Zustellbarkeit
E-Mail-Spoofing: Wie Markenimitation wirklich funktioniert
E-Mail-Spoofing ist alles andere als harmlos. Erfahren Sie, wie Betrüger es schaffen, sich im Posteingang als Ihr Unternehmen auszugeben. Lesen Sie, wie Sie sich vor Spoofing-Angriffen schützen können.
Imitationen von Prominenten sind urkomisch. Wer schmunzelt nicht über Elvis in der U-Bahn? Doch wenn Betrüger sich mit E-Mail-Spoofing als Ihr Unternehmen ausgeben, bleibt einem das Lachen im Halse stecken.
E-Mail-Nachrichten sind eine persönliche und vertrauenswürdige Kommunikationsquelle - auch Cyberkriminelle wählen diese bevorzugt aus. Es wird geschätzt, dass 91 % der Cyberangriffe mit E-Mail-Phishing beginnen. Die weltweite Cyberkriminalität hat im vergangenen Jahr Kosten in Höhe von 6,9 Mrd. US-Dollar verursacht.
Auch in Deutschland gehen hohe Beträge verloren. 2023 kosteten Datenlecks deutsche Unternehmen rund 4,3 Millionen Euro. Zum Glück gibt es Maßnahmen, die Ihr Unternehmen ergreifen kann, um die Menschen vor diesen Kriminellen zu schützen.
Niemand weiß so gut wie das Team von Sinch Email, das die Plattformen Mailgun und Sinch Mailjet schützt, wie diese Verbrechen aufgehalten werden können. Mailgun hat einen Leitfaden für E-Mail-Sicherheit und Compliance veröffentlicht, der Versendern helfen soll, sich gegen Herausforderungen wie E-Mail-Spoofing zu wappnen.
Leider wird nicht jeder Spoof-Versuch und durch den Spam-Filter aussortiert. Deshalb haben wir einige Erkenntnisse aus unserem Leitfaden für Sie zusammengefasst, damit Sie lernen, wie Sie Phishing-Versuche und E-Mail-Spoofing erkennen. Denken Sie immer daran, dass Ihre persönlichen Informationen kostbar sind.
Inhaltsverzeichnis
Wie E-Mail-Spoofing funktioniert
1. Verwenden Sie eine starke E-Mail-Authentifizierung
2. Schützen und aktualisieren Sie SMTP-Zugangsdaten und API-Schlüssel
3. Nutzen Sie Multifaktor-Authentifizierung
4. Informieren Sie Mitarbeiter und Abonnenten über die Risiken
Anatomie eines E-Mail-Spoofing-Betrugs
Haben Sie sich schon mal gefragt, wie E-Mail-Spoofing eigentlich funktioniert und welche Taktiken verwendet werden? Wie genau Betrüger gehen Betrüger vor, um den Posteingang von Unternehmen zu missbrauchen? Wir haben eine Übersicht mit allen wichtigen Infos für Sie zusammengestellt:
Was
Unter Spoofing versteht man, dass Betrüger das Aussehen Ihrer E-Mails imitieren und sich als Ihr Unternehmen ausgeben, um Ihre Abonnenten zu täuschen.
Warum
Indem sie vertrauenswürdig erscheinen, wollen Kriminelle die E-Mail-Empfänger dazu bringen, sensible und persönliche Daten wie finanzrelevante Informationen oder Passwörter zu übermitteln.
Wie
Schritt 1: Sie finden ein Unternehmen mit hohem Wiedererkennungswert, das anfällig für Spoofing ist.
Schritt 2: Sie suchen nach ungeschützten API-Schlüsseln oder knacken Passwörter von einfachen E-Mail-Übertragungsprotokollen.
Schritt 3: Sie designen eine falsche Landingpage oder Login-Seite, um sensible Informationen zu stehlen.
Schritt 4: Sie gestalten eine überzeugende falsche E-Mail, die Leute dazu bringt, zu klicken.
Schritt 5: Sie sammeln Zugangsdaten von Opfern, um auf Konten zuzugreifen oder ihre Identität zu stehlen.
Fazit
Spoofing erschüttert das Vertrauen und schadet der Markenreputation. Abonnenten werden zögerlich, Ihre Kampagnen zu öffnen und mit den Inhalten zu interagieren, wenn sie nicht sicher sind, dass Ihre E-Mails echt sind.
Lösungen
Richten Sie E-Mail-Authentifizierungsprotokolle ein, um Ihre Domain und Ihre Kunden zu schützen.
Nutzen Sie eine DMARC-Richtlinie, um E-Mails unter Quarantäne zu stellen oder abzulehnen.
