Ratgeber E-Mail-Sicherheit

Wie Sie gefälschte und verseuchte E-Mails erkennen

23.09.2021 von Gaby Salvisberg
Virenverseucht, Spam, Phishing oder sauber? Es lässt sich nicht auf den ersten Blick erkennen, wie gefährlich eine Mail ist. Mit unseren Tricks entlarven Sie jede faule Mail und bekommen so Sicherheit beim Mailen.
Die Spam-Filter der Mailprogramme und Internetprovider sind manchmal nicht besonders effizient, darum dringt so manche dubiose E-Mail bis in Ihren Posteingang vor.
Foto: GaudiLab - shutterstock.com

Mehr als 95 Prozent der weltweit verschickten Mails sind nach Schätzungen von PCtipp purer Müll. Die Spam-Filter der Mailprogramme und Internetprovider sind manchmal nicht besonders effizient, darum dringt so manche dubiose E-Mail bis in Ihren Posteingang vor. Während sich einige dieser Nachrichten schon auf den ersten Blick als unseriös entpuppen, kommt bei vielen Zweifel auf, ob sie wirklich sauber sind.

Der PCtipp zeigt Ihnen detailliert, wie Sie alles über eine Nachricht und die darin enthaltenen Links herausfinden. Außerdem lesen Sie, bei welchen inhaltlichen Merkmalen die Alarmglocken läuten sollten.

Wir empfehlen generell, in dubiosen Mails keine Links anzuklicken oder Anhänge zu öffnen. Dank den folgenden Tipps ist das auch gar nicht nötig. Ohne Risiko finden Sie vieles über den Absender, die Mailanhänge und die Nachrichtenlinks heraus.

Woher kommt die Mail - das verrät der Mail-Header

Leider lautet die Antwort nicht: "Der Absender steht doch da." Sehr oft ist das, was im "Von"-Feld einer Mail steht, gefälscht. Welche Person die Nachricht wirklich verschickt hat, lässt sich fast nie feststellen – sieht man von digital signierten Mails ab. Sie können aber den Provider ausfindig machen, über den die Mail verschickt wurde. Wichtige Infos über die Herkunft einer Nachricht (z.B. die IP-Adresse) stecken in den Internetkopfzeilen, im Fachjargon auch E-Mail-Header genannt.

Das Office-Programm Outlook versteckt den Header in diesem Fenster

So finden Sie den Header

Ist die Mail in Outlook geöffnet, gehen Sie zu ANSICHT/OPTIONEN. Die Internetkopfzeilen finden Sie im unteren Teil des Fensters. Benutzer von Outlook Express klicken die Mail in der Liste an und drücken Ctrl+F3. In Mozilla Thunderbird verwenden Sie stattdessen Ctrl+U. In Outlook Express und Thunderbird enthält das Fenster den gesamten Quelltext der Nachricht, in Outlook nur den Mail-Header. Um diesen allenfalls weiterzuverarbeiten (z.B. zwecks Weiterleitung an Ihren Computersupport), können Sie ihn in jedem der genannten Programme mit Ctrl+A markieren, mit Ctrl+C kopieren und mit Ctrl+V in ein beliebiges Dokument einfügen.

Für die Herkunft der Mail relevant sind die mit "Received:" beginnenden Zeilen. Leider wird auch da manchmal geflunkert, indem z.B. unterhalb von einer bis drei echten Zeilen noch ein paar gefälschte drinstehen. Die oberste ist die neuste bzw. zuletzt hinzugekommene. Sie stammt von Ihrem eigenen Mailanbieter und ist nicht gefälscht. Finden Sie heraus, wem eine IP gehört und ob sie überhaupt zur davorstehenden Domain passt.

Der Header eines Porno-Spams, der beim PCtipp gelandet ist und Fachbegriffe erklärt

Dazu folgendes BeispielEine Whois-Abfrage der IP und Domain hat ergeben, dass es sich bei der obersten Zeile um eine interne Weiterleitung handelt A. Der Grund: „ssp-online.ch“ gehört unserem Maildienstleister. Darum erstaunt es nicht, dass 172.31.6.68 zu einem nur intern genutzten IP-Bereich gehört.

Unser Dienstleister hat die Mail von 84.246.240.14 erhalten B. Dieser Information kann man durchaus trauen. Die Received-Kette hört hier auf und ist bis hierhin schlüssig. Darum dürfte es sich bei 84.246.240.14 um jene Maschine handeln, die den Spam verschickte. Ob sie per Botnetz dazu missbraucht wurde oder ob ihr Inhaber absichtlich spammte, sei dahingestellt.

