Was ist Spoofing?
Spoofing ist eine Technik, bei der sich ein Cyberkrimineller als bekannte oder vertrauenswürdige Quelle tarnt. Spoofing kann viele Formen annehmen. Es gibt gefälschte E-Mails und Aufrufe, IP-Spoofing, DNS-Spoofing, GPS-Spoofing sowie Website Spoofing.
Auf diese Weise kann ein Bedrohungsakteur das Ziel angreifen und auf dessen Systeme oder Geräte zugreifen, um am Ende Informationen zu stehlen, Geld zu erpressen oder Malware bzw. andere schädliche Software auf dem Gerät zu installieren.
Angreifer manipulieren oft mehrere Kontaktpunkte (z. B. eine E-Mail-Adresse und Website), um die Kommunikation zu starten und den eigentlichen Angriff auszuführen. Cyberkriminelle können ein potenzielles Opfer zum Beispiel mit einer E-Mail-Adresse ansprechen und dann mit einer gefälschten Website die Anmeldedaten oder andere Informationen des Benutzers erfassen.
In den meisten Fällen nutzen Spoofing-Angriffe auch Phishing- und Social-Engineering-Techniken, um Aktivitäten zu initiieren oder zusätzliche Informationen zu sammeln. Mit diesen Methoden werden oft menschliche Emotionen wie Aufregung, Neugier, Empathie oder Angst ausgenutzt, um schnelles oder voreiliges Handeln zu bewirken. Cyberkriminelle verleiten ihre Opfer damit dazu, persönliche Informationen preiszugeben, auf böswillige Links zu klicken, infizierte Dateien herunterzuladen oder Lösegeld zu zahlen.
Arten von Spoofing-Angriffen
Spoofing-Angriffe gibt es in zahlreichen Varianten, von relativ einfach bis hochkomplex. Zu den gängigen Typen von Spoofing-Angriffen gehören:
E-Mail-Spoofing
Eine der gängigsten Arten von Spoofing-Angriffen ist das E-Mail-Spoofing. Dabei gibt sich ein Angreifer als bekannter, vertrauter oder plausibler Kontakt aus, indem er im Feld „Von“ einen vertrauenswürdigen Kontakt imitiert oder den Namen und die E-Mail-Adresse eines bekannten Kontakts nachahmt. Eine manipulierte E-Mail-Adresse könnte zum Beispiel eine Null (0) anstelle des Buchstabens O enthalten oder ein großes I durch ein kleines L ersetzen. In diesem Fall sprechen wir von einem homographischen Angriff oder von Visual Spoofing.
Bei den meisten E-Mail-Spoofing-Angriffen enthält die Nachricht Links zu schädlichen Websites oder infizierten Anhängen. Der Angreifer kann auch Social-Engineering-Techniken nutzen, um den Empfänger zur Preisgabe persönlicher Daten oder anderer vertraulicher Informationen zu verleiten.
Anrufer-ID-Spoofing
Ähnlich wie beim E-Mail-Spoofing wird beim Anrufer-ID-Spoofing die tatsächliche Telefonnummer eines Angreifers durch eine vertraute Telefonnummer verschleiert. Wenn der Empfänger das Gespräch entgegennimmt, geben sich die Angreifer in der Regel als Kundendienstmitarbeiter aus, um persönliche Informationen zu sammeln, z. B. die Sozialversicherungsnummer, das Geburtsdatum, Bankdetails oder sogar Kennwörter. Einige raffinierte Telefon-Spoofing-Angriffe können den Anruf zu einem internationalen Netzbetreiber oder einem Verbindungsnetzbetreiber umleiten, sodass die Rechnung der Opfer extrem hoch ausfällt.