Verwenden Sie die Multifaktor-Authentifizierung (MFA) für Konto-Logins.
Informieren Sie Ihre Abonnenten und Mitarbeiter über die Risiken von Marken-Spoofing.
Erfahren Sie mehr im Ressourcencenter von Sinch Mailgun. Hier haben wir den Mailgun-Leitfaden zum Thema Sicherheit und Compliance zum Download verfügbar.
Was sind E-Mail-Spoofing und Markenimitation?
E-Mail-Spoofing ist eine Form des Phishings, bei der Betrüger E-Mails versenden, die so aussehen, als kämen sie von einem vertrauenswürdigen, wiedererkennbaren Unternehmen.
Das Ziel von E-Mail-Spoofing ist, Zugangsdaten von Konten, finanzrelevante Informationen oder andere Daten zu sammeln, mit denen Cyberkriminelle kriminelle Machenschaften wie Identitätsdiebstahl ausüben können. Eine gefälschte E-Mail kann auch Malware oder Ransomware enthalten, die auf dem Gerät des Opfers installiert wird.
Der Begriff „Domain-Spoofing“ kann in einem ähnlichen Zusammenhang verwendet werden. Betrüger geben sich hier als Absenderdomains und Websites aus.
Wie E-Mail-Spoofing funktioniert
Nach dem Erhalt einer bösartigen E-Mail werden die Empfänger aufgefordert, auf einen Link zu klicken, der sie zu einer Webseite führt, die sich ebenfalls für etwas ausgibt, was sie nicht ist.
Bei diesen gefälschten Webseiten handelt es sich oft um sehr überzeugend wirkende Login-Seiten, wo ahnungslose Opfer ihre Zugangsdaten eingeben. Betrüger können Menschen auch dazu verleiten, andere sensible Daten wie Bankinformationen oder Kreditkartennummern preiszugeben.
Hier sehen Sie eine gefälschte PayPal-Login-Seite. Der Unterschied zwischen dem Design der Phishing-Website und der echten Login-Seite von PayPal ist nur schwer zu erkennen.
Aber werfen Sie einmal einen Blick auf die URL in der Adresszeile. Der Doppelstrich ist verdächtig. So etwas kann trotzdem leicht übersehen werden.
Gefälschte PayPal-Login-Seite für Marken-Spoofing
Alles, was ein Betrüger braucht, sind grundlegende Design-Tools und Ihr Logo. Damit ist es ein Leichtes, sich als Ihr Unternehmen auszugeben und Ihre Kunden oder Mitarbeiter zu täuschen. Ja, auch innerhalb Ihres Unternehmens kann Spoofing zum Problem werden.
Mailgun konnte einen SMS-Phishing-Angriff vereiteln, bei dem versucht wurde, sich als Dienst auszugeben, der von jedem Mitarbeiter im Unternehmen genutzt wird. Leider sind nicht alle Unternehmen so wachsam, wenn es um Cybersicherheit geht.
Beim E-Mail-Spoofing wird häufig ein Absender- oder Domainname genutzt, der sehr ähnlich ist, aber nicht ganz mit dem Namen Ihres Unternehmens übereinstimmt. Es werden zum Beispiel Bindestriche verwendet, die im echten Namen nicht vorkommen (mail-jet.com).
Wenn ein Cyberkrimineller es jedoch schafft, die Passwörter Ihres einfachen E-Mail-Übertragungsprotokolls (SMTP = Simple Mail Transfer Protocol) zu hacken oder auf Ihre geheimen API-Schlüssel zuzugreifen, kann er buchstäblich E-Mails als Ihr Unternehmen versenden. In diesem Fall wird Ihr E-Mail-Programm gekapert. Und das könnte eine große Katastrophe sein.
Neben Spoofing gibt es auch noch “Phishing”. Wir haben eine Übersicht, wie Sie es erkennen und wie Sie damit umgehen sollten. Wie Sie auf verdächtige Anhänge reagieren und wie Sie sich vor Social Engineering-Attacken schützen, erfahren Sie hier.
Welche Unternehmen haben ein erhöhtes Spoofing-Risiko?
Betrüger haben bevorzugte Ziele für Markenimitationen. Ganz oben auf der Liste der am häufigsten imitierten Unternehmen stehen Microsoft und LinkedIn. FinTech-Unternehmen und Finanzinstitute im Allgemeinen werden häufig gefälscht.
