Im Fr¨¹hjahr 2024 warnte das FBI die US-B¨¹rger vor einer Spear-Phishing-Kampagne durch staatlich unterst¨¹tzte nordkoreanische Bedrohungsakteure.
Durch die Ausnutzung eines inkorrekt konfigurierten E-Mail-Sicherheitsprotokolls (DMARC, Domain-Based Message Authentication, Reporting, and Conformance) umgingen die Sicherheitsvorkehrungen, die bei ordnungsgem??er Aktivierung und Durchsetzung dazu beitragen, E-Mail-Dom?nen vor unbefugter Nutzung zu sch¨¹tzen. So war es ihnen m?glich, ¨¹ber Monate hinweg gef?lschte E-Mails zu versenden, in denen sie sich als Experten aus Wissenschaft, Forschung, Think Tanks und Journalismus ausgaben, bevor sie entdeckt wurden. Als Vorstufe zu Social Engineering und anderen Arten von Angriffen greifen Bedrohungsakteure regelm??ig auf identit?tsverschleiernde Spoofing-Techniken zur¨¹ck, um die Ziele ihrer Angriffe voranzutreiben, sei es der Diebstahl von Zugangsdaten, die Installation und der Einsatz von Malware, die Datenexfiltration oder sogar, wie in diesem Beispiel, Cyberspionage.
Was ist ein Spoofing-Angriff?
Ein Spoofing-Angriff ist eine Art von Cyberangriff, bei dem ein Bedrohungsakteur seine Identit?t verschleiert, wenn er ein potenzielles Opfer kontaktiert, damit der Kontakt legitim erscheint. Spoofing wird von Bedrohungsakteuren eingesetzt, um eine bekannte oder vertrauensw¨¹rdige Identit?t bei einem Ziel herzustellen und je nach Ziel des Angriffs anschlie?end Zugang zu Informationen zu erhalten, Malware zu starten, Daten zu stehlen oder andere b?sartige Handlungen vorzunehmen. Spoofing-Angriffe k?nnen ¨¹ber eine Vielzahl von Medien, Protokollen und Systemen durchgef¨¹hrt werden, auf die wir weiter unten n?her eingehen werden.
Wie ein Spoofing-Angriff funktioniert
Bei Spoofing-Angriffen k?nnen verschiedene Methoden zum Einsatz kommen, z.?B. gef?lschte E-Mails, die den Anschein erwecken, von einer vertrauensw¨¹rdigen Quelle zu stammen, oder Textnachrichten, die behaupten, von einer bekannten Kontaktperson oder Organisation zu kommen, etwa von einem IT-Helpdesk-Mitarbeiter oder einem Finanzinstitut. Wenn die Zielperson der Nachricht vertraut, ist der Angreifer seinem Ziel einen Schritt n?her gekommen. Geldmittel, Daten und andere wertvolle Informationen zu erlangen.
Die Phasen eines Spoofing-Angriffs sind:
1. Ein Bedrohungsakteur erh?lt eine M?glichkeit, mit dem potenziellen Opfer zu kommunizieren, sei es per E-Mail, per Telefon, durch das Spoofing einer h?ufig besuchten Webseite oder auf andere Weise.
2. Er gestaltet seine gef?lschte Kommunikation mit der Absicht, das Vertrauen seines potenziellen Opfers zu gewinnen ¨C ob dies ein Mensch oder eine technische Komponente einer Umgebung ist.
3. Wenn das Opfer auf die F?lschung hereinf?llt, kann der Bedrohungsakteur seinen Angriff durch Social Engineering wie Phishing oder andere Mittel vorantreiben.
Wie andere Formen von Cyberangriffen auch, k?nnen Spoofing-Angriffe einfach oder ausgekl¨¹gelt sein. Die Spam-E-Mail, die sich als Ihre Bank ausgibt, ist ebenso ein Spoofing-Angriff wie die personalisierte Textnachricht von “IT”, in der nach einem bestimmten Login f¨¹r eine bekannte Anwendung gefragt wird.
Arten von Spoofing-Angriffen
Es gibt viele Arten von Spoofing-Angriffen, die ein Bedrohungsakteur einsetzen kann, und oft werden diese Angriffe im Tandem eingesetzt, um Vertrauen aufzubauen oder weitere Informationen vom Ziel zu erhalten. Wie weiter unten erw?hnt, sind einige Spoofing-Angriffe eher einfacher Natur, w?hrend andere sehr technisch sind und schwieriger zu erkennen sein k?nnen.
1. Spoofing der Anrufer-ID.
Beim Spoofing von Anrufer-IDs werden h?ufig Voice-over-Internet-Protocol (VoIP)-Technologien oder webbasierte Spoofing-Plattformen verwendet, um die Telefonnummer, die an die Anrufer-ID des Ziels weitergeleitet wird, absichtlich zu f?lschen, damit es so aussieht, als k?me der Anruf von einer anderen Nummer. B?swillige Akteure verwenden h?ufig Telefonnummern, die mit einer bestimmten Person, Einrichtung, Vorwahl oder einem bestimmten Ort verbunden sind, um die Wahrscheinlichkeit zu erh?hen, dass eine Zielperson in ihrem Sinne darauf reagiert. E-Mails, die ¨¹ber gef?lschte E-Mail-Adressen versendet werden, k?nnen in Verbindung mit Anrufen genutzt werden, um die Glaubw¨¹rdigkeit des Betrugsversuchs zu erh?hen.
2. Spoofing von Textnachrichten oder SMS.
Bei dieser Taktik sendet ein Angreifer einer Zielperson eine SMS mit einer manipulierten Telefonnummer, die so gestaltet ist, dass sie eine legitime oder anderweitig bekannte Nummer imitiert. Die vermeintliche Legitimit?t oder Vertrautheit der Nummer und des Anrufers oder der Einrichtung, mit der sie in Verbindung steht, soll die Zielperson dazu bringen, auf einen Link zu klicken, Informationen bereitzustellen oder eine andere Handlung vorzunehmen, um einen Angriff voranzubringen.
3. Dom?nen-Spoofing.
Obwohl die Begriffe Dom?nen-Spoofing und Website-Spoofing (siehe unten) manchmal gleichbedeutend verwendet werden, geht es beim Dom?nen-Spoofing um die Erstellung eines Dom?nennamens, der dem einer anderen, h?ufig verwendeten und vertrauensw¨¹rdigen Dom?ne ?hnelt. Dies kann durch Buchstaben oder Zeichen erreicht werden, die die in der zu kopierenden Dom?ne verwendeten Zeichenketten nachahmen. Ein Beispiel hierf¨¹r w?re die Verwendung von zwei ?v¡° anstelle eines ?w¡°. Mit der gef?lschten Dom?ne k?nnen dann E-Mail-Adressen und Websites erstellt werden, die f¨¹r Angriffe genutzt werden k?nnen.
4. Website-Spoofing.
Website-Spoofing liegt hingegen vor, wenn ein Krimineller eine Website erstellt, die legitim aussieht, um einen Angriff voranzutreiben, indem Benutzer dazu gebracht werden, dort Informationen einzugeben oder wertvolle Daten bereitzustellen. Website-Spoofing wird h?ufig im Rahmen von Phishing- oder Smishing-Angriffen eingesetzt, bei denen der angegebene Link die Zielpersonen auf eine gef?lschte Website leitet, um Anmeldedaten zu stehlen oder die Benutzer zum Herunterladen von Schadcode zu bewegen.
5. E-Mail-Spoofing.
Bei E-Mail-Spoofing-Angriffen wird der E-Mail-Header, der den Namen, die Adresse und andere Felder des Absenders enth?lt, mit betr¨¹gerischen Informationen gef?lscht. Dies erm?glicht b?swilligen Akteuren, ihre wahre Identit?t zu verschleiern und sich als legitime Absender auszugeben. E-Mail-Spoofing-Angriffe sind m?glich, weil das SMTP-Protokoll (Simple Mail Transfer Protocol), das zum Senden und Empfangen von E-Mails verwendet wird, urspr¨¹nglich ohne Sicherheitsvorkehrungen entwickelt wurde. Gef?lschte E-Mails nutzen diese fehlende Sicherheitsebene aus, um E-Mail-Systeme so zu manipulieren, dass die betr¨¹gerischen Absenderinformationen im Posteingang des Empf?ngers erscheinen. Diese Art von Spoofing wird h?ufig bei Phishing-Angriffen eingesetzt und kann im Rahmen von Spear-Phishing-Angriffen sehr gezielt auf bestimmte Personen zugeschnitten werden.
