfalls den Anhang öffnen. Das BSI rät weiter, die E-Mails umgehend zu löschen und zeitnah die Update-Funktion der Virenschutz-Software zu nutzen. Die E-Mails sollten nicht weitergeleitet werden – auch nicht an Polizeibehörden.

Gefälschte E-Mail-Absenderadressen – die technische Basis

  • Findige Würmer
    Computer-Würmer verbreiten sich, indem sie E-Mail-Adressen missbrauchen. Einerseits versenden sie sich selbst an jede Adresse weiter, die sie in Adress-Verzeichnissen auf einem infizierten PC entdecken. Andererseits benutzen sie auch gefälschte Absenderadressen. Manche Würmer verwenden immer die gleiche Adresse, andere kombinieren manchmal auch aus Teilen bestehender Adressen völlig neue Absender. Die Adressen finden sie in Adressbüchern oder –listen auf den infizierten PCs. Manche Würmer durchforsten aber auch alle möglichen Dateien (u. a. Text-Dateien und HTML-Dateien) auf dem PC des Nutzers. Die meisten Internetbrowser sind nämlich so eingestellt, dass sie besuchte Websites für eine gewisse Zeit im Cache abspeichern. Aus diesen HTML-Seiten lassen sich ebenfalls die darin enthaltenen E-Mail-Adressen herausfinden.
  • Fehlerhafte E-Mail-Server als Brückenköpfe
    Um ihre wahre Identität zu verschleiern, greifen Betrüger E-Mail-Server an, die E-Mails jeder beliebigen Adresse weiterleiten. Aufgrund dieser fehlerhaften Einstellung werden diese E-Mail-Server auch Open Relay Server (ORS) (ORS) genannt. Üblicherweise werden von E-Mail-Servern ja nur E-Mails eines bestimmten Adressbereichs empfangen und versendet. Ein ORS ist jedoch so offen eingerichtet, dass auch E-Mails, die nicht aus diesem Adressbereich kommen – also gefälscht sind – weitergeleitet werden.

Seitenblicke:

  • Neue Technologie zur Klärung von E-Mail-Absendern
    Auch die Provider sind im Kampf gegen den Missbrauch von E-Mail-Adressen nicht untätig: Das neue Schlagwort heißt Sender ID. Dahinter verbirgt sich eine Technologie, die den Absender einer E-Mail einwandfrei definiert. Einer der wesentlichen technischen Grundlagen dafür ist das "Sender Permitted From" Verfahren (kurz SPF), an dem die Branchenriesen AOL und Yahoo intensiv arbeiten. Provider versehen die bei ihnen registrierten Internetadressen mit zusätzlichen Erkennungsmerkmalen. Fehlt einer E-Mail-Nachricht dieses Etikett, so handelt es sich um eine Fälschung.
  • E-Mail-Header: Der Weg zum Absender
    Beim Fälschen einer E-Mail-Absenderadresse wird der E-Mail-Header (den Kopfzeilen einer Nachricht) manipuliert. Dieser enthält unter anderem Informationen rund um den Zustellungsweg der E-Mail. Den Header findet man im Programm Outlook im Menü Ansicht unter Optionen. Wer Netscape verwendet, kann im Menüpunkt Anzeigen den Punkt Kopfzeilen so einstellen, dass Alles – also auch der Header – angezeigt wird. In den mit Received From bezeichneten Zeilen können Sie den Weg der Mail verfolgen, der Versender findet sich in der letzten Received From-Zeile. Der Absender kann allerdings nicht direkt ermittelt werden, sondern nur über die angegebene IP-Adresse. Die Ermittlung, wer sich hinter einer bestimmten IP-Adresse zu einem bestimmten Zeitpunkt verborgen hat, ist sehr aufwändig und nur von Fachleuten möglich.
  • Digitale Signaturen
    Obwohl Programme dafür schon lange verfügbar sind, wird die Versiegelung von E-Mails gegen Veränderung und Überprüfung des Absenders durch so genannte digitale Signaturen bisher nur von wenigen Nutzern eingesetzt. Mit Hilfe des öffentlichen Signaturschlüssels kann jederzeit festgestellt werden, wer der Urheber der Daten ist und ob die Daten während der Übermittlung verfälscht wurden.

Diese Seite:

© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved