Computer-Forensik: Analyse von Angriffen

IP-Adressen rückverfolgen

An weiteren Details, wie der manuell gepflegten, realen Anrede mit Vornamen und Nachname in der richtigen E-Mail oder der Warnung des Providers der Empfänger-Domain "Domain2" in der Fake-E-Mail, dass es sich bei dem Absender um eine Domain aus einer so genannten Black-List handelt, lassen sich weitere Indizien für eine Fälschung fest machen. Endgültige Sicherheit brachte in diesem Fall zusätzlich die Untersuchung des PCs des Absenders: Mittels Untersuchung des Postausgangs, einem Virencheck, einem Portscan und der Suche nach aktiven, virus-eigenen SMTP-Prozessen (Ergebnisse alle negativ) wurde die Vermutung bestätigt, dass Benutzer1 nicht diese E-Mail versendet hat.

Den Beweis zu führen, dass die E-Mail nicht von Benutzer1 stammte, ist natürlich wesentlich einfacher, als den tatsächlichen Absender zu ermitteln. Durch die Fälschung der IP-Adresse beziehungsweise des Host-Namens des entscheidenden SMTP-Servers ist eine Rückverfolgung vom Ende der Kette her ohne Hinzuziehung der beteiligten Provider und Auswertung deren Logfiles praktisch unmöglich. Bei einem entsprechenden Interesse an der Verfolgung des Absenders wäre nun eine Analyse des Netzwerkprotokolls der beteiligten Router und SMTP-Server des Providers der Domain2 nötig.

Die Internet-Provider sind aufgrund der aktuellen Gesetzeslage zum Bereithalten dieser Daten für Strafverfolgungsbehörden verpflichtet. Da davon auszugehen ist, dass ein professionell arbeitender Spammer seine Spuren mehrfach verwischt, wird eine solche Auswertung nicht unmittelbar im nächsten Schritt auf die richtige IP-Adresse des Absenders verweisen. Durch die Nutzung dynamisch vergebener IP-Adressen bei Einwahl und möglicherweise durch eine unberechtigte Nutzung eines fremden Rechensystems wird man auf diese Weise den eigentlichen Verursacher nur äußerst schwer fassen können.