Wem gehört eine IP-Adresse?

Wem IP-Adressen und Domainnamen gehören, finden Sie mit einer Whois-Abfrage heraus.

Verfüttern Sie die IP-Adresse aus dem E-Mail-Header an einen Whois-Abfragedienst (von „who is“, „wer ist“). Kopieren Sie diese bei www.dnsstuff.com ins Feld "WHOIS Lookup". Allerdings spuckt die Abfrage selten eine Einzelperson aus. Viel häufiger ist die IP-Adresse Teil eines großen Adressbereichs, der z.B. einem ADSL-Provider oder einem anderen Unternehmen gehört. Aber malen Sie sich das Ganze am Beispiel einer angeblichen Bankmail selbst aus: Wie plausibel ist diese, wenn sie von einer chinesischen, russischen oder brasilianischen IP-Adresse kommt?

Ein Sonderfall: Wenn als Eigentümer "IANA/ Internet Assigned Numbers Authority" erscheint, handelt es sich um eine nur intern nutzbare IP-Adresse. Diese bringt für Ihre Recherche wenig.

Fies: Der HTML-Text behauptet, der Link heiße "sparkasse.de", verknüpft ist aber laut Statuszeile eine andere Domain (unten).

Worauf wird verlinkt?

Mails können im HTML-Format verfasst sein, das man von Webseiten kennt. Bekanntlich lässt sich auf Webseiten ein Text wie "www.gut.com" sehr einfach mit der Adresse "www.boese.com" verlinken. In manchen Mailprogrammen (z.B. Thunderbird) wird das echte Linkziel in der Statuszeile angezeigt oder in einem gelben Tooltipp eingeblendet, wenn Sie mit dem Mauszeiger darüberfahren. Im vorliegenden Beispiel erkennen Sie, dass der Text nicht auf die Domain „sparkasse. De“ verlinkt, sondern auf „sparkasse.de.gserver.ha.cn“.

Das Nur-Text-Format stoppt den HTML-Schwindel in E-Mails.

In Microsoft Outlook verschaffen Sie sich Klarheit, indem Sie Ihre Mails stets im reinen Textformat anzeigen. Öffnen Sie hierfür Extras/Optionen/Einstellungen. In den E-Mail-Optionen aktivieren Sie "Standardnachrichten im Nur-Text-Format lesen". In Thunderbird lässt sich das einfacher via Ansicht/Nachrichtentext/Reiner Text umschalten. Die Mails sind danach zwar weniger bunt; dafür steht in HTML-Mails die tatsächliche URL direkt neben dem verlinkten Text.

Wo führt der Link hin?

Cyberkriminelle verschleiern oft die wirkliche Adresse eines Maillinks, besonders bei Phishing-Nachrichten. Manchmal ist der Link derart lang und kompliziert, dass es schwer ist, die richtige Domain ausfindig zu machen. Oft fügen die Phisher den angeblichen Domainnamen (z.B. "sparkasse.de") vor oder hinter der eigentlichen Domain ein.

Unser Rezept: Schauen Sie sich den Link genau an – natürlich ohne ihn anzuklicken. Suchen Sie nach dem ersten Schrägstrich, der nach dem "http://" steht. Was direkt vor diesem Schrägstrich liegt, ist der wirkliche Domainname. Ein Beispiel: Was im Screenshot auf der vorangegangenen Seite auf den ersten Blick nach "sparkasse.de" aussieht, führt in Wirklichkeit zu einer chinesischen Domain mit der Endung .cn. Diese hat natürlich nichts mit der deutschen Sparkasse zu tun.

Die alleinige Tatsache, dass die Bankdomain irgendwo im Link vorkommt, heißt also noch gar nichts. Die echte Domain muss am richtigen Platz stehen, nämlich direkt vor dem ersten Schrägstrich. Andernfalls ist die E-Mail mit Sicherheit gefälscht.

Kodierte URLs dechiffrieren

Nicht immer wird ein Domainname verwendet, um auf ein Ziel im Internet zu verlinken. Oft steht in einer Verknüpfung stattdessen die IP-Adresse. Auch wenn Internetlinks auf IP-Adressen schon in seriösen Mails gesehen wurden, ist dies bereits ein Indiz dafür, dass der Absender etwas verschleiern will. Betrachten Sie es als Alarmzeichen, wenn vor dem ersten Schrägstrich etwas anderes steht als ein Domainname mit Endung (z.B. "pcwelt.de").