6. Spoofing von IP-Adressen.
Beim IP-Spoofing verwendet der Bedrohungsakteur IP-Pakete, um die Quelle einer IP-Adresse zu ver?ndern und so den Anschein zu erwecken, der Datenverkehr stamme von einer vertrauensw¨¹rdigen Quelle. Bei dieser eher technischen Form des Spoofing wird versucht, die Entdeckung durch IP-?berwachungssoftware zu vermeiden, indem die Quelle so verborgen wird, dass der Angreifer die auf der IP-Adresse basierten Sicherheitsma?nahmen umgehen oder sich als Ger?t ausgeben kann. Da das Spoofing von IP-Adressen die Identit?t eines Angreifers verschleiert, ist dies eine Technik, die h?ufig bei Man-in-the-Middle (MitM)- und DDoS-Angriffen eingesetzt wird.
7. ARP (Address Resolution Protocol)-Spoofing.
ARP-Spoofing wird ebenfalls h?ufig bei Man-in-the-Middle (MitM)-Angriffen eingesetzt; dabei bringt ein Bedrohungsakteur ein Ger?t dazu, Daten an ihn statt an das beabsichtigte Ger?t oder den intendierten Benutzer zu senden. ARP-Spoofing findet nur in lokalen Netzwerken (LAN) statt. Wenn ein Angreifer Zugang zum Netzwerk hat, kann er mit diesem technischen Angriff Anmeldeinformationen, Daten und andere gew¨¹nschte Informationen erlangen, um seinen Angriff voranzubringen oder finanzielle Gewinne zu erzielen.
8. Domain Name Server (DNS)-Spoofing.
Bei dieser Art von Angriff, auch als ?Cache Poisoning¡° bezeichnet, f?lscht ein Angreifer einen Dom?nennamen, indem er den DNS-Cache manipuliert und den Benutzer anschlie?end auf seine gef?lschte Website statt auf die beabsichtigte Dom?ne leitet. DNS-Spoofing kann zur Unterst¨¹tzung von Phishing-Angriffen verwendet werden, bei denen ein Benutzer seine Anmeldedaten und andere vertrauliche Informationen auf der gef?lschten Website eingibt.
9. GPS-Spoofing.
Bei dieser Angriffsart, die h?ufig eingesetzt wird, um Personen oder Sendungen von ihrem Kurs abzubringen, sendet der Angreifer ein falsches Funksignal an eine Antenne, in der Hoffnung, das aktuelle GPS-Signal zu verf?lschen oder zu ¨¹berlagern. Auch wenn diese Art von Spoofing oft auf Konfliktgebiete oder Piraterieversuche beschr?nkt ist, kann es ernsthafte Folgen haben. wurde in den letzten Jahren wiederholt gegen Verkehrsflugzeuge eingesetzt.
Der Zusammenhang zwischen Phishing- und Spoofing-Angriffen
Wenn Spoofing-Angriffe oft wie Phishing wirken, dann liegt das daran, dass beide eng miteinander verwandt sind und beide das Vertrauen der Opfer durch T?uschung ausnutzen. Es gibt jedoch entscheidende Unterschiede.
Spoofing ist in der Regel technischer und konzentriert sich darauf, legitime Quellen durch F?lschung von Identit?tsdaten und Protokollen zu imitieren. Phishing hingegen geht ¨¹ber die Verwendung einer betr¨¹gerischen Identit?t hinaus und zielt darauf ab, die Empf?nger dazu zu bringen, pers?nliche Informationen preiszugeben oder eine Aktion auszuf¨¹hren.
Da Spoofing-Angriffe darauf abzielen, schnell Vertrauen aufzubauen, indem Angreifer sich als bekannte Kontaktperson oder Einrichtung ausgeben, dient Spoofing als effektiver Vorl?ufer f¨¹r weitergehende Social-Engineering-Angriffe. Daher wird Spoofing h?ufig in Verbindung mit Phishing-Kampagnen eingesetzt.
Wie man Spoofing-Angriffe verhindert
Da Spoofing verschiedene Formen annimmt, brauchen Unternehmen einen umfassenden Ansatz, um diese Angriffe zu stoppen. Es gibt viele Ma?nahmen, die ein Unternehmen ergreifen kann, um solche Angriffe zu verhindern, im Fr¨¹hstadium zu erkennen und darauf zu reagieren ¨C von menschlichen bis hin zu eher technischen Ma?nahmen.
