Wer Viren und Würmer via E-Mail verbreiten will, versteckt sich gern hinter seriös klingenden Absenderadressen: Sowohl Spam- als auch Phishing-E-Mail-Versender verschleiern damit ihre wahre Identität; denn Spam-Versand ist in Deutschland rechtswidrig. Außerdem soll der vertrauenerweckende Name die Chance erhöhen, dass Empfängerinnen und Empfänger die E-Mail tatsächlich öffnen.

Blick hinter die technische Kulisse: Spezielle Computerwürmer missbrauchen E-Mail-Adressen, um sich zu vermehren: Sie versenden sich selbst an jede Adresse, die sie auf einem infizierten System entdecken. Dafür durchforsten sie unter anderem Kontaktordner und HTML-Dateien. Die meisten Browser speichern kürzlich besuchte Webseiten für eine gewisse Zeit in einem sogenannten Cache, der somit zu einer ergiebigen Adressquelle für findige Computerwürmer wird. Ein zweiter Ansatzpunkt für Adressfälscher sind fehlerhaft eingestellte E-Mail-Server, die jede beliebige E-Mail-Adresse verarbeiten. Hierüber lassen sich auch E-Mails mit gefälschtem Absender verschicken. Demgegenüber versendet und empfängt ein korrekt eingestellter E-Mail-Server ausschließlich E-Mails aus einem bestimmten Adressbereich.

Spoofing – per E-Mail oder Anruf (Call-ID)

Beim Spoofing (engl. Manipulation, Verschleierung) geben sich Kriminelle am Telefon oder per E-Mail als seriöse Behörden, Unternehmen, Institutionen (z.B. Banken oder Vereine) oder Einzelpersonen aus. Sie tun dies, um entweder auf direktem Wege sensible und persönliche Daten abzugreifen oder einen weiteren Angriff - z.B. durch Verlinkung auf gefälschte Webseiten - vorzubereiten. Opfer werden meist von vermeintlich bekannten Telefon- oder E-Mail-Absendern kontaktiert. Die eigentliche Identität der Kriminellen bleibt dabei verschleiert.

Beim Spoofing via Telefon (Call-ID-Spoofing) ist die angezeigte Telefonnummer entweder bekannt oder leicht verlängert bzw. verändert, sodass ein Betrug (gerade unter möglichem Zeitdruck) erst einmal kaum auffällt. Versucht man beispielsweise eine solche veränderte Telefonnummer zurückzurufen, wird nicht die gefälschte Nummer, sondern die richtige Nummer angewählt und man landet bei der eigentlich bekannten Rufnummer - jedoch ohne, dass die angerufene Person von dem Betrug Kenntnis hat.

Spoofing ist Teil des sogenannten Social Engineerings und spielt mit dem Vertrauen oder der Angst von Menschen. Kriminelle nutzen dies, um - meist unter Zeitdruck - ihre Ziele, wie z.B. das Abgreifen von Konto- oder Zugangsdaten oder die Herausgabe von großen Mengen Bargeld, zu erreichen. Im Affekt geben die Opfer häufig nach und geben sensible Daten preis oder überreichen Bargeld. Die Gründe dafür sind vielfältig. Oftmals glauben die Opfer an die Seriosität der Behörde oder Institution oder werden von einer dargelegten Not- oder Gefahrensituation überrascht.

Das BSI empfiehlt dringend,

• zweifelhaften Aufforderungen nach persönlichen Daten oder Geld per E-Mail oder Anruf nicht nachzukommen,
• die Kommunikation schnellstmöglich zu beenden,
• die Person, Behörde oder das Unternehmen über einen anderen Kommunikationsweg zu kontaktieren und die Anfrage zu verifizieren.

Weitere Informationen zum Thema 'Manipulation von Rufnummern' bei der Bundesnetzagentur