Im Frühjahr 2024 warnte das FBI die US-Bürger vor einer Spear-Phishing-Kampagne durch staatlich unterstützte nordkoreanische Bedrohungsakteure.
Durch die Ausnutzung eines inkorrekt konfigurierten E-Mail-Sicherheitsprotokolls (DMARC, Domain-Based Message Authentication, Reporting, and Conformance) umgingen die nordkoreanischen Hacker Sicherheitsvorkehrungen, die bei ordnungsgemäßer Aktivierung und Durchsetzung dazu beitragen, E-Mail-Domänen vor unbefugter Nutzung zu schützen. So war es ihnen möglich, über Monate hinweg gefälschte E-Mails zu versenden, in denen sie sich als Experten aus Wissenschaft, Forschung, Think Tanks und Journalismus ausgaben, bevor sie entdeckt wurden. Als Vorstufe zu Social Engineering und anderen Arten von Angriffen greifen Bedrohungsakteure regelmäßig auf identitätsverschleiernde Spoofing-Techniken zurück, um die Ziele ihrer Angriffe voranzutreiben, sei es der Diebstahl von Zugangsdaten, die Installation und der Einsatz von Malware, die Datenexfiltration oder sogar, wie in diesem Beispiel, Cyberspionage.
Was ist ein Spoofing-Angriff?
Ein Spoofing-Angriff ist eine Art von Cyberangriff, bei dem ein Bedrohungsakteur seine Identität verschleiert, wenn er ein potenzielles Opfer kontaktiert, damit der Kontakt legitim erscheint. Spoofing wird von Bedrohungsakteuren eingesetzt, um eine bekannte oder vertrauenswürdige Identität bei einem Ziel herzustellen und je nach Ziel des Angriffs anschließend Zugang zu Informationen zu erhalten, Malware zu starten, Daten zu stehlen oder andere bösartige Handlungen vorzunehmen. Spoofing-Angriffe können über eine Vielzahl von Medien, Protokollen und Systemen durchgeführt werden, auf die wir weiter unten näher eingehen werden.
Wie ein Spoofing-Angriff funktioniert
Bei Spoofing-Angriffen können verschiedene Methoden zum Einsatz kommen, z. B. gefälschte E-Mails, die den Anschein erwecken, von einer vertrauenswürdigen Quelle zu stammen, oder Textnachrichten, die behaupten, von einer bekannten Kontaktperson oder Organisation zu kommen, etwa von einem IT-Helpdesk-Mitarbeiter oder einem Finanzinstitut. Wenn die Zielperson der Nachricht vertraut, ist der Angreifer seinem Ziel einen Schritt näher gekommen. Geldmittel, Daten und andere wertvolle Informationen zu erlangen.
Die Phasen eines Spoofing-Angriffs sind:
1. Ein Bedrohungsakteur erhält eine Möglichkeit, mit dem potenziellen Opfer zu kommunizieren, sei es per E-Mail, per Telefon, durch das Spoofing einer häufig besuchten Webseite oder auf andere Weise.
2. Er gestaltet seine gefälschte Kommunikation mit der Absicht, das Vertrauen seines potenziellen Opfers zu gewinnen – ob dies ein Mensch oder eine technische Komponente einer Umgebung ist.
3. Wenn das Opfer auf die Fälschung hereinfällt, kann der Bedrohungsakteur seinen Angriff durch Social Engineering wie Phishing oder andere Mittel vorantreiben.
Wie andere Formen von Cyberangriffen auch, können Spoofing-Angriffe einfach oder ausgeklügelt sein. Die Spam-E-Mail, die sich als Ihre Bank ausgibt, ist ebenso ein Spoofing-Angriff wie die personalisierte Textnachricht von “IT”, in der nach einem bestimmten Login für eine bekannte Anwendung gefragt wird.
Arten von Spoofing-Angriffen
Es gibt viele Arten von Spoofing-Angriffen, die ein Bedrohungsakteur einsetzen kann, und oft werden diese Angriffe im Tandem eingesetzt, um Vertrauen aufzubauen oder weitere Informationen vom Ziel zu erhalten. Wie weiter unten erwähnt, sind einige Spoofing-Angriffe eher einfacher Natur, während andere sehr technisch sind und schwieriger zu erkennen sein können.
1. Spoofing der Anrufer-ID. Beim Spoofing von Anrufer-IDs werden häufig Voice-over-Internet-Protocol (VoIP)-Technologien oder webbasierte Spoofing-Plattformen verwendet, um die Telefonnummer, die an die Anrufer-ID des Ziels weitergeleitet wird, absichtlich zu fälschen, damit es so aussieht, als käme der Anruf von einer anderen Nummer. Böswillige Akteure verwenden häufig Telefonnummern, die mit einer bestimmten Person, Einrichtung, Vorwahl oder einem bestimmten Ort verbunden sind, um die Wahrscheinlichkeit zu erhöhen, dass eine Zielperson in ihrem Sinne darauf reagiert. E-Mails, die über gefälschte E-Mail-Adressen versendet werden, können in Verbindung mit Anrufen genutzt werden, um die Glaubwürdigkeit des Betrugsversuchs zu erhöhen.
2. Spoofing von Textnachrichten oder SMS. Bei dieser Taktik sendet ein Angreifer einer Zielperson eine SMS mit einer manipulierten Telefonnummer, die so gestaltet ist, dass sie eine legitime oder anderweitig bekannte Nummer imitiert. Die vermeintliche Legitimität oder Vertrautheit der Nummer und des Anrufers oder der Einrichtung, mit der sie in Verbindung steht, soll die Zielperson dazu bringen, auf einen Link zu klicken, Informationen bereitzustellen oder eine andere Handlung vorzunehmen, um einen Angriff voranzubringen.
3. Domänen-Spoofing. Obwohl die Begriffe Domänen-Spoofing und Website-Spoofing (siehe unten) manchmal gleichbedeutend verwendet werden, geht es beim Domänen-Spoofing um die Erstellung eines Domänennamens, der dem einer anderen, häufig verwendeten und vertrauenswürdigen Domäne ähnelt. Dies kann durch Buchstaben oder Zeichen erreicht werden, die die in der zu kopierenden Domäne verwendeten Zeichenketten nachahmen. Ein Beispiel hierfür wäre die Verwendung von zwei „v“ anstelle eines „w“. Mit der gefälschten Domäne können dann E-Mail-Adressen und Websites erstellt werden, die für Angriffe genutzt werden können.
4. Website-Spoofing. Website-Spoofing liegt hingegen vor, wenn ein Krimineller eine Website erstellt, die legitim aussieht, um einen Angriff voranzutreiben, indem Benutzer dazu gebracht werden, dort Informationen einzugeben oder wertvolle Daten bereitzustellen. Website-Spoofing wird häufig im Rahmen von Phishing- oder Smishing-Angriffen eingesetzt, bei denen der angegebene Link die Zielpersonen auf eine gefälschte Website leitet, um Anmeldedaten zu stehlen oder die Benutzer zum