Hier verwendet der Spammer gleich zwei Verschleierungstaktiken (Prozentzeichen und Google-Trick).

Für IP-Adressen gibt es zudem verschiedene Schreibweisen bzw. Kodierungen. Eine Zeit lang griffen die Spammer zu punktlosen IP-Adressen. Das sind zehnstellige Zahlen, die – korrekt umgerechnet – wieder eine IP-Adresse ergeben. Es gibt noch weitere mögliche Verfremdungen. Einige davon werden von diversen Browsern und Firewalls jedoch nicht mehr unterstützt, weshalb die Cyberkriminellen wieder davon Abstand nahmen. Sollte Ihnen statt eines Domainnamens etwas begegnen, das wie "3475931693" (punktlose IP), "0324.0273.0167.0253" (oktal kodiert) oder "0xd4bb77ab" (hexadezimal) aussieht, liegt eine versuchte Irreführung vor. Dasselbe gilt auch für speziell kodierte Domainnamen. Sie erkennen diese an den Prozentzeichen.

Genauso wie sich IP-Adressen und Domains verunstalten lassen, gibt es Werkzeuge, die diese wieder in Ordnung bringen.

Wem gehört die Domain?

Auf welche Firma oder Person eine Domain registriert ist, verrät Ihnen eine Whois-Abfrage. Die Webseite www.dnsstuff.com leistet hier sehr gute Dienste. Beachten Sie aber, dass es Domains gibt, die zwei Endungen haben. Viele britische Domains hören zum Beispiel nicht nur mit .uk auf, sondern mit .co.uk.

Außerdem gibt es Firmen wie die amerikanische Network Solutions, die gegen Aufpreis eine anonyme Domainregistrierung erlauben. Im Resultat einer Whois-Abfrage erscheint nicht mehr der wahre Inhaber, sondern nur noch die Registrierstelle.

Was ist das für ein Anhang?

Massenattacken von Computerwürmern sind zwar rückläufig, trotzdem werden immer noch viele Schädlinge per Mail verschickt. Wenn Sie Dateianhänge erhalten, verzichten Sie am besten darauf, diese zu öffnen. Das gilt umso mehr, wenn:
* Sie den Absender nicht kennen
* Die Mailadresse nicht zum Absender passt
* Der Mailtext nicht zum Absender passt
* Der Mailtext für Sie keinen Sinn ergibt
* Es sich um ein angebliches Sicherheits-Update handelt. Kein Software-Unternehmen verschickt ungefragt ausführbare Dateien per E-Mail Bislang warnte der PCtipp hauptsächlich vor Programmdateien mit den Endungen .exe oder .com. Da jedoch auch diverse Internetformate (.js, .html, .swf, .vbs) sowie Office-Dateien (.doc, .xls, .ppt) Sicherheitslücken aufweisen, ist mittlerweile bei jedem Dateianhang Vorsicht geboten.

Am harmlosesten sind noch immer Bildformate (z.B. .gif, .png, .jpg). Dies natürlich nur, wenn es sich bei der Datei wirklich um ein Bild handelt; und nicht um eine Datei mit doppelter Endung wie "beispiel.gif.exe".

Ist der Anhang verseucht?

Vermutlich verrichtet auch bei Ihnen ein Antivirenprogramm seinen Dienst. Leider kann kein Virenscanner zwischen Gut und Böse mit absoluter Sicherheit unterscheiden. Wenn Ihrer beim Scan einer Datei schweigt, ist das noch kein Beweis für eine sichere Datei, sondern höchstens ein Indiz.

Selbst wenn Text, Header und Beilage einer Mail für Sie absolut plausibel klingen, sollten Sie die Datei sicherheitshalber untersuchen. Klicken Sie mit der rechten Maustaste auf den Anhang und wählen Sie einen Befehl wie Speichern unter. Legen Sie die Datei auf dem Desktop ab. Surfen Sie nun entweder zu www.virustotal.com oder zu http://virusscan.jotti.org/de. Klicken Sie auf der Webseite auf Durchsuchen, wählen Sie den vorhin abgelegten Anhang aus und übermitteln Sie ihn per Senden der Datei oder Abschicken. Die Datei durchläuft rund zwei Dutzend aktuelle Virenscanner, bis ein paar Minuten später das Resultat erscheint. Nur wenn keiner der Virenscanner meckert, ist die Datei wahrscheinlich sauber.