Das Gleiche gilt für E-Commerce-Unternehmen wie Amazon sowie Versand- und Logistikunternehmen wie DHL. Auch Social-Media-Plattformen und Software-as-a-Service (SaaS)-Unternehmen sind beliebt bei Phishing-Betrügern.
Was haben diese unterschiedlichen Arten von Unternehmen gemeinsam? Sie versenden viele Transaktions-E-Mails. Dazu gehören Bestellbestätigungen, Passwort zurücksetzen, Abrechnungen und E-Mails zur Kontoregistrierung. Spoofing bedient sich häufig dieser Art der Kommunikation, da hier sensible Informationen eine Rolle spielen, die Betrüger ergaunern wollen.
Ein Beispiel für Amazon-Marken-Spoofing
In der gefälschten Amazon-E-Mail gibt es ein paar verräterische Anzeichen, die auf Phishing hinweisen:
Absendername: „Amazon Head Office“ klingt frei erfunden.
Absenderadresse: Die Adresse enthält nicht einmal den Namen des Unternehmens.
Betreffzeile: Der Betrüger nennt den Namen des Unternehmens bzw. des Absenders, was untypisch ist.
Gefühl der Dringlichkeit: Die Empfänger mit einem Problem zu konfrontieren, das schnell behoben werden muss, ist ein gängiger Weg, um sie zum Klicken zu bewegen. Ironischerweise verwenden Betrüger häufig gefälschte Betrugswarnungen.
Linktext: Dort steht amazon.com, aber dort führt der Link nicht hin.
Diese Amazon-Markenimitation spekuliert damit, dass der Empfänger eine aktive Bestellung bei Amazon hat. Viele Leute warten tatsächlich auf eine Bestellung. Betrüger brauchen nur eine Person, die auf das falsche Spiel hereinfällt.
Man braucht kein Fortune-500-Unternehmen sein, um zum Ziel von Marken-Spoofing zu werden. Sicherheitsexperten sagen, dass kleinere Unternehmen anfällig sind, weil bei ihnen die Wahrscheinlichkeit geringer ist, dass sie über die richtigen E-Mail-Authentifizierungsprotokolle verfügen.
Selbst wir sind nicht immun. Spammer und Betrüger haben versucht, sich als Mailjet auszugeben, um unsere Kunden zu täuschen.
Wie Sie in dem Beispiel sehen, zielte der Phishing-Versuch darauf ab, Personen zur Eingabe ihrer Kreditkarteninformationen zu bewegen. Als wir davon erfuhren, haben wir umgehend Schritte unternommen, um unsere Abonnenten zu warnen und über die Bedrohung aufzuklären.
Um genau zu erkunden, von wem eine E-Mail kommt, sollten Sie den E-Mail-Header unter die Lupe nehmen. Hier sehen Sie IP-Adressen auf einen Blick und ob Betrüger den Absender fälschen, indem beispielsweise Sie die E-Mail-Adresse des Absenders kontrollieren oder den Anzeigenamen gegenprüfen.
Wie Sie E-Mail-Spoofing in die Schranken weisen
Es gibt gute Nachrichten. Zum Glück gibt es Möglichkeiten, sich gegen Betrüger zu wehren, die sich als Ihr Unternehmen auszugeben versuchen. Hier sind einige der Tipps aus dem Mailgun-Leitfaden zum Thema Sicherheit:
1. Verwenden Sie eine starke E-Mail-Authentifizierung
Die E-Mail-Authentifizierung hilft E-Mail-Anbietern wie Gmail, Outlook und Apple Mail, bösartige E-Mails zu identifizieren und zu entscheiden, was damit geschehen soll.
Das bedeutet, SPF (Sender Policy Framework) zu verwenden und DKIM (DomainKeys Identified Mail) einzurichten. Aber der beste Weg, E-Mail-Spoofing zu verhindern, ist die Verwendung von DMARC (Domain-based Message Authentication, Reporting and Conformance) mit einer Richtlinie, die betrügerische E-Mails entweder unter Quarantäne stellt oder ablehnt.
Wenn Sie vorhaben, Mailjet als neuen ESP zu verwenden, finden Sie in unserem Helpcenter Informationen zum Einrichten der E-Mail-Authentifizierung.
2. Schützen und aktualisieren Sie SMTP-Zugangsdaten und API-Schlüssel
Wenn Betrüger es schaffen, Ihre SMTP-Passwörter zu knacken oder Zugang zu Ihren API-Schlüsseln bekommen, hilft auch die E-Mail-Authentifizierung nicht mehr vor Spoofing. Denn dann können die Betrüger unter Ihrer Domain E-Mails versenden.