1. F¨¹hren Sie regelm??ig und rechtzeitig Schulungen zum Sicherheitsbewusstsein durch.
Spoofing-Angriffe zielen auf Benutzer ab, wobei b?swillige Akteure ihren Opfern suggerieren, dass diese mit einer legitimen Quelle interagieren. Es ist daher wichtig, sich genau dagegen verteidigen zu k?nnen. Durch Sicherheitsschulungen, bei denen Benutzer ¨¹ber die Funktionsweise solcher Angriffe aufgekl?rt werden und lernen, sie in der Praxis zu erkennen (z.?B. durch ?berpr¨¹fung der URL oder Identifizierung des Absenders einer verd?chtigen Nachricht), und bei denen ihr Wissen mit Phishing-Simulationen getestet wird, k?nnen Unternehmen ihr Gesamtrisiko im menschlichen Bereich verringern und solche Angriffe stoppen, noch bevor sie beginnen.
2. Implementieren Sie die Multi-Faktor-Authentifizierung (MFA) und andere Zugangskontrollen in Ihrem gesamten Netzwerk.
Wenn ein Benutzer auf einen Spoofing-Angriff hereinf?llt und im weiteren Verlauf seine Anmeldedaten an einen Angreifer weitergibt, k?nnen MFA und andere Zugangskontrollen als Sicherung dienen und den Angriff bereits im Keim ersticken, w?hrend das Unternehmen darauf aufmerksam gemacht wird, dass etwas Verd?chtiges vor sich geht. Durch die Verhinderung von Seitw?rtsbewegungen kann das Unternehmen die Eskalation eines Angriffs verhindern und den Sicherheitsteams Zeit f¨¹r die Untersuchung und Reaktion geben.
3. Verwenden Sie E-Mail-Sicherheitstools.
Ein angemessener E-Mail-Schutz tr?gt wesentlich dazu bei, E-Mail-Spoofing und Phishing-Angriffe zu neutralisieren. Von einfachen unternehmensweiten Spam-Filtern bis hin zu anspruchsvolleren L?sungen, die b?sartige Links oder Nachrichten erkennen und Imitationen markieren k?nnen: Es gibt Tools, die Unternehmen dabei helfen, ihre E-Mail-Sicherheit zu erh?hen.
4. Aktivieren Sie eine Firewall und Netzwerksicherheitsma?nahmen.
Diese beiden Schutzma?nahmen wirken zusammen, um sowohl den Zugriff eines Bedrohungsakteurs auf ein Netzwerk zu verhindern als auch zu verhindern, dass er ARP-Spoofing-Angriffe, MitM-Angriffe oder sogar laterale Bewegungen nach einem Spoofing-Angriff startet. Die Netzsicherheit ist von entscheidender Bedeutung, um eine Vielzahl ausgekl¨¹gelter Angriffe zu verhindern, die alle ihren Ursprung in einem Spoofing-Angriff haben k?nnten.
5. Investieren Sie in Sicherheitsl?sungen zur ?berwachung, Erkennung und Reaktion.
In der heutigen, sich st?ndig weiterentwickelnden Bedrohungslage kann von einem Unternehmen kaum erwartet werden, dass es jede m?gliche Bedrohung stoppt, noch ehe sie eskaliert oder die eigene Umgebung erreicht. Cybersecurity ist ein Teamsport und durch die Zusammenarbeit mit einer Sicherheitsl?sung, die rund um die Uhr im Einsatz ist, verringern Unternehmen ihr Gesamtrisiko, da sie wissen, dass ihre Sicherheitsteams im Falle eines versuchten oder sogar erfolgreichen Spoofing-Angriffs alarmiert werden und in der Lage sind, schnell zu reagieren.
Erkunden Sie die Bedrohungslage im Detail und erfahren Sie, wie ein operatives Konzept das Cyberrisiko reduzieren kann ¨C mit dem Arctic Wolf Security Operations Report 2024.
Mit unserem Human Risk Behavior Snapshot k?nnen Sie besser verstehen, welche menschlichen Risiken in Ihrem Unternehmen bestehen und wie Sie eine Sicherheitskultur aufbauen k?nnen.