Verräterischer Mailinhalt

Außer den technischen Aspekten einer Mail sollten Sie auch inhaltliche Auffälligkeiten beachten. Eine harmlos ausschauende Mail kann sich durch einige typische Merkmale höchst verdächtig machen.

Angeblicher Newsletter-Eintrag

Echte Newsletter sind nur jene, die Sie wirklich selbst bestellt haben. Bevor ein Newsletter-Betreiber Ihre Mailadresse in den Versand mit einbezieht, bekommen Sie eine Bestätigungsmail mit einem Link, den Sie anklicken müssen. Dieses Vorgehen wird im Fachjargon Confirmed Opt-In genannt (bestätigtes Anmelden). Wenn Sie Newsletter von Personen oder Firmen erhalten, mit denen Sie nie etwas zu tun hatten, dann handelt es sich für gewöhnlich um Spam. Bestätigungsmails von Newslettern, die Sie nicht bestellt haben, werfen Sie am besten sofort in den Papierkorb.

Gewinnversprechen

Mit möglichst wenig Aufwand an viel Geld kommen, ist der Traum fast jedes Menschen. E-Mails, die Ihnen schwindelerregende Börsengewinne, einen großen Lotteriegewinn oder sonstige hohen Geldbeträge versprechen, sind jedoch samt und sonders unglaubwürdig.

Wir übersetzen: Die Cybermafia sucht Geldwäscher

Lukrative Nebenjobs

Der Mail werden häufig Finanzagenten oder Regionalvertreter gesucht. Der in Aussicht gestellte Lohn von bis zu mehreren Tausend Franken pro Monat klingt verlockend. Lassen Sie sich nicht auf solche Angebote ein. Die wahre Aufgabe bei diesen Jobs besteht darin, über Ihr Bankkonto kriminelles Geld zu waschen.

Eine ähnliche Masche verfolgte einmal eine Mail, die als gefälschte Absenderadresse job@jobpilot.de verwendete. Diesmal hatte es eine Firma namens World PostIdent auf Briefkästen abgesehen: Man brauche nur den Namen einer bestimmten Firma auf den eigenen Briefkasten zu kleben und bekomme fürs Weiterleiten der eingehenden Post rund 80 Euro plus Spesen. Hier gibt es nur einen Rat: Finger weg!

"Bitte an alle weiterleiten" - Hoax

Die Aufforderung, eine Mail an möglichst viele Bekannte weiterzuleiten, ist das typische Kennzeichen eines sogenannten Hoaxes (engl. für Scherz). Welche frei erfundene Geschichte in einer solchen Mail sonst noch drinsteht, ist völlig egal. Am häufigsten als Hoax anzutreffen sind Virenwarnungen. Aber auch angeblich zu gewinnende Gratisgeräte sind nicht selten. Oder Geschichten über kranke Kinder, deren medizinische Behandlung nur dank eines bestimmten Betrags pro Weiterleitung gewährleistet sei.

Werfen Sie im Zweifelsfall einen Blick auf die Webseite www.hoaxinfo.de, wenn Sie eine solche Mail erhalten. Mit ziemlicher Sicherheit werden Sie Ihren Hoax oder eine Abwandlung davon in dieser Datenbank finden.

Diese Phishing-E-Mail wollte den Spam-Filter mit harmlosen Wortfetzen übers Ohr hauen.

Sinnlose Wortfetzen

Cyberkriminelle haben es heutzutage nicht leicht, ihre Mails durch die Spam-Filter zu schleusen. Wenn der Anteil an verdächtigen Wörtern zu hoch ist, landen die Nachrichten zu Recht im Müll. Darum ergänzen viele Spammer und Phisher ihre Mails mit einer Anzahl harmloser Wörter. Die stehen dann entweder nach dem Mailtext oder für den Anwender unsichtbar irgendwo im Quellcode der HTML-Nachricht.

Seriöse Absender brauchen hingegen keine solchen Klimmzüge durchzuführen, um ihre Mails durchzubringen. Betrachten Sie Ihre Nachrichten deshalb im Textformat oder als Quellcode. Wenn Sie solche Vernebelungstaktiken entdecken, ist der Fall klar: Diese Mail gehört gelöscht.

