Den Quellcode bösartiger E-Mails verstehen

Eine E-Mail, wie sie für einen Endnutzer aussieht

Wir möchten einmal aufzeigen, welche Unterschiede zwischen dem bestehen, was ein Endnutzer bei einer bösartigen E-Mail sieht und den tatsächlich im Quellcode enthaltenen Daten. Sehen Sie sich zunächst einmal diese E-Mail an:

Oben sehen Sie ein typisches Beispiel dafür, wie eine Spam-E-Mail von der Client-Software eines Endnutzers (z. B. Apple Mail oder Outlook) angezeigt wird.

Bei der Darstellung der E-Mail bringen einige Elemente des E-Mail-Inhalts vielleicht schon die Alarmglocken zum Läuten, z. B. ein HTML-Link, eine Bitcoin-Adresse und ein Anhang.  Leider wirken diese Elemente auf einen unbedarften Nutzer vielleicht völlig harmlos.

Und genau darauf zählen Cyberkriminelle.  Sie machen sich zunutze, wie eine E-Mail dem durchschnittlichen Nutzer erscheint, und verbergen Elemente, die auf den gefährlichen Charakter der E-Mail hindeuten könnten.

Um zu sehen, was eine E-Mail wirklich beinhaltet, müssen wir sie „auspacken“ und uns den Quellcode oder Rohcode, den E-Mail-Header und den E-Mail-Inhalt ansehen.

Ein Beispiel für E-Mail-Quellcode

Machen Sie sich darauf gefasst, dass der E-Mail-Quellcode eine Menge an Informationen enthält. Wir werden jedoch alles eingehend erklären, hoffentlich ohne Sie zu Tode zu langweilen.

Unten sehen Sie die gleiche E-Mail wie oben, dieses Mal allerdings in „Rohformat“.  Sie sehen, welche Informationen von Internetservern gesehen und aufgezeichnet werden, wenn diese E-Mails versenden und zustellen.

Die einzelnen Elemente des E-Mail-Quellcodes

Empfangskette

Stellen Sie sich die Empfangskette wie eine Papierspur aller Server vor, über die Ihre E-Mail abgewickelt wurde, einschließlich Ihres eigenen Mail-Servers. Die jüngste Verbindung („final connection/most recent“) ist ganz oben angegeben, darunter folgen in umgekehrter Reihenfolge die voraufgehenden Verbindungen. Ganz unten ist die älteste Verbindung („origin computer/oldest“) angegeben.

Diese Elemente sind wichtig, denn sie enthalten alle IP-Adressen der E-Mail-Server, über die Ihre E-Mail abgewickelt wurde, und Informationen wie den HELO-String und die inverse DNS (rDNS[1]) der IP-Adressen.

„HELO“ ist ein vorgeschriebenes Element bei einer SMTP-Transaktion (Simple Mail Transfer Protocol). Diese Sequenz ist ähnlich wie die Begrüßung zwischen zwei Briefträgern, die Post austauschen: „Hallo, ich bin die Christel von der Post, ich habe einen Brief für jemanden auf deiner Tour.“

Lassen Sie uns die Empfangskette unseres E-Mail-Beispiels einmal genauer ansehen. Beginnen wir oben und arbeiten wir uns dann weiter nach unten vor:

Empfangskette C – diese Zeile betrifft den jüngsten Empfänger:

Dies ist die jüngste und vertrauenswürdigste „Received“-Zeile, da der Mail-Server des Empfängers sie registriert hat, und daher ist sie garantiert nicht manipuliert worden.

Um Anti-Spam-Systeme zu verwirren, versuchen Betrüger zuweilen, die Empfangszeilenkette zu verschlüsseln. Daher sollten Sie die daran anschließenden Empfangszeilen besonders misstrauisch unter die Lupe nehmen.

Die wichtigsten Elemente in Zeile C sind:

• Connecting IP: 192.0.4.1 (#1)
• rDNS of connecting IP: mta-out.someisp.example (#2)
• HELO string: mta-out.someisp.example (#3)

Erklärung: Der Mail-Server des Absenders „mta-out.someisp.example” (#3) baut eine Verbindung zum Mail-Server des Empfängers „mx.email.example“ auf und kündigt sich per HELO mit der IP „192.0.4.1″ (#1) und dem rDNS „mta-out.someisp.example” (#2) an. Dies ist die letzte Verbindung – wenn sie akzeptiert wird (in diesem Fall ja), wird die an <[email protected]> adressierte E-Mail zugestellt.

Empfangskette B:

Hier bestätigt „smtp.someisp.example“ den Eingang der Nachricht für die E-Mail-Zieladresse <[email protected]>.

Erklärung: Der Mail-Server „smtp.someisp.example” baut eine Verbindung zum Ausgangs-Mail-Server (Postfix) „mta-out.someisp.example” für diesen ISP auf und „sagt“ dem Ausgangs-Mail-Server, dass er Post für <[email protected]> hat.

Empfangskette A – die ursprüngliche Transaktion 

Diese Zeile stellt die ursprüngliche E-Mail-Transaktion dar, welche die E-Mail generiert hat. Da dies die erste Transaktion war, ist das relevante Detail hier die Connecting IP, also die Verbindung aufbauende IP-Adresse.

Die wichtigsten Elemente in Zeile A sind:

• Originating local machine: [192.168.1.2]
• rDNS of connecting IP: unknown
• Connecting IP: 192.0.2.1 – (#5)

Erklärung: Der lokale Ursprungsrechner „192.168.1.2“ baut eine ausgehende Verbindung zu „smtp.someisp.example“ auf und kündigt sich selbst als „192.0.2.1“ an. Bei Zustandekommen der Verbindung versucht der Server „smtp.someisp.example“ vergeblich, das rDNS der die Verbindung aufbauenden IP-Adresse „192.0.2.1″ (#5) abzufragen. Das Ergebnis ist „unknown“. 

Weitere Elemente des E-Mail-Quellcodes

Return-Path (#4)

Der „Return-Path“ wird häufig auch als „Envelope-From“ oder „Mail-From“ bezeichnet. Dies ist die echte E-Mail-Adresse, welche die E-Mail auf den Weg gebracht hat.

Wenn wir beim Beispiel der guten alten Schneckenpost bleiben, entspricht „Return-Path“ dem lokalen Poststempel, d. h. er ist ein genauer Indikator für den Ursprung des Briefes. Wenn Sie den Inhalt des Briefes lesen, können Sie den Poststempel auf dem Briefumschlag nicht sehen.

Im Falle einer E-Mail können Sie die echte E-Mail-Adresse des Absenders in der visuellen Darstellung der Mail (Abbildung 1) nicht sehen.

Reply-To-Adresse (#6)

Wenn Sie in einer E-Mail auf „Antworten“ klicken, sagt dieses Feld Ihrer E-Mail-Client-Software, welche E-Mail-Adresse in das „To“-Feld eingetragen werden soll. Normalerweise sind bei legitimen E-Mails die „Reply to“ und „From“-Adressen der ursprünglichen E-Mails gleichlautend.

In unserem Beispiel ist der offensichtliche Absender der E-Mail „[email protected]“, wenn Sie jedoch auf diese E-Mail antworten, erscheint „[email protected]“ im Empfängerfeld… und die Angreifer hoffen, dass Sie das nicht bemerken.

Sender-Adresse(From) (#7)

Diese Adresse wird auch als „Friendly-From“-Adresse bezeichnet. Diese Absender-Adresse ist mit der Unterschrift unter einem Brief, der Ihnen per Post zugesendet wird, zu vergleichen – d. h. jeder kann diesen Brief unterschreiben.

In unserem Beispiel ist „Return-Path/Envelope-From“ (#1) eine andere Adresse als „Sender-Address (From)“ (#7), d. h. die „Friendly-From“-Adresse. Der „Friendly-From“-Name, der für einen Endnutzer sichtbar ist, ist der Name, unter dem der Absender dem Empfänger erscheinen möchte. In der Regel enthält er den Namen und die E-Mail-Adresse des Absenders.

Warum verwenden Betrüger unterschiedliche „Return-Path“- und „Friendly-From“-E-Mail-Adressen?

Ganz einfach – um die Leute aufs Glatteis zu führen! Angreifer wollen, dass der Empfänger der E-Mail denkt, diese stamme von jemandem, der glaubhaft, wichtig oder dem Empfänger bekannt ist. Sie versuchen, Legitimität und Glaubwürdigkeit vorzutäuschen.

Denken Sie daran! In den meisten Fällen zeigt die E-Mail-Client-Software nur die „Friendly-From“-Adresse. Das ist so, als würden Sie einen Brief öffnen und den Umschlag wegwerfen, bevor Sie ihn jemandem zu lesen geben. Der Leser sieht nur den Text auf dem eigentlichen Briefbogen.

Website (#8)

Für den Endnutzer ist die Website-Adresse (URL) in der E-Mail, die er sich ansieht, nicht sichtbar. Der Grund dafür ist, dass der Absender die URL hinter einem Hyperlink verborgen hat, der mit „Hier klicken“ verbunden ist. Die tatsächliche Website-URL lautet „www.worldlotterywinner.example“.

Um zu sehen, wohin ein Link Sie führen wird, fahren Sie mit der Maus über den Link; dann werden die URL-Details angezeigt. In vielen Fällen führen in bösartigen E-Mails enthaltene URLs Sie zu einem „spamvertised“-Produkt (Massenwerbung), einer Phishing-Website, etwas Anstößigem oder einer Malware Dropper Site.

Bitcoin Wallet (#9)

Eine Bitcoin Wallet ist eine Kryptoadresse, die von Cyberkriminellen kontrolliert wird und häufig als Zahlungsweg für Sextortion-Spam-Kampagnen verwendet wird. Dabei handelt es sich um Kampagnen, in denen der Angreifer behauptet, Aufnahmen davon zu besitzen, wie das Opfer sich „privaten Vergnügungen widmet“. Der Cyberkriminelle droht, die Aufnahmen an die Arbeitsstelle, die Familie und Freunde weiterzuleiten, sofern er nicht über die Bitcoin-Wallet eine Zahlung erhält.

Es gibt viele Variationen zu diesem Thema, die auf die Angst der Menschen setzen und dem einzigen Zweck dienen, Geld zu erpressen.

Anhang (#10)

In diesem Beispiel ist der Anhang ein Dokument namens „Further instructions.doc“. Höchstwahrscheinlich ist dieser Anhang jedoch auf die eine oder andere Art verseucht. Das heißt, wenn Sie das Dokument herunterladen und öffnen, wird Ihr Computer mit Malware infiziert. Der Cyberkriminelle kann dann Ihren Computer für jeden beliebigen Zweck nutzen, beispielsweise, um noch mehr Spam zu versenden, Ihre personenbezogenen Daten oder Passwörter abzuschöpfen oder Ihren Computer für einen Distributed denial-of-service (DDoS)-Angriff zu nutzen.

Herzlichen Glückwunsch – Sie haben bis zum Ende durchgehalten! Wir hoffen, dass diese eingehende Erklärung zum E-Mail-Quellcode etwas zum besseren Verständnis beitragen konnte.

Welche Blocklists Sie für den E-Mail-Quellcode verwenden sollten

Bei all den E-Mail-Elementen, die man überprüfen muss, kann es schon verwirrend sein, welche Blocklist an welchem Punkt des E-Mail-Filterprozesses genutzt werden sollte. Lesen Sie einfach diesen Artikel, um herauszufinden, welche Blocklists von Spamhaus Sie wo einsetzen sollten, um Ihre Erkennungsraten zu maximieren.

1. Das Domain Name System (DNS), das den mit einer IP-Adresse zusammenhängenden Domain-Namen aufruft (oder abfragt): https://en.wikipedia.org/wiki/Reverse_DNS_lookup