Spoofing-Angriffe

Was ist ein Spoofing-Angriff? Wie können Sie diese erkennen und verhindern?

Was ist ein Spoofing-Angriff?

Spoofing ist der Akt der Verschleierung einer Kommunikation oder einer Identität, damit sie mit einer vertrauten, autorisierten Quelle in Verbindung gesetzt wird. Spoofing-Angriffe treten in unterschiedlicher Form auf, angefangen bei gängigen E-Mail-Spoofing-Angriffen in Phishing-Kampagnen bis hin zum Spoofing von Rufnummernanzeigen, das häufig mit dem Ziel des Betrugs eingesetzt wird. Angreifer nehmen mitunter im Rahmen ihres Spoofing-Angriffs auch die technischen Elemente des Unternehmensnetzwerks in den Fokus, wie die IP-Adresse, DNS oder das Adress Resolution Protocol (ARP).

Spoofing-Angriffe missbrauchen in der Regel Vertrauensbeziehungen, indem sie sich als eine Person oder Organisation ausgeben, die dem Opfer bekannt ist. In einigen Fällen – z.  B. Whale-Phishing-Angriffen, zu denen E-Mail- oder Website-Spoofing zählen – werden diese Nachrichten so auf das Opfer personalisiert, dass diese Person von der Legitimiät der Kommunikation überzeugt ist. Wenn der Benutzer nicht weiß, dass die Internetkommunikation gefälscht werden kann, ist es um so wahrscheinlicher, dass er oder sie auf den Spoofing-Angriff eingeht. 

Ein erfolgreicher Spoofing-Angriff kann schwerwiegende Konsequenzen haben. Ein Angreifer kann möglicherweise vertrauliche personenbezogene Daten oder Unternehmensdaten stehlen, Anmeldeinformationen für die Verwendung in zukünftigen Angriffs- oder Betrugsversuchen abrufen, Malware über bösartige Links oder Dateianlagen verbreiten und unerlaubten Netzwerkzugriff erlangen, indem Vertrauensbeziehungen missbraucht oder die Zugriffskontrollen umgangen werden. Möglicherweise startet der Angreifer sogar einen Denial-of-Service-Angriff (DoS) oder einen Man-in-the-Middle-Angriff (MITM) Angriff.

Was bedeutet das für das jeweilige Geschäft? Sobald es einem Spoofing-Angriff gelungen ist, das Opfer hinters Licht zu führen, könnte das Unternehmen einem Ransomware-Angriff ausgesetzt sein oder einen kostspieligen und geschäftsschädigenden Datenverstoß erleben. Business Email Compromise (BEC), bei dem ein Angreifer sich als firmeneigener Manager ausgibt und den Mitarbeiter auffordert, Geld auf ein Konto zu überweisen, das tatsächlich dem Hacker gehört, ist ein weiterer häufig auftretender Spoofing-Angriff. Auch könnte das Unternehmen feststellen, dass seine Website Malware verbreitet oder vertrauliche Daten stiehlt. Letztlich könnte das Unternehmen sich gerichtlich verantworten müssen, seine Reputation einbüßen und das Vertrauen der Kunden verlieren. Aus diesen Gründen ist es ratsam, sich über die aktuell kursierenden Spoofing-Angriffe zu informieren und wie man diese erkennen und verhindern kann.

IP-Adressen-Spoofing-Angriffe

In einem IP-Spoofing-Angriff sendet ein Angreifer IP-Pakete von einer verschleierten IP-Adresse, um seine wahre Identität zu verbergen. Angreifer nutzen IP-Adressen-Spoofing-Angriffe am häufigsten bei DoS-Angriffen, die ihr Ziel mit Netzwerkverkehr überwältigen. Bei einem derartigen Angriff setzt ein bösartiger Akteur eine verschleierte IP-Adresse ein, um Pakete an mehrere Netzwerkempfänger zu senden. Der Inhaber der realen IP-Adresse wird dann von allen Reaktionen überflutet, was möglicherweise eine Störung des Netzwerkdienstes bewirkt. Ein Angreifer kann auch die IP-Adresse eines Computers oder Geräts verschleiern, um sich Zugriff auf ein Netzwerk zu beschaffen, das Benutzer oder Geräte auf der Grundlage ihrer IP-Adresse authentifiziert. 