Absichtliche Fehler um Spamfilter auszuhebeln

Die Cyberkriminellen sind auf ein weiteres Täuschungsmanöver gekommen. Statt Viagra oder Valium schreiben sie einfach \/iaagra oder \/AL1UM in ihre Spammails. Dabei wird beispielsweise das V mit den Schrägstrichen \ und / zusammengesetzt. Zum Glück haben die meisten Spam-Filter den Trick schon längst gelernt. Trauen Sie keiner Nachricht, in der auffallend viele solcher Falschschreibungen vorkommen, Screen 7.

Grafik statt Text

Dass es sich bei einer Mail um unerwünschte Post handelt, erkennen Sie oft auch am völligen Fehlen von Text. Stattdessen pflanzen die Absender den ganzen Text in einen Bildanhang, in der Hoffnung, die Spam-Filter zu umgehen. Viele Mailfilter erkennen jedoch inzwischen auch solche Grafiktricks; darum müssen die Texte in den Bildern immer verzerrter dargestellt werden, damit sie beim potenziellen Opfer landen.

Gratisdienste

Unverhofft landen bei Ihnen deutschsprachige Mails, die irgendwelche Internetdienste anpreisen. Die beworbenen Webseiten wollen Ihnen angeblich kostenlose Dienstleistungen näherbringen wie Flirttipps, Lebensprognosen, Kartendienste, Warenproben, Probefahrten in Luxuskarossen, Gratis-SMS oder Nebeneinkünfte (Medikamententests).

Die wohlklingenden Domainnamen führen auf sorgfältig gestaltete Webseiten, auf denen Sie sich registrieren sollen, um den Dienst zu nutzen. Sehr häufig handelt es sich bei solchen Webseiten aber um reine Abzockfallen: Erst der Blick in die teils etwas versteckten AGB (Allgemeine Geschäftsbedingungen) enthüllt den Preis.

Lesen Sie auf solchen Webseiten immer die AGB genau durch. Sollten Sie oder Ihre Kinder unwissentlich in die Falle getappt sein, konsultieren Sie die Broschüre des Seco (Schweizer Staatssekretariat für Wirtschaft).

Besonders in Zusammenhang mit solchen Onlineabzockern stellt sich oft die Frage, wer hinter dem Unternehmen steckt. Wir empfehlen auf jeden Fall eine Google- oder Yahoo-Suche nach dem Namen des Konzerns. Nicht selten werden Sie in Konsumentenschutzforen fündig. Sofern die Firma in der Schweiz ist, liefert außerdem die Adresse www.moneyhouse.ch recht ausführliche Handelsregisterinformationen.

Glossar/Lexikon zum Thema Spam

Digital signierte Mails
Mit einem persönlichen digitalen Schlüssel lässt sich eine Mail signieren, sodass kaum mehr Zweifel an der Echtheit der Nachricht besteht.

IP-Adresse/IP-Nummer
Jedes mit dem Internet verbundene Gerät braucht zur Kommunikation mit anderen Geräten eine eindeutige IP-Adresse. Diese wird meist vom Internetprovider vergeben. Die IP-Adresse besteht aus vier maximal dreistelligen Zahlen zwischen 0 und 255, die durch Punkte getrennt sind (z.B. 192.168.55.88).

HTML-Format
Die HyperText Markup Language (HTML) ist eine Sprache zur Beschreibung von Webseiten. Browser wie der Internet Explorer oder Mailprogramme setzen den Textcode in ein grafisches Erscheinungsbild um.

Domain/Domäne
Ein eindeutiger Name, unter dem ein Netzwerk, Server oder Dienst im Internet erreichbar ist. Domains bestehen oft aus drei Teilen: Vorne steht die Subdomain (z.B. www), gefolgt vom Domainnamen (pctipp) und der Top Level Domain (TLD). Letztere bezeichnet entweder ein Land (.ch für Schweiz) oder eine Funktion (.info).

URL
Uniform Resource Locator ist die eindeutig identifizierbare Adresse eines Webservers im Internet, zum Beispiel http://www.pctipp.ch.

Phishing
Phishing ist eine Form des Trickbetrugs im Internet. Der Phisher schickt E-Mails, die verleiten sollen, vertrauliche Informationen wie Benutzernamen, Passwörter oder PIN und TAN von Online-Banking-Zugängen preiszugeben.

Quelltext
Der unformatierte Textcode einer Mail, wie sie über mittelt wurde, inklusive dem codierten "Zeichensalat" von Anhängen. Das Mailprogramm wandelt diesen Code in ein grafisches Erscheinungsbild um.

Gefunden bei pctipp.ch