Wie führt man eine E-Mail-Untersuchung durch?

Es besteht kein Zweifel, dass E-Mails zu einem der gängigsten Kommunikationsmittel geworden sind. Obwohl sie auch für persönliche Kontakte genutzt werden, werden sie hauptsächlich für die geschäftliche Kommunikation eingesetzt. Von der Organisation interner Meetings über die Ansprache potenzieller Kunden bis hin zur Pflege der Beziehungen zu Investoren wird alles per E-Mail abgewickelt.

Aber wissen Sie auch um die Schattenseiten? Cyberkriminelle nutzen sensible Informationen für böswillige Aktivitäten. Laut dem Jahresbericht 2020 des Internet Crime Complaint Center (IC3) des FBI wurden 791.790 Beschwerden über mutmaßliche Internetkriminalität registriert. Phishing-Betrügereien, Betrügereien wegen Nichtzahlung oder Nichtlieferung und Erpressung waren die drei wichtigsten Cyberverbrechen.

Wenn ein Cybervorfall auftritt, müssen Unternehmen eine E-Mail-Untersuchung durchführen, um die Ursache zu ermitteln und die erforderlichen Maßnahmen zu ergreifen. Genauso wichtig ist es, die Website-Aktivitäten Ihrer Mitarbeiter zu überwachen. Mit dem Phishing-URL-Checker von EasyDMARC können Sie schnell und einfach Phishing- und bösartige Websites erkennen.

Zweck einer E-Mail-Untersuchung

Bevor Sie verstehen, wie man eine Phishing-Mail untersucht, sollten Sie wissen, dass die E-Mail-Untersuchung ein Teilgebiet der digitalen Forensik ist. Sie kombiniert Techniken, die zum Sammeln von kriminellen Beweisen per E-Mail verwendet werden.

Bei der E-Mail-Untersuchung wird der Ursprung einer Cyber-Straftat ermittelt, indem der Verlauf der gesendeten E-Mail sorgfältig untersucht wird. Auf diese Weise lassen sich alle an der kriminellen Aktivität beteiligten Personen ausfindig machen.

Es ist erwähnenswert, dass letztere nicht zwangsläufig aus dem Internet stammen müssen. Sicher, Cyberkriminalität wie Phishing und Spoofing erfordert eher eine E-Mail-Untersuchung, aber auch Morde, die eine E-Mail-Komponente haben, müssen möglicherweise untersucht werden.

E-Mail-Ermittler analysieren in der Regel den tatsächlichen Absender (nicht denjenigen, dessen E-Mail-Adresse vom Phisher oder Scammer ausgenutzt wurde), den Empfänger sowie Datum und Uhrzeit.

Wie führt man eine E-Mail-Untersuchung durch?

Um eine erfolgreiche E-Mail-Untersuchung durchzuführen, müssen Sie mehrere Schritte befolgen und verschiedene Komponenten untersuchen. Wir besprechen sie alle in diesem Abschnitt.

Kopfzeilen-Analyse

Die Kopfzeile einer E-Mail enthält wichtige Informationen, die bei einer E-Mail-Untersuchung hilfreich sein können. Ein Teil der Daten wird vor dem Nutzer verborgen gehalten, und nur der Betreff, das Datum und die E-Mail-Adresse des Absenders werden sichtbar gemacht. Cyberkriminelle fälschen diese Informationen oft, um sie als echt erscheinen zu lassen.

Sie können jedoch mit bestimmten Methoden für verschiedene E-Mail-Anwendungen zusätzliche oder versteckte Details extrahieren. So finden Sie oft umfangreiche Informationen über den Weg, den eine E-Mail genommen hat, um Ihren Posteingang zu erreichen. Wie können Sie also eine E-Mail-Untersuchung auf persönlicher Ebene durchführen? Sie können mit der Beobachtung versteckter Details beginnen, wie zum Beispiel:

  • Prüfen Sie, ob die E-Mail-ID des Absenders und die E-Mail-ID des Rücksendepfads übereinstimmen.
  • Prüfen Sie, ob die „Reply-to“-E-Mail-ID mit der „From“-E-Mail-ID identisch ist.
  • Wenn die „X-Verteilung“ umfangreich ist, ist das ein Hinweis auf Spam.
  • X-Spam Score und X-Spam Flag helfen bei der Feststellung, ob es sich um eine Spam-E-Mail handelt.

Cyberforensiker nutzen diese Informationen bei ihren E-Mail-Untersuchungen, um die Schuldigen aufzuspüren.

Laut Googles Threat Analysis Group (TAG) wurden im Jahr 2021 rund 50.000 Warnungen an betroffene Kunden verschickt, wenn Cyberangriffe jeglicher Art, einschließlich E-Mail-Angriffe, festgestellt wurden.

