Die IP-Nummer des Absenders einer E-Mail finden und analysieren

Jedes Gerät, das sich mit dem Internet verbindet, braucht eine Datennetzadresse, eine sogenannte IP-Adresse, damit es eindeutig identifiziert werden kann. Es ist quasi Ihr digitaler Fingerabdruck im Internet. Dabei ist es egal, ob es sich um einen PC, Smartphone, Tablet-PC oder das heimische Garagentor handelt, welches man bereits unterwegs über das Handy öffnen kann. Das Kürzel IP steht für Internet Protocol und ist ein weit verbreiteter Netzwerkstandard, mit dem in einer vorgeschriebenen Form, Informationen ausgetauscht werden können. Es gibt statische und dynamische IP-Adressen. Eine dynamische IP bekommen fast alle privaten Internetzugänge von ihren Internet-Providern zugeteilt, welche sich in der Regel nach 24 Stunden ändert. Jeder Provider hat einen eigenen IP-Nummernblock, der bei einer zentralen Registrierstelle eingetragen ist (in Deutschland ist die DENIC diese zentrale Registrierstelle). Statische IP-Adressen dagegen werden beispielsweise von Firmen genutzt, die mit eigenen Servern direkt mit dem Internet verbunden sind. So eine IP wird auf jenen Servern fest (statisch) eingetragen.

Anhand dieser IP-Adresse können Sie herausfinden, über welchen Provider Ihr  Gesprächspartner mit dem Internet verbunden ist und in welcher Region er sich ungefähr (ca. 100 km im Umreis) aufhält. Behauptet also Ihr Partner, dass er in Deutschland sei, aber die IP-Adresse weist beispielsweise auf einen Provider aus einer Region in Malaysia, dann können Sie davon ausgehen, dass irgendetwas nicht in Ordnung ist.

Jede E-Mail enthält einen sogenannten Header, in dem neben weiteren  Kopfinformationen alle IPs der Server aufgeführt sind, über die die E-Mail vom  Versender (Original-IP) bis zum Empfänger weitergeleitet wurde. Immer mehr Freemailer wie z.B. Google-Mail (@gmail.com) oder Microsoft (@hotmail.com, @live.com) leiten mittlerweile die Original-IP nicht mehr weiter, so dass es immer schwieriger wird, herauszufinden, in welcher Region sich der Betrüger aufhält. Ganz gewiefte Scammer benutzen im Internet VPN-Verbindungen oder Web-Proxys,  welche die IP verschleiern, bzw. den wahren Standort verbergen.

Bei der Vielzahl Freemail-Anbieter, die alle ihre eigene Vorgehensweise zum Anzeigen der E-Mail-Header haben, ist es nicht möglich, hier alle aufzuführen.

http://www-coding.de/mail-header-anzeigen/
http://whatismyipaddress.com/find-headers (englisch)

Im Internet existiert eine große Anzahl von Anleitungen zum Anzeigen der E-Mail-Header verschiedener Mail-Programme. Diese Anleitungen können per Suchmaschine gefunden werden.

Ein praktisches Beispiel: Ich habe heute morgen in den Spam-Ordner meines Yahoo-Kontos geschaut, auf der Suche nach einer interessanten Beispiel-Mail. Und tatsächlich, es liegt dort eine E-Mail von der Sparkasse mit dem Betreff „Sichern Sie Ihre Online-Banking-Konto“ (zum Vergrößern der Bilder einfach draufklicken):

Header1

Solche Mails sollte man eigentlich nicht aufmachen, sondern gleich löschen, aber meine Neugierde überwiegt. Die E-Mail enthält, wie erwartet, den Text einer typischen Phishing-Mail. Ich werde darin aufgefordert, auf einen Link zu klicken, um mich mit dem neuen Sicherheitssystem der Sparkasse zu verbinden und Angaben zu meinen Kontodaten und Online-Zugängen zu machen. Ich klicke nicht auf den Link, da ich mir kein virenverseuchtes Zeugs auf den Rechner laden möchte. Statt dessen sehe ich mir den E-Mail-Header an.

Dazu markiere ich die entsprechende Mail, gehe auf „Aktionen“ und wähle den Menüpunkt „Gesamten Header herunterladen“:

Header2

Daraufhin öffnet sich ein Fenster mit den Kopfinformationen der Mail (meine Adresse habe ich geschwärzt):

Header3

Wenn es schnell gehen soll, dann kopiere ich mir den gesamten Text aus dem Fenster in die Zwischenablage meines Rechners, gehe ins Internet auf das Analyse-Tool von iptrackeronline.com

http://www.iptrackeronline.com/email-header-analysis.php

und kopiere die Informationen aus der Zwischenablage in das Tool. Dann klicke ich dort auf den Button „Submit header for analysis“ und siehe da: Das Tool zeigt mir an, dass die vermutliche Original-IP im Header der Sparkassen-Email zu einem Provider in Italien gehört:

Header4

Warum aber sollte eine Sparkasse in Deutschland einen Internet-Provider in Italien nutzen? Das macht keinen Sinn, ist also ein klarer Fall von Betrug.

Wenn ich weitergehende Informationen aus dem E-Mail-Header erfahren möchte, dann benutze ich ein Analyse-Tool von Gaijin:

http://www.gaijin.at/olsmailheader.php

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s