Der Schutz von SMTP-Zugangsdaten und API-Schlüsseln sollte für die E-Mail-Sicherheit oberste Priorität haben. Aktualisieren Sie sie regelmäßig und geben Sie sie niemals weiter. Mailjet-Nutzer können hier erfahren, wie sie ihre API-Schlüssel aktualisieren.
3. Nutzen Sie Multifaktor-Authentifizierung
Die Multifaktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene. Wenn sich Ihre Kunden in ihre Konten oder Ihre Anwendung einloggen, hilft die Multifaktor- oder Zwei-Faktor-Authentifizierung (2FA) dabei, die Auswirkungen von Phishing-E-Mails abzuschwächen.
Selbst wenn ein Betrüger an Zugangsdaten gelangt, kann er ohne Zugriff auf das Mobilgerät oder die E-Mail-Adresse des Nutzers nicht auf das Konto zugreifen.
Ziehen Sie die Implementierung von Single Sign-On (SSO) oder Security Assertion Markup Language (SAML) als unternehmensweite Sicherheitslösung in Erwägung, um ihre Mitarbeiter zu schützen.
4. Informieren Sie Mitarbeiter und Abonnenten über die Risiken
Viele Unternehmen bieten ihren Mitarbeitern jährliche E-Mail-Sicherheitsschulungen an. Wenn Sie Ihre Kunden jedoch über E-Mail-Spoofing aufklären, können Sie gleichzeitig Ihre Markenreputation und ihre Kunden schützen.
Wenn Ihr Unternehmen bestimmte Informationen niemals per E-Mail abfragen würde, stellen Sie sicher, dass Ihre Abonnenten das wissen. Und wenn Sie herausfinden, dass Betrüger versucht haben, sich als Ihr Unternehmen auszugeben, informieren Sie Ihre Kunden.
Die Sicherheitsexperten von Mailgun sagen, dass Proaktivität gut ist. Wenn Sie Opfer von Spoofing geworden sind, sollten Sie diese Situation als Gelegenheit nutzen, das Vertrauen in Ihr Unternehmen zu erhalten und zurückzugewinnen.
„Das Letzte, was Sie wollen, ist, dass Ihr Unternehmen in einer E-Mail genannt wird, die seriös aussieht, aber den Empfänger in eine schlechte Lage bringt. Ich glaube, das erkennen Absender oft erst dann, wenn es schon zu spät ist. Und dann müssen Sie schnell handeln. Wenn Sie also Opfer von Spoofing geworden sind, seien Sie transparent. Gute Kommunikation ist alles. Erzählen Sie, was passiert ist, und welche Maßnahmen Sie treffen werden, um eine Wirkung zu entfalten, damit so etwas nicht noch einmal passieren kann.“
Jonathan Torres, TAM-Teammanager bei Sinch Mailgun
Warum Sie uns bei E-Mail-Sicherheit und Compliance vertrauen können
Wir von Mailjet und Sinch Mailgun sind bestrebt, unseren Kunden die bestmögliche Sicherheit zu bieten. Wir nehmen Datenschutz sehr ernst, inklusive der strikten Einhaltung der DSGVO. Deshalb haben wir auch ISO-Zertifizierungen und SOC 2 Typ II-Sicherheitsaudits für beide Unternehmen.
Was das für Sie bedeutet? Das bedeutet, dass Sie von unseren Plattformen aus versenden können in dem Wissen, dass wir Ihre Privatsphäre und die der Menschen auf Ihren E-Mail-Listen immer auf dem Radar haben.
Erfahren Sie mehr darüber, was Mailjet zu einer sicheren E-Mail-Lösung macht und wie Mailjet Ihre Daten schützt.
Kostenloser Leitfaden
Expertenwissen zum Thema E-Mail-Sicherheit und Compliance
Das Team von Sinch Mailgun versorgt Sie mit allen Infos, die Sie brauchen, um Ihre E-Mail-Sicherheit zu verbessern. Der Leitfaden behandelt Themen wie die Einrichtung von E-Mail-Authentifizierungsprotokollen, DSGVO-Einhaltung und wie Sie Ihre Mitarbeiter und Kunden vor Phishing schützen. Holen Sie sich den “Mailgun-Leitfaden zum Thema E-Mail-Sicherheit und Compliance”.
Verwandte Lektüre
Beliebte Beiträge
Deliverability
17 min
How to avoid email spam filters
Mehr lesen
Deliverability
7 min
Noreply email address: Best practices for your email strategy
Mehr lesen
Email best practices
6 min
What is an SMTP relay and why do we use it?
Mehr lesen