Anrufer-ID Spoofing-Angriffe

Spoofing-Angriffe können auch als Telefonanrufe eingehen. Bei einem Anrufer-ID-Spoofing-Angriff gibt der Betrüger vor, der Aufruf ginge von einer dem Empfänger bekannten und vertrauenswürdigen Nummer ein, oder alternativ einer Nummer, die mit einem bestimmten geografischen Standort verbunden ist. Ein Anrufer-ID Spoofer kann sogar eine Nummer einsetzen, die die gleiche Vorwahl und die gleichen Anfangsziffern der Telefonnummer des Opfers hat, in der Hoffnung, dass dieses den Anruf in der Annahme annimmt, dass es sich um eine vertraute Nummer handelt. Diese Praxis wird als „Neighbor Spoofing“ bezeichnet.

Wenn ein Opfer des Anrufer-ID-Spoofing den Anruf entgegennimmt, kann der Betrüger u.  U. sich als Darlehensbeauftragten oder einen anderen Vertreter einer offiziellen Einrichtung ausgeben. Der vermeintliche Vertreter wird dann versuchen, das Opfer zu überzeugen, vertrauliche Informationen zu übermitteln, die zum Betrug oder zur Ausführung anderer Angriffe eingesetzt werden.

E-Mail-Adressen-Spoofing-Angriffe

E-Mail-Spoofing beinhaltet den Versand von E-Mails unter Verwendung von falschen Absenderadressen. Angreifer nutzen E-Mail-Adressen-Spoofing häufig in sozial orchestrierten Phishing-Angriffen in der Hoffnung, die Empfänger davon zu überzeugen, dass diese E-Mail legitim ist, da sie von einer vertraulichen Quelle stammt. Wenn der Angreifer in der Lage ist, die Opfer dazu zu bewegen, einen bösartigen Link in der E-Mail anzuklicken, kann er die Anmeldedaten, finanziellen Angaben oder Firmendaten stehlen. Phishing-Angriffe über E-Mail-Spoofing können den Computer des Opfers auch mit Malware infizieren, oder in Fällen wie dem Business Email Compromise (BEC) die Opfer anweisen, Geld zu überweisen. Phishing-Varianten wie Spear-Phishing oder Whaling sind möglicherweise sorgfältig auf bestimmte Einzelpersonen im Unternehmen zugeschnitten und sind tendenziell sogar erfolgreicher.

Website-Spoofing-Angriffe

Bei einem Website-Spoofing-Angriff wird der Betrüger versuchen, eine bösartige Website genau wie ein legitimes Modell zu gestalten, das das Opfer kennt und dem es vertraut. Website-Spoofing ist häufig mit Phishing-Angriffen verbunden. Wenn Opfer auf einen Link in einer Phishing-E-Mail klicken, gelangen sie über den Link auf eine Website, die so aussieht wie eine von ihnen genutzte Website – z.  B. die Login-Seite ihrer Bank. Dort sehen die Opfer genau das gleiche Logo, das Branding und die von ihnen erwartete Benutzeroberfläche. Wenn sie dann ihre Anmeldedaten oder andere personenbezogene Daten eingeben, wird die Website diese Informationen jedoch für Angriffe oder Betrugsversuche abspeichern.

ARP Spoofing-Angriffe

Address Resolution Protocol (ARP) löst eine IP-Adresse auf seine physische Media Access Control (MAC) auf, um Daten über ein Local Area Network (LAN) zu übermitteln. Bei einem ARP-Spoofing-Angriff sendet ein bösartiger Akteur verschleierte ARP-Nachrichten über ein lokales Netzwerk mit dem Ziel, seine eigene MAC-Adresse mit einer legitimen IP-Adresse zu verknüpfen. Auf diese Weise kann der Angreifer Daten stehlen oder modifizieren, die an den Inhaber der betreffenden IP-Adresse gerichtet waren. 

Ein Angreifer, der als legitimer Host auftreten möchte, könnte auch auf Anfragen eingehen, auf die er mithilfe der eigenen MAC-Adresse nicht reagieren können sollte. Mit wenigen genau platzierten Paketen kann ein Angreifer den privaten Datenverkehr zwischen zwei Hosts aufspüren. Aus diesem Datenverkehr können wertvolle Daten extrahiert werden, z.  B. der Austausch von Sitzungs-Tokens, die den vollständigen Zugriff auf Anwendungskonten gewährleisten, auf die ein Angreifer niemals Zugriff haben sollte. ARP-Spoofing wird manchmal in MITM-Angriffen, DoS-Angriffen und Sitzungs-Hijacking eingesetzt.