E-Mail-Server-Untersuchung

Forensische Spezialisten setzen Techniken zur Untersuchung von E-Mail-Servern ein, um den Ursprung einer E-Mail zu ermitteln. Wenn der Absender oder Empfänger die E-Mail gelöscht hat, suchen die Ermittler beim Internetdienstanbieter (Internet Service Provider, ISP) oder auf Proxyservern nach einer gespeicherten Kopie. Ein Proxyserver ist ein Zwischen-Gateway zwischen dem Endnutzer und der Domain der Website.

Außerdem können ISP- und Proxyserver Informationen über die Adresse des Absenders preisgeben, was die E-Mail-Untersuchung beschleunigt.

Beginnen Sie bei einer E-Mail-Untersuchung so früh wie möglich mit der Durchsicht der Protokolle. Das Hypertext Transfer Protocol (HTTP) und das Simple Mail Transfer Protocol (SMTP) werden häufig von ISPs archiviert.

SMTP ist das gängige Protokoll für den Nachrichtenversand. Je später Sie also beginnen, desto mehr Zeit und Mühe kostet es, die für Ihre E-Mail-Untersuchung erforderlichen Informationen zu beschaffen.

Untersuchung von Netzwerkgeräten

Manchmal sind die oben erwähnten Protokolle nicht verfügbar. Dies könnte auf eine fehlende Konfiguration oder die Verweigerung der Freigabe von Protokolldateien zurückzuführen sein. In dieser Situation überprüfen forensische Cyber-Experten die von Netzwerkgeräten wie Switches und Routern gespeicherten Daten.

Fingerabdrücke des Absenders

Zusätzlich zu den Kopfzeilen „Betreff“, „Von:“ und „An:“ enthalten E-Mails X-Kopfzeilen. Fachleute verfolgen diese Informationen, um die IP-Adresse des Absenders zu ermitteln.

Bei der Untersuchung einer E-Mail werden mit dem Ansatz der Absender-Fingerabdrücke die Software des Absenders und deren Version identifiziert. Zum Beispiel Gmail, Outlook, Hotmail und andere.

In Software eingebettete Kennungen

Die Software des Absenders enthält einige zusätzliche Informationen über die Nachricht und die Anhänge, die für die E-Mail-Untersuchung entscheidend sind. Softwareprogramme, die zur Erstellung einer Nachricht oder Datei verwendet werden, erfassen solche Informationen. Zum Beispiel Microsoft Word oder Adobe Photoshop.

Wenn Sie wissen möchten, wie Sie eine Phishing-Mail untersuchen können, finden Sie diese Informationen in Form von benutzerdefinierten Kopfzeilen oder MIME-Inhalten (Multipurpose Internet Mail Extensions) als Transport Neutral Encapsulation Format (TNEF).

MIME ist ein Internet-Standard, der für die Übertragung von einzelnen Texten, mehreren Texten oder Nicht-Text-Anhängen eingesetzt wird. TNEF ist ein exklusives und nicht geteiltes Format für E-Mail-Anhänge, das von Microsoft Outlook und Microsoft Exchange Server verwendet wird.

Fazit

Angesichts der ständig zunehmenden Fälle von Spamming, Phishing, Identitätsdiebstahl und anderer Cyberkriminalität sollten Unternehmen jeder Größe in die Cybersicherheit investieren. Die E-Mail-Untersuchung gehört zu den Prozessen, die zur Identifizierung der Schuldigen von Cyberkriminalität im Zusammenhang mit E-Mails erforderlich sind.

Die geopolitische Lage in der Welt hat sich auch auf die digitale Ebene ausgewirkt. Laut Forbes stiegen die von Russland ausgehenden Cyberangriffe innerhalb von 48 Stunden nach dem ersten Angriff um 800 %.

Die oben beschriebenen Techniken könnten einen Laien überfordern. Doch die E-Mail-Experten von EasyDMARC sind immer bereit, alle Ihre Fragen zu beantworten.

E-Mail-Authentifizierung: Was ist das und warum ist es wichtig?

E-Mail-Authentifizierung: Was ist das und warum ist es wichtig?

Obwohl die E-Mail einer der wichtigsten Kommunikationskanäle für Privatpersonen und Unternehmen ist, war die...

Read More
Was ist eine DKIM-Signatur?

Was ist eine DKIM-Signatur?

Im Jahr 2020 erlebte die E-Mail als bevorzugtes Kommunikationsmittel weltweit einen rasanten Aufstieg. Durch...

Read More
Die 10 besten YouTube-Kanäle zum Thema Cybersicherheit

Die 10 besten YouTube-Kanäle zum Thema Cybersicherheit

Wenn Sie eine Karriere in der anspruchsvollen Welt der Cybersicherheit starten wollen, dann ist...

Read More