Dilettantisch gemachte Phishing-Emails lassen sich recht leicht auf den ersten Blick erkennen. Doch manche Mails sind so raffiniert gemacht, dass selbst ein von Natur aus skeptischer Mensch darauf hinein fallen könnte. Wenn man sich nicht sicher ist, kann man in den (zu Deutsch) Kopfzeilen der Email nachschauen:
Um an den Roh-Text der Email und somit auch an die sog. Header zu kommen gibt es verschiedenen Möglichkeiten. Zum einen unterscheiden sich die verschiedenen Mail-Programme hier teils gravierend, zum anderen hat man jedoch immer die Möglichkeit eine Mail im eml Format auf einem Datenträger zu speichern und diese Datei mit einem Text-Editor zu öffnen. (Text-Editor !!!! Für die Windows-Nutzer: Notepad oder Notepad++)
In Thunderbird hat man bei einer geöffneten Email rechts oben ein Dropdown-Menü “Mehr” und dort den Menüpunkt “Quelltext anzeigen”
Mobil unter Android in K9-Mail z.B. gibt es in einer geöffneten Mail im Menü rechts (drei Punkte übereinander) den Eintrag “Kopfzeilen anzeigen”.
In Outlook kann man – glaube ich – nach wie vor mit der rechten Maustaste auf eine Mail klicken und findet einen entsprechenden Eintrag im Kontext-Menü.
Spulen wir schnell nochmal zurück!
Ich habe gerade eine Email vor mir, die angeblich von der Sparkasse stammt.
Sie weist schon auf den ersten Blick alle Merkmale einer Phishing-Mail auf:
- Lesbare Absenderadresse: “sparkasse@sicherekundeninfo.de”. Das riecht schon nach Fake und ist genauso toll wie “sparkasse@gmx.de” (oder irgendeinem andere Freemail-Anbieter)
- Der Text der Mail weist einige Rechtschreibfehler auf
- In diesem Fall geht es um eine angebliche Systemaktualisierung, für die man sich einloggen müsse. Wenn man mit der Maus über den Login-Link fährt, sieht man schon auf 100km Entfernung: Dieser Link führt in keinem Fall zu meiner Sparkasse! Seit mehreren Jahren weisen die Sparkassen darauf hin, dass sie keine Links zu ihren Login-Seiten in Emails verschicken. Was per Mail kommt ist z.B. ein Hinweis, man möge sich im Kunden-Portal einloggen, weil eine Nachricht vorhanden ist. ABER niemals mit irgendeinem Link!
- In meinem Fall auch noch mehrfach versendet an “info@VerschiedeneMeinerDomains.de”
Diese Email-Adresse verwende ich nicht, alles was mit diesem Empfänger versehen ist, kann erstmal sehr kritisch beäugt werden.
Daher rate ich Gewerbetreibenden, nie die info@xxxxx für den regulären Geschäftsbetrieb zu verwenden. Den Sinn und Zweck einer info@xyz zu diskutieren würde den Rahmen sprengen, aber denkt mal darüber nach. Für Verwender*innen eines Mail-Account bei einem “normalen” Provider fällt dieses Identifizierungs-Merkmal leider flach 🙁
….. OK, weiter mit den Kopfzeilen (Header)
Die verschiedenen Stationen (z.B. der Eigene Server) stehen im Quelltext in umgekehrter Reihenfolge, also muss man zuerst die Stelle finden, welcher Server mit unserem – oder dem unseres Providers – Kontakt aufgenommen hat. In der Regel ist dies der vorletzte Eintrag in der (möglicherweise) langen Liste. Als letztes kommt (vereinfacht ausgedrückt) normalerweise der Computer von dem aus die Email abgesendet wurde.
In meinem Fall muss also der empfangende Server “byteride.com” heißen.
Wir suchen also nach einer Zeile die folgendes enthält:
Received: from IrgendEinFremderServer (DessenHostname [DessenIPAdresse]) by byteride.com
In unserem Beispiel ist der fremde Server (Host) “xvfrkvqf.outbound-mail.sendgrid.net”, die angebliche Absender-Adresse lautet jedoch: “sparkasse@sicherekundeninfo.de”.
Es kann zwar durchaus vorkommen, dass die Email-Adresse nicht mit dem Host übereinstimmt, alles läuft technisch mit “sendgrid.net” und nicht mit “sicherekundeninfo.de”, daher gibt es auch kaum Möglichkeiten für unseren Server, schon den Verbindungsversuch der Gegenstelle zu unterbinden. Sie SPF, DMARC und DKIM Einträge passen alle zur Gegenstelle, somit greifen diese Mechanismen nicht wirklich, weil:
Viele meinen es sei leicht solch etwas simples wie einen Mail-Server so zu Administrieren, dass es passt. (Ich bilde hier bestimmt keine Ausnahme, mir unterlaufen auch Flücktigkeits-Fehler, die sich aber recht leicht finden lassen 😉 )
In der Praxis kann demanch ein Admin die Regeln für den Empfang lediglich relativ “lasch” einstellen! Denn selbst bei mittleren bis großen Unternehmen sind manchmal auf der sendenden Seite Fehler in den Konfigurationen vorhanden, die es – bei strikter Anwendung aller grundlegenden Sicherheitsmechanismen für SMTP – unmöglich machen würden eine Email von denen zu empfangen. Also muss man die Zügel leider etwas lockern, wenn man dem Postboten auch ermöglichen möchte einen Brief einzuwerfen. Ansonsten gibt es vielleicht einen Anruf von der Post: “Wir konnten einen Brief nicht zustellen, weil Ihr Briefkasten zu geklebt ist” 😉
Nun, ein paar Stellen im Quelltext verraten uns, dass hier wahrscheinlich etwas nicht stimmt.
Unter anderem steht dort:
dmarc=none (p=NONE sp=NONE) smtp.from=sendgrid.net header.from=sicherekundeninfo.de; dkim=fail header.d=sendgrid.net;
Würde man seinem eigenen Server befehlen, Mails von Servern abzuweisen, bei denen die Überprüfung der DKIM-Signatur fehlschlägt, würde eine solche Mail erst gar nicht in unserem Posteingang landen, aber dann kommt auch die eine oder andere Mail, die wir haben wollen, nicht mehr durch.
Fazit:
Warum sollte unsere Spardose eine Absenderadresse “sparkasse@sicherekundeninfo.de” verwenden und nicht die Domain, unter der auch die echte Homepage unserer Spardose erreichbar ist ?!?! —> sehr dubios!!
Warum passt der Server nicht zu “sicherekundeninfo.de”?
Wenn die DKIM-Signatur im DNS passen würde, hätten wir kein “dkim=fail” gehabt. —> auch sehr dubios!
Zusatz-Info:
In der lesbaren HTML-Email steht auch noch schön unten drunter:
2021-Sparkassen Finanzportal GmbH
Im Quelltext finden wir dann diese Passage im reinen (Plain-)Text-Teil der Email wieder, garniert mit ein paar versteckten Zeichen, damit eine einfach Text-Suche zum Blockieren z.B. der Zeichenfolge “Sparkassen Finanzportal GmbH” ins leere läuft.
Wir finden dann diesen Mist hier:
2021- S dir was auf deine p a r k a s s e n F i n a n z p o r t a l GmbH