Phishing Mail - Wie faken die eine Domain?

  • Ersteller Ersteller Klonky
  • Erstellt am Erstellt am
K

Klonky

Gast
Servus,

Man bekommt manchmal ja die ein oder andere Phishing Mail oder hört davon, oft sind diese aber sehr schlecht gefakt. Aber manche sind wirklich gut gemacht worden. Also dort hat jemand sich extrem Mühe gegeben, die Leute reinzulegen.

Was mich schon seit einige Zeit interessiert:

Wie schaffen die es, eine Mailadresse zu faken? Also als Beispiel:

Postbank hat mir eine Mail geschickt (Ich bin nicht mal bei der Postbank..) vom Absender "sicherheitsteam@postbank.de". Postbank.de ist die offizielle Mail. Auf der Seite von der Postbank wird sogar geworden, man soll Betrugsmissbrauch an "Missbrauch@Postbank.de" schicken.

Die Mail scheint auch nicht verfälscht zu sein, also mit einem schreibfehler oder anderem Dingen. Häufig sind dort alle möglichen anderen Schreibweisen drin, wie Postbank24.de etc. Aber wie schaffen die es, die Domaine gleich zu halten?

Bei Phishing Mails von Blizzard war das auch oft der Fall. Da kamen Mails von Check@Blizzard.com.

Jemand direkt zur Hand, wie man die Absendeadresse faken kann?
 
Schon mal in den AGBs deines Inet-Providers gelesen ? Da ist SPAM verschicken nicht erlaubt ^^ zumindest so lange bis die das merken.
 
In dem die der mail nen zweiten Header verpassen. SMTP prüft die Absenderadresse nicht.
 
@emeraldmine,

Ich möchte nichts verschicken, es geht mir mehr um die Information, wie es überhaupt funktioniert.

@Oemmes

Danke für die Antwort! Ist das so einfach möglich? Oft wird gesagt, man soll auf den Absender achten, und wenn man so einfach ein anderen Absender vortäuschen kann...
 
Wer sagt denn dass man auf den Absender achten soll? :confused_alt:
Besser wäre es wohl, auf eine persönliche Anrede mit korrektem Namen zu achten und vor allem: Keinesfalls auf irgendwelche Links in Mails zu klicken oder Anhänge öffnen wenn man nicht zu 100% sicher ist was den Ursprung der Mail angeht.
 
Ich meine mehr, ich lese öfters von Bekannten, dass sie Mails von ihrer Bank bekommen haben und die Mail eben auch "echt" aussieht. Da sehe ich das Problem an der Sache. Mir war nicht bewusst, dass es so einfach über den SMTP Frame geht... Dachte dort wäre wenigstens eine Absicherung im Protokol...
 
Bei Mails gibts praktisch keine Absicherung in irgendeiner Weise. Das einzige was gesichert wird, sind die IP-Anschlüsse von denen Mails versendet werden. Die brauchen bestimmte Voraussetzungen die ein normaler DSL-Anschluss nicht erfüllt. Hat man hingegen einen korrekt konfigurierten Anschluss, kann man versenden was und in welchem Namen man auch immer will.
Das einzige was dagegen hilft sind S/MIME oder PGP, was ja leider selbst von Banken und Co. nur spärlich verwendet wird.
 
Jepp, eine E-Mail ist in etwa so abgesichert wie eine Postkarte. Willst eine vom russischen Präsidenten geschickt bekommen? ;-)

So wie auf einer Postkarte der Poststempel das einzig zuzverlässige ist, so ist es in der E-Mail der letzte Empfangs-Header, da er von deinem Mailserver erzeugt wird.
 
Im gleichen Zuge... Wieso dann, wenn es so einfach ist, eine Mailadresse zu faken, benutzen manche Absender dann so Leienhaft @Postbank24.Ru, wenn man dort Postbank.de benutzen kann?

Ich meine, da man relativ selten eine Postbank.de sieht, dachte ich, wäre es komplexer, diese Adresse zu fälschen... Aber so wie ihr das beschreibt ist es doch deutlich banaler, soetwas zu tuen.
 
Jein, es gibt mittlerweile ein Verfahren dass das ganze sicherer machen soll, aber ist ist noch nicht überall voll im Einsatz und hat auch ein paar Nachteile: SPF

Damit kann der Betreiber einer Domain festlegen welche Mailserver für die eigene Domain verantwortlich sind, kommt die Mail von einem anderen Server darf sie verworfen werden. Postkartenvergleich: ich lege für mich fest das ich meine Postkarten immer im Postamt Hintertupfing abgebe, sollte der Poststempel mal etwas anderes aufzeigen darfst du die Karte ungesehens wegwerfen, sie ist dann nicht von mir (wird halt im Urlaub problematisch ;-)

Ansonsten kann es auch sein das sich manche Spammer einfach nicht drum kümmern weil es immer noch genug Leute gibt die überhaupt nicht nachdenken bei solchen mails und selbst dann auch drauf klicken wenn sie von evilhacker@ hell.example kommt...
 
Du kannst im Mail Header jede X Beliebige Adresse angeben.
From: kann also xyz@valide_Domain.de sein
Reply To: Ist dann z.B. die Phishing Domain.

Warum das geht? Naja, kann ja sein dass du für den Support eine bestimmte Adresse verwenden möchtest. Das macht also schon Sinn. Auch legal.
Ein Link im Text? Ist doch meist html und da ists ja noch simpler: <a href="böse Adresse die man nicht sieht">gute Adresse die man sieht</a>
 
Ja mir war nicht bewusst, dass dieses Faken über Adresse so einfach möglich ist. Ich sitze in der Mail SMTP Thematik nicht wirklich drin. Dachte aus dem Irrglauben immer, die Mail von Domain X muss auch vom Mailserver X verschickt werden und die arbeiten mit Man in The Middle Attacken dort. Aber wenn das wirklich so simple aufgebaut ist, sei es drum.
 
Nö. Wie gaunt schon sagte, es macht sogar viel Sinn, dass man Mails als "jemand anderes" verschicken kann. Eines unserer Shopsysteme authentifiziert sich z.B. für Rechnungen etc. mit User@Firmendomain am SMTP, versendet aber die Rechnungen etc. als sales@ShopDomain und die Newsletter als newsletter@ShopDomain. Dahinter liegt aber nur ein einziger SMTP-Auth mit ner völlig anderen Domain.
Auf die Weise könnte ich z.B. den deutschen Newsletter als newsletter[at]shopdomain.de verschicken, den englischen als newsletter[at]shopdomain.com.

Mail Spoofing ist so einfach, das kannst du direkt auf Telnet-Ebene in der Konsole selbst machen, in Echtzeit.
 
Zurück
Oben