Was ist Spoofing? Bewährter Schutz gegen Betrugsmaschen
Sarah Kolberg | August 17, 2023
„Spoof“ bedeutet Schwindel, der englische Begriff „Spoofing“ kann entsprechend mit Manipulation, Verschleierung oder Vortäuschung übersetzt werden. Spoofing beschreibt verschiedene Betrugsmethoden und Täuschungsmanöver, mit denen Angreifer eine möglichst glaubwürdige Identität vorgeben, um an vertrauliche Daten zu gelangen. Spoofing ist zudem ein wichtiges Instrument für die Erstellung von Phishing-Inhalten. Die Betrugsmasche kann jedoch auch eingesetzt werden, um Malware in ein Netzwerk oder auf ein Endgerät einzuschleusen.
Welche Arten von Spoofing gibt es?
Bei der jeweiligen Form der Kommunikation wird der Sender als vertrauenswürdige Quelle für den jeweiligen Empfänger dargestellt. Diese Tarnung soll Opfer des Angriffs zu unvorsichtigem Verhalten verleiten, um Aktionen auszuführen, die für weitere Schritte des Angriffs notwendig sind.
Um eine falsche Identität zu suggerieren, gibt es je nach Medium, Art der Kommunikation und Angriffsfläche verschiedene Arten von Spoofing.
Call-ID Spoofing & Telefon-Spoofing
Telefon-Spoofing ist die wohl die älteste Art des Spoofing. Die bekannteste Form des Telefonbetrugs ist der Enkeltrick. Bei diesem werden gezielt ältere Menschen nach Geld von ihren vermeintlichen Enkelkindern gefragt. Mit Call-ID Spoofing wird der Telefonbetrug noch glaubwürdiger. Die eingehende Rufnummer wird manipuliert. Dabei kann mithilfe einer bestimmten Vorwahl eine Region vorgetäuscht werden, in einigen Fällen sogar ein offizielles Amt oder eine Bank. Das Call-ID-Spoofing kann auch im Zusammenhang mit SMS-Textnachrichten genutzt werden. Ein bekanntes aktuelles Beispiel ist die Aufforderung per SMS, eine Zollgebühr für eine Online-Bestellung zu zahlen.
E-Mail Spoofing
Beim Mail Spoofing wird der E-Mail-Absender sowie das Look & Feel der Mail angeglichen, um die Täuschung möglichst perfekt zu machen. Beispielsweise wird die E-Mail-Adresse einer Bank verwendet, die 1 zu 1 aussieht, wie die originale Mailadresse. Jedoch wird der lateinische Buchstabe „a“ durch das kyrillische „а“ ausgetauscht oder an Stelle eines kleinen „l“ wird ein großes „I“ verwendet. Zugleich wird das E-Mail-Format bzw. der Header der echten E-Mail eines Absenders verwendet. Die Mail wirkt gleich und entsprechend vertrauenswürdig. In der Mail werden dann Bankdaten oder Logins abgefragt oder gefährliche Anhänge versendet. E-Mail Spoofing ist ein Grundbaustein für Phishing-Mails. Zuletzt gab es eine Reihe von Phishing-Mails, die an den Kundenstamm der ING-DiBa versendet wurden und sich als die Bank ausgaben, um die Logins von Online-Banking-Accounts zu stehlen.
ARP Spoofing
Das jeweilige Endgerät wird beim ARP Spoofing als ein Netzwerkmitglied getarnt. Ziel ist es, sensible Daten abzufangen. Hacker führen Gespräche mit Mitarbeitenden eines Unternehmens. Sie geben sich dabei als beide Gesprächspartner aus. Jeder der Mitarbeiter denkt, er spricht mit einem Kollegen oder einer Kollegin. Tatsächlich sprechen beide mit dem Hacker. Dieser kann die Informationen aus dem Gespräch nutzen, um seinen Betrug im anderen Gespräch noch glaubwürdiger zu machen. So kann er an mehr und mehr Informationen gelangen.
MAC Spoofing
MAC Spoofing findet auf der Media Access Control Layer (MAC-Layer), der zweituntersten Schicht des Netzwerkes, statt. Hier wird die physische Verbindung verschiedener Computer geregelt. Die MAC-Layer ermöglicht den Zugriff für die Übertragung von Daten mithilfe von Netzwerkprotokollen. Beim MAC Spoofing wird entweder eine falsche MAC-Adresse hinterlegt oder die Zuordnung zwischen MAC- und IP-Adresse manipuliert.
So können Angreifer auf der lokalen Netzwerkebene Einblick in den Datenverkehr eines Netzwerkgeräts erlangen oder Sichermaßnahmen umgehen, die auf Basis der MAC-Adresse funktionieren. Diese Methode kann eingesetzt werden, um
Datenverkehr umzuleiten und Daten abzugreifen.