Website Spoofing oder Domain Spoofing
Von Domain Spoofing ist die Rede, wenn ein Angreifer eine Website erstellt, die eine bestehende Website nachahmt – oft durch geringfügige Veränderung des Domänennamens. Diese Angriffe sollen Benutzer zur Anmeldung bei ihrem Konto verleiten, um dabei die Anmeldedaten oder andere persönliche Informationen aufzuzeichnen. Der Angreifer kann diese Daten dann auf einer vertrauenswürdigen Website einsetzen oder die Informationen verkaufen. Website-Spoofing-Angriffe werden in der Regel durch E-Mail-Spoofing ausgelöst, d. h. der Angreifer stellt mit einem fiktiven E-Mail-Konto zunächst den Kontakt her und leitet den Datenverkehr dann zur gefälschten Website.
IP-Spoofing
Angreifer können ihre IP-Adresse ändern, um ihre wahre Identität zu verbergen oder einen anderen Benutzer zu imitieren. Diese Technik wird häufig von erfahrenen Angreifern für DoS-Angriffe genutzt. Sie ändern damit ihre IP-Adresse, um die Website des Opfers mit Datenverkehr zu überfluten und dadurch den Zugriff für seriöse Benutzer einzuschränken. Weitere Informationen über DoS-Angriffe.
ARP-Spoofing (Address Resolution Protocol)
Address Resolution Protocol (ARP) bezeichnet die Zuordnung von IP-Adressen zu MAC-Adressen (Media Access Control), um Daten zu übertragen. Bei einem ARP-Spoofing-Angriff verknüpft der Angreifer seine MAC- mit einer seriösen Netzwerk-IP-Adresse, sodass er Daten empfangen kann, die eigentlich für den Besitzer dieser IP-Adresse gedacht sind. ARP-Spoofing wird häufig genutzt, um Daten zu stehlen oder zu ändern, kann aber auch bei DoS-Attacken und MitM-Angriffen (Man-in-the-Middle) oder beim Session Hijacking zum Einsatz kommen.
GPS-Spoofing
GPS-Spoofing ändert das GPS eines Geräts so, dass es sich bei einem Standort registriert, der nicht dem physischen Standort des Benutzers entspricht. Diese Technik wird zwar meistens bei Online-Spielen wie Pokémon GO verwendet, kann jedoch weit gefährlichere Auswirkungen haben. So lassen sich durch GPS-Spoofing zum Beispiel Navigationssysteme in Fahrzeugen aller Art umleiten, seien es PKWs, Zivilflugzeuge, Marineschiffe oder öffentliche Verkehrsmittel.
MITM-Angriffe (Man-in-the-Middle)
Ein Man-in-the-Middle-Angriff (MITM) ist eine Art von Cyberangriff, bei dem ein externer Akteur den Austausch zwischen einem Netzwerknutzer und einer Web-Applikation abfängt. Das Ziel eines MITM-Angriffs ist es, heimlich Informationen wie persönliche Daten, Kennwörter oder Bankdaten zu erfassen bzw. eine Partei nachzuahmen, um an zusätzliche Informationen zu gelangen oder Aktionen zu veranlassen. Zu diesen Aktionen gehören beispielsweise die Änderung von Anmeldedaten, das Abschließen einer Transaktion oder die Überweisung von Geldern. Diese Art von Angriff beinhaltet oft E-Mail-Spoofing, Website Spoofing oder beides, um Aktivitäten auszulösen und den Transfer von Daten abzuwickeln.
Gesichts-Spoofing
Eine neue Spoofing-Technik steht im Zusammenhang mit der Gesichtserkennung. Da inzwischen viele Menschen diese Technologie zum Entsperren ihrer Smartphones und Apps nutzen, suchen Cyberkriminelle nach Möglichkeiten, wie sie potenzielle Schwachstellen ausnutzen können. Forscher haben zum Beispiel gezeigt, dass sich aus Bildern, die in sozialen Medien gepostet werden, dreidimensionale Gesichtsmodelle erstellen lassen, mit denen Benutzergeräte per Face ID entsperrt werden können. Zu den weiteren Missbrauchsmöglichkeiten dieser Technologie zählt die Produktion von gefälschtem Videomaterial, das kompromittierende oder gar kriminelle Inhalte mit prominenten Stars, Politikern oder Geschäftsleuten zeigt, um Geld zu erpressen.