DNS-Server-Spoofing-Angriffe

Das Domain Name System (DNS) löst Domänennamen in IP-Adressen auf ähnliche Weise auf, wie ARP IP-Adressen in MAC-Adressen auflöst. Bei der Durchführung eines DNS-Spoofing-Angriffs versucht ein Angreifer korrupte DNS-Cachedaten in einen Host einzuführen, um den Domänennamen des Hosts zu imitieren, z.  B. www.onlinebanking.com. Sobald dieser Domänenname erfolgreich verschleiert wurde, kann der Angreifer ihn einsetzen, um ein Opfer zu täuschen oder unbefugten Zugriff auf einen anderen Host zu erhalten.

DNS-Spoofing kann bei einem MITM-Angriff zum Einsatz kommen, bei dem ein Opfer unbeabsichtigt vertrauliche Informationen an einen bösartigen Host versendet, in der vermeintlichen Annahme, dass es sich um eine vertrauenswürdige Quelle handelt. Auch kann das Opfer auf eine Website umgeleitet werden, die Malware enthält. Ein Angreifer, der bereits erfolgreich eine IP-Adresse verschleiert hat, könnte die IP-Adresse eines DNS ganz leicht auflösen, indem er die IP-Adresse eines DNS-Servers in seine eigene IP-Adresse auflöst.

So erkennen Sie Spoofing-Angriffe

Die beste Möglichkeit, von Seiten des Benutzers einen Spoofing-Angriff zu verhindern, ist es auf Anzeichen zu achten, dass ein Verschleierungsangriff vorbereitet wird. Ein Phishing-Angriff über E-Mail-Spoofing verwendet beispielsweise häufig eine ungewöhnliche Grammatik, schlechte Rechtschreibung oder ungelenke Sprachwendungen. Die enthaltene Nachricht klingt möglicherweise dringend und kann dazu beitragen, Panik zu erzeugen, damit der Empfänger sich aufgefordert fühlt, sofort zu handeln. Bei weiterer Überprüfung lässt sich möglicherweise auch feststellen, dass die E-Mail-Adresse des Absenders in einem Buchstaben anders lautet oder dass die in der Nachricht enthaltene URL leicht anders geschrieben ist, als das normalerweise der Fall ist. Eine erstklassige Lösung zur Ereigniserkennung und Reaktion kann Ihr Unternehmen weiter schützen, indem es Sie über eine anomale Benutzeraktivität informiert.

Wenn Sie den Eingang einer verschleierten Nachricht vermuten, ganz gleich, ob sie über E-Mail, SMS oder einen anderen Kanal eingegangen ist, vermeiden Sie es, in der Nachricht auf Links oder Anlagen zu klicken. Um zu überprüfen, ob die Nachricht korrekt ist, wenden Sie sich über unabhängig vorliegende oder gefundene Kontaktdaten an den Absender. Verwenden Sie keine Telefonnummern oder andere Adressen in der Nachricht, da diese Sie möglicherweise nur mit dem Angreifer verbinden. Wenn die Nachricht Sie auffordert, sich in einem Konto anmelden, klicken Sie auch hier nicht auf den Link, sondern öffnen Sie in Ihrem Browser ein separates Register oder Fenster, und loggen sich so ein, wie Sie es normalerweise tun würden. 

So vermeiden Sie Spoofing-Angriffe

Intelligente Sicherheitstools können Ihnen dabei helfen, Spoofing-Angriffe zu verhindern. Ein Spam-Filter verhindert beispielsweise, dass die meisten Phishing-E-Mails jemals Ihren Posteingang erreichen. Einige Unternehmen und sogar einige Netzwerkbetreiber verwenden ähnliche Software, um Spam-Anrufe zu blockieren, bevor diese die Telefone ihrer Benutzer erreichen. Spoofing-Erkennungssoftware bietet möglicherweise zusätzlichen Schutz vor einigen der oben genannten Spoofing-Angriffe und verbessert Ihre Fähigkeit, diese zu erkennen und zu blockieren, bevor sie Schaden anrichten.

Bestimmte Best-Practices können auch die Wahrscheinlichkeit mindern, dass Sie auf einen Spoofing-Angriff hereinfallen. Vermeiden Sie es soweit möglich, sich in Ihrem Netzwerk auf Vertrauensbeziehungen zu verlassen. Andernfalls nutzen Angreifer diese Beziehungen aus, um erfolgreiche Spoofing-Angriffe zu inszenieren. Die Paktetfilterung kann einen IP-Spoofing-Angriff verhindern, da sie in der Lage ist, Pakete zu filtern und zu blockieren, die widersprüchliche Quellenadressendaten enthalten. Die Verwendung von kryptographischen Netzwerkprotokollen wie HTTP Secure (HTTPS) und Secure Shell (SSH) können Ihrer Umgebung eine weitere Schutzebene hinzufügen.