IP Spoofing
Die Datenpakete, die in einem Netzwerk versendet werden, erhalten beim IP Spoofing falsche Absenderadressen. Konkret wird hierbei die IP-Adresse abgeändert, sodass als Quelle ein anderes Gerät vermutet wird. Die Header von IP-Paketen lassen sich recht problemlos adaptieren, da hier meist begrenzte Schutzmaßnahmen erfolgen. Diese Art des Spoofing wird häufig genutzt, um Datenpakete einzuschleusen oder um Denial-of-Service-Angriffe (DoS-Angriffe) umzusetzen. Bei dieser Art des Angriffs werden gezielt die Systeme des Opfers überlastet, sodass der Betrieb gefährdet ist.
URL Spoofing
Beim URL Spoofing wird eine falsche URL verteilt. Diese führt zu schädlichen Websites oder Servern. Der HTML-Title und die tatsächlich hinterlegte URL müssen bei einem Link nicht übereinstimmen. So können ohne großen Aufwand gefährliche Links verteilt werden.
GPS Spoofing
Beim GPS Spoofing wird das tatsächliche GPS-Signal mit Störsignalen überlagert, die ein GPS-Signal nachahmen, jedoch andere Koordinaten vermittelt. Dies kann beispielsweise genutzt werden, um Drohnen abzufangen.
DNS Spoofing
Beim DNS Spoofing werden manipulierte Einträge im Domain Name System (DNS) hinterlegt. Domainnamen wird eine falsche IP-Adressen zugeordnet. Dies kann die Umleitung des Datenverkehrs zu einem anderen Server ermöglichen.
Wie kann man sich vor Spoofing schützen?
Es gibt verschiedene Methoden, um sich vor Spoofing zu schützen und präventiv dagegen vorzugehen.
Phishing-Training: Über den Verteiler des Unternehmens werden regelmäßig Test-Phishing-Mails verschickt und geprüft, wie viele Mitarbeiter daraufklicken. So erfolgt eine kontinuierliche Sensibilisierung des Teams für Phishing-Inhalte und Spoofing. Diese Maßnahme sollte durch Security Awareness Trainings begleitet werden.
Inhalte prüfen und wachsam sein: Klicken Sie niemals leichtfertig auf Links und prüfen Sie zuvor, ob die Quelle glaubwürdig ist, insbesondere dann, wenn Aktionen von Ihnen gefordert werden. Auf Anfragen nach persönlichen Daten sollten Sie meist gar nicht eingehen, vor allem dann, wenn sie mit Nachdruck und einer zeitlichen Deadline eingefordert werden. Sie können verdächtige Inhalte oder Identitäten über andere Geräte oder Kanäle prüfen. Beispielsweise können Sie die hinterlegte Telefonnummer bei Mail-Spoofing anrufen und sich die Echtheit der Mail bestätigen lassen. Falls ein Spoofing-Inhalt auf eine Accountsperre hinweist, können Sie den Account auf einem anderen Gerät öffnen und sich vergewissern, dass mit Ihrem Account alles in Ordnung ist.
Vorsichtiges Verhalten bei versehentlichen Klicks: Falls Sie doch auf einen verdächtigen Link geklickt haben, geben Sie keine Logins oder sonstige Daten in die weiterführenden Eingabemasken ein. Falls Sie gespeicherte Passwörter auf dem Gerät haben, löschen Sie diese zeitnah nach dem Klick. Öffnen Sie im Nachgang keine sensiblen Applikationen mit dem Gerät und setzen Sie es ggf. auf die Werkeinstellungen zurück. Informieren Sie Ihr IT-Team über den Vorfall.
Spoofing melden: Um Wellen von Spoofing zu brechen, sollten Sie Betrugsfälle melden. Geben Sie Ihrem internen IT-Team Bescheid. Zahlreiche Mail-Provider haben neben der Antwort-Option im Dreipunkte-Menü die Möglichkeit Phishing-Mails direkt zu melden, um weitere User vor den Inhalten zu warnen. Wird eine Bank oder sonstiger Anbieter imitiert, sollten Sie diesen möglichst über den Betrug informieren.
Technische Möglichkeiten nutzen: Neben den zahlreichen organisatorischen Methoden gegen Spoofing vorzugehen, gibt es auch einige technische Möglichkeiten für Anti Spoofing. Altbewährte Konzepte sind Spamfilter und Firewalls. Stellen Sie mit Multi-Faktor-Authentifizierung sicher, dass ein Passwort allein nicht ausreicht, um in sensible Accounts zu gelangen. Mithilfe von Network Access Control und entsprechenden Authentifizierungsverfahren können Sie unbefugte Zugriffe unterbinden. Mit dem Feature Advanced Security schützt Sie macmon NAC vor ARP-Spoofing, MAC IP Mismatch, MAC Address Flooding und MAC-Spoofing.