Wie läuft Spoofing ab?
Wie oben beschrieben, werden je nach Art des Angriffs andere Spoofing-Techniken eingesetzt. Beim E-Mail-Spoofing kann der Angreifer zum Beispiel einen ungesicherten E-Mail-Server hacken, um seine wahre Identität zu verbergen. Bei einem MitM-Angriff kann der Angreifer einen WLAN-Zugangspunkt erstellen, um Web-Aktivitäten abzufangen und persönliche Informationen zu sammeln. Es gibt auch relativ simple oder nichttechnische Spoofing-Techniken wie die Änderung des Feldes „Von“ in einer E-Mail-Nachricht.
Spoofing-Beispiele
In den meisten Fällen ist Spoofing nur ein Teil eines breiter angelegten digitalen Angriffs, weil eine gefälschte E-Mail, Website oder IP-Adresse allein in der Regel wenig Schadenspotenzial besitzt. Um einen echten Effekt zu erzielen, muss der Spoofer mithilfe von Phishing- oder Social-Engineering-Techniken zusätzlich persönliche Informationen sammeln oder Aktivitäten auslösen.
Hier werfen wir einen näheren Blick auf einige Spoofing-Beispiele aus der Praxis.
Spearphishing
Spearphishing-Angriffe versuchen, Mitarbeiter in bestimmten Unternehmen oder Branchen zu täuschen, um Zugriff auf das wahre Ziel zu erhalten: das Unternehmen selbst. Ein Spearphishing-Angriff kann sich zum Beispiel zunächst gegen Führungskräfte der mittleren Ebene richten, die in Finanzunternehmen in einer bestimmten geografischen Region arbeiten und deren Stellenbezeichnung mit Finanzen zu tun hat.
Für einen Spearphishing-Angriff kann der Angreifer eine Mischung aus E-Mail-Spoofing, dynamischen URLs und Drive-by-Downloads nutzen, um Sicherheitskontrollen zu umgehen. Komplexe Spearphishing-Angriffe können Zero-Day-Schwachstellen in Browsern, Anwendungen oder Plug-ins ausnutzen. Der Spearphishing-Angriff kann eine frühe Phase einer mehrstufigen hochentwickelten hartnäckigen Bedrohung (APT) darstellen, in deren weiterem Verlauf Binärdateien heruntergeladen werden, ausgehende Malware-Kommunikation stattfindet und Daten exfiltriert werden.
COVID-bezogene Angriffe
Auch in diesen noch nie dagewesenen Zeiten von COVID-19 stellt Phishing weiterhin die bevorzugte Zugriffsmethode der Bedrohungsakteure dar. Im April 2020 hat das CrowdStrike Intelligence-Team neue Phishing-Kampagnen aufgedeckt, die den Namen der Weltgesundheitsorganisation (WHO) missbrauchten und eine Social Engineering-Technik nutzten. Zudem verwendeten die Bedrohungsakteure gefälschte E-Mail-Adressen, um den Information-Stealer „AgentTesla“ mit einem Exploit-Dokument namens „Virgo“ bereitzustellen.
Cyber Front Lines Report
In diesem Bericht erhalten Sie einzigartige Einblicke in die Frontlinien und in die Cyberschlacht, die sich versierte Sicherheitsexperten aktuell mit äußerst raffinierten Bedrohungsakteuren liefern.
Download NowSo erkennen Sie Spoofing
In vielen Fällen lassen sich Spoofing-Angriffe relativ einfach erkennen und mit Sorgfalt und Aufmerksamkeit verhindern. Stellen Sie sich immer die folgende Fragen, um Spoofing-Angriffe zu erkennen:
Haben Sie um Kontaktaufnahme gebeten? Reagiert das Unternehmen oder die Organisation auf eine Anfrage oder werden Sie ohne jeden Anlass zu einer Aktivität aufgefordert? Benutzer können zum Beispiel ein Kennwort zurücksetzen, indem sie einen Link anfordern, der an die hinterlegte E-Mail-Adresse gesendet werden soll. Erhält ein Benutzer aber einen solchen Link, ohne ihn selbst angefordert zu haben, kann es sich um einen Spoofing-Versuch handeln.
Wird in der Nachricht nach vertraulichen Informationen gefragt? Seriöse Unternehmen und Behörden werden Benutzer niemals am Telefon oder in E-Mails nach vertraulichen Informationen wie vollständigen Kennwörtern oder Sozialversicherungsnummern fragen. Darüber hinaus werden sie nicht über Drittparteien oder externe Domänen nach Kennwörtern fragen. Im Zweifel sollte sich der Benutzer über die auf der jeweiligen offiziellen Website bereitgestellten Kontaktinformationen direkt an das Unternehmen oder die Behörde wenden.
Verwendet das Unternehmen eine andere Domäne? Wenn Sie eine Nachricht mit Links im Text erhalten, bewegen Sie den Zeiger über den Hyperlink-Text, um zu sehen, wohin der Link führt. Banken, Ärzte, Schulen oder andere seriöse Service-Anbieter werden nie versuchen, Aktivitäten oder Kommunikation über eine URL zu führen, die nicht ihrer aktuellen Domäne entspricht. Sie können sich auch vergewissern, dass die Felder „Von“ oder „Gesendet“ mit der offiziellen Domäne übereinstimmen. Wenn die Domäne von der angegebenen Domäne des Unternehmens abweicht, sollte der Benutzer sofort die offiziellen Kundendienstkanäle der Firma oder Behörde kontaktieren.
Verweist die Website oder der Link auf eine HTTPS-Adresse? Sichere Websites verwenden für Datenübertragungen fast immer HTTPS, die verschlüsselte Version von HTTP. Vergewissern Sie sich, dass die URL mit HTTPS beginnt und ein Schloss-Symbol in der Adresszeile angezeigt wird, bevor Sie die Website aufrufen. Klicken Sie nie auf einen Link, der nicht diese beiden Sicherheitsmerkmale aufweist.
Enthält die Nachricht unaufgefordert angehängte Dateien? Seriöse Firmen führen Benutzer für Zugriffs- und Downloadzwecke auf ihre offizielle Website. Laden Sie niemals angehängte Dateien herunter, die Sie nicht angefordert haben, auch wenn sie von einer vertrauenswürdigen oder vertrauenswürdigen Quelle wie einem Familienmitglied oder Kollegen stammen.
Ist die Nachricht persönlich formuliert und sieht sie professionell aus? Seriöse Service-Anbieter kommunizieren mit Kunden persönlich und professionell. Nur sehr selten beginnen E-Mails oder andere Nachrichten mit einer generischen Formulierung wie „Lieber Kunde“ oder „Sehr geehrte Damen und Herren“.
Enthält die Korrespondenz offensichtliche Grammatik- und Rechtschreibfehler? Am einfachsten lassen sich Spoofing-Versuche an häufig schlechter Grammatik und Rechtschreibung sowie schlechtem Design oder Branding erkennen. Einige vermuten vielleicht einen ausländischen Akteur mit begrenzten Sprachkenntnissen dahinter, tatsächlich handelt es sich dabei jedoch um eine bewusst eingesetzte Technik, um aufmerksame Benutzer auszusortieren und arglosere Opfer zu ködern.
2022 CrowdStrike Global Threat Report
Laden Sie den Global Threat Report 2021 herunter, um sich über die Trends zu informieren, die unsere Teams im letzten Jahr mit Blick auf die sich ständig weiterentwickelnden Taktiken, Techniken und Prozeduren von Angreifern beobachtet haben.
Jetzt herunterladenWie können Sie sich vor Spoofing schützen?
Normale Benutzer können sich am besten vor Spoofing schützen, indem sie auf Anzeichen für einen solchen Angriff achten. Wie oben beschrieben, gehören dazu:
- Klicken Sie nie auf unaufgefordert zugesendete Links und laden Sie nie unaufgefordert zugesendete Anhänge herunter.
- Melden Sie sich immer nur in einem neuen Browser-Fenster oder in der offiziellen App bei Ihrem Konto an – und nicht über einen Link in einer E-Mail oder einer Textnachricht.
- Rufen Sie nur URLs auf, die mit HTTPS beginnen.
- Geben Sie nie persönliche Informationen preis, z. B. IDs, Kontonummern oder Kennwörter, weder am Telefon noch in E-Mails.
- Bei Kontaktierung durch einen Kundendienstvertreter am Telefon oder per E-Mail führen Sie eine Google-Suche durch, um zu festzustellen, ob die Nummer oder Adresse bereits im Zusammenhang mit Betrugsversuchen aufgefallen ist.
- Verwenden Sie einen Kennwort-Manager, der automatisch ein gespeichertes Kennwort eingibt, wenn es sich um eine bekannte Website handelt (aber nicht, wenn die Website gefälscht ist).
- Verwenden Sie einen Spam-Filter, um die meisten gefälschten E-Mails noch vor Erreichen Ihres Posteingangs zu blockieren.
- Investieren Sie in Cybersicherheitssoftware, die viele Bedrohungen erkennt und sogar Infektionen Ihres Geräts verhindert.
- Aktivieren Sie Zwei-Faktor-Authentifizierung, wo immer das möglich ist. Sie erschwert Angreifern die Ausnutzung enorm.
Unternehmen müssen zusätzliche Maßnahmen ergreifen, um wertvolle geschäftliche Assets, Kunden, Mitarbeiter und ihre Reputation vor Cyberangriffen zu schützen. Dazu gehören folgende Schritte:
- Stellen Sie sicher, dass VPNs und MFA-Lösungen (Multifaktor-Authentifizierung) vollständig gepatcht und ordnungsgemäß konfiguriert und integriert werden.
- Nutzen Sie Machine Learning in Kombination mit Algorithmen zur Anomalieerkennung, um Angriffsmuster aufzudecken.
- Implementieren Sie einen Schutz vor unbekannten Bedrohungen wie Zero-Day-Schwachstellen.
- Suchen Sie nach Anzeichen für schädliche Aktivitäten, indem Sie auf Authentifizierungsfehler im Zusammenhang mit DMARC (Domain-based Message Authentication Reporting and Conformance), DKIM (Domain Keys Identified Mail) und SPF (Sender Policy Framework) achten.
- Scannen Sie die Eigenschaften empfangener E-Mails, einschließlich Anhangdetails, auf Malware-typische Anhänge (z. B. HTA, EXE und PDF) und leiten Sie verdächtige Nachrichten automatisch weiter, um nach weiteren Hinweisen auf Malware zu suchen.
- Entwickeln Sie für Ihre Mitarbeiter ein effektives Schulungsprogramm, das über Risiken und Hinweise für Spoofing-Angriffe und andere Exploit-Techniken informiert. Falls möglich, nutzen Sie Angriffssimulationen, um eine praxisnahe Schulungsumgebung zu erhalten.
Aufgrund der Vielfalt der Bedrohungslandschaft und Komplexität der globalen Unternehmensprozesse müssen Unternehmen neueste digitale Technologien nutzen, um Online-Angreifern immer einen Schritt voraus zu bleiben. Dabei sind cloudbasierte Sicherheitslösungen von besonderer Bedeutung, weil sie es dem Unternehmen erlauben, Tools schnell bereitzustellen sowie Updates und Anpassungen bei neuen Bedrohungen mit minimalen Ausfallzeiten vorzunehmen.