Wir hören praktisch täglich, dass Kunden berichten, sie würden Spam und Virenversand betreiben, da einer der vermeintlichen Empfänger sie informiert hat.
Dies ist im Allgemeinen aber falsch. Tatsächlich ist eine genauere Prüfung anzuraten, aber was passiert hier eigentlich genau?
Grundsätzlich ist anzumerken, dass man den Absender einer E-Mail genauso verändern kann, wie den Absender eines Briefes. Es wurden zwar über die Jahre sehr viele Mechanismen entwickelt, um zu validieren, dass die E-Mail tatsächlich von dem vermeintlichen Absender kommt, aber das Dumme daran ist nur, die meisten Serverbetreiber halten sich nicht an diese Vorgaben oder scheuen die Kosten der Implementation, da Eingriffe in die Technik auch immer bedeuten, dass E-Mails u.U. zu unrecht abgelehnt werden und dann kann es leicht zu Regressforderungen kommen.
Was passiert nun genau?
Gehen wir davon aus, dass der „Hacker“ irgendwo in der Welt sitzt und einen E-Mailserver gekapert hat. Er kann somit an diesem Server alles machen und versendet E-Mails, welche gerne ein Word od. Exceldokument im Anhang mit einem Cryptotrojaner beinhaltet. Stellen wir uns vor „Jan Dings“ mit der E-Mailadresse „j.dings@dings-gmbh.de“ beklagt, dass der Kunde „Paul Maulig“ mit der E-Mail Adresse „p.maulig@maulig-kfz.de“ sich beschwert, er habe von Dings eine E-Mail erhalten.
So sieht das typische Szenario aus, weder Herr Dings, noch sein Provider haben etwas mit dieser E-Mail zu tun. Maulig denkt jedoch, die E-Mail käme direkt von Dings. Nur eine genaue Analyse des Headers würde zu Tage bringen, dass ein gehackter Server zur Übermittlung verwendet wurde.
Wie kommt ein Hacker darauf, das Maulig der Kunde von Dings ist und somit auch von ihm Rechnungen bekommt? Hier treiben die Hacker schon etwas mehr Aufwand im Vorfelde. Oftmals hat sich einer der an der Übermittlung beteiligten früher einen Virus eingefangen, mit dessen Hilfe Geschäfts- und Kommunikationsbeziehungen im E-Mail Programm ausgespät wurden . Diese sind teilweise so perfide, dass sogar DU und SIE differentiert wird. Das ist bei zwei Beteiligten einfach, aber oft sind diese nur der Teil einer größeren Spähaktion. Also einfach zu sagen, einer von beiden hatte mal einen Trojaner, wäre bestenfalls nur mit Finger zeigen, der Verlauf kann aber ganz anders gewesen sein.
Was kann ich als „Herr Dings“ dagegen tun? Ich würde meinen Provider fragen, ob auf meiner Domain SPF und DMARC aktiviert ist. Das ist eine Technik, die eben genau dies verhindern soll, dass E-Mails ohne mein Zutun in meinem Namen versendet werden. Leider muss dann aber der Server von Herrn Maulig, genau diese Einstelluneg auswerten, und da liegt die Crux in der Geschichte, das wird oft nicht gemacht, denn dann würde Maulig diese E-Mails nicht bekommen. Ab hier ist Herr Dings aber machtlos und kann nur auf diesen Beitrag verweisen. 😉
Nicht vergessen sollte man jedoch bei Herrn Dings einmal den Rechner auf Trojaner zu prüfen.
Wichtigster Punkt: Alle Beteiligten sollten aktuelle professionelle Virenscanner einsetzen und immer aufmerksam Ihre E-Mail Anhänge untersuchen. Officedokumente als E-Mail Anhang öffnet mal nie. Auch ist ein Scan mit einem Virenscanner oft erfolglos, da die Virenprogrammierer den Softwarehersteller zeitlich oft weit voraus sind.