18.11.2020 17:05

Corona Scams und SPF

Unsere Kollegen von der Watchlist Internet haben heute über klassischen Vorschussbetrug (plus phishing) mittels vorgeblicher Corona-Hilfen geschrieben.

Uns wurde heute ein ganz ähnlicher Fall gemeldet, bei dem als Absender eine EU-Institution als gefälschter Absender genutzt wurde.

Das ist dort sehr schnell aufgefallen, da die gefälschte Absenderdomain SPF im Einsatz hat, und sie daher dort viele Mail-Bounces bekommen haben, weil doch einige Firmen SPF nutzen, um gefälschte Absenderadressen zu erkennen und somit offensichtliche Fake-Mails abzulehnen.

Bei der Standardisierung der Email-Übertragung im Internet (RFC821) wurden keinerlei Sicherheitsmaßnahmen definiert, die ein Fälschen von Emails verhindern. 1982 ist lang her, und RFC821 wurde längst modernisiert, aber immer noch ist die Authentizität nicht fix in die Übertragungsprotokolle integriert. Dazu haben sich SPF, DKIM und DMARC etabliert, mit dem eine Organisation im DNS publizieren kann, wie ein Empfänger den Ursprung der in ihrem Namen verschickten Emails verifizieren (und wie man Fehler melden) kann. Ja, das ist alles nicht zu 100% effektiv (und macht auch genug Probleme mit Weiterleitungen und Mailinglisten), aber wie der aktuelle Fall zeigt, kann man durch den Einsatz dieser Methoden einiges an Betrugsversuchen abwehren.

Neben der rein technischen Verteidigung gilt immer: Wenn ihnen jemand per Mail Geld verspricht, dann sollte man wirklich vorsichtig sein. Ob das jetzt Steuerrückzahlungen des Finanzamts sind, Spenden von Bill Gates, der EU oder gleich der UNO ist egal. Bitte hier immer das Hirn einschalten und die Skepsis nicht von der Hoffnung/Gier verdrängen lassen.

Als gute Daumenregel gilt immer: Wie würden Sie reagieren, wenn Sie jemand auf der Straße anspricht und Ihnen genau das gleiche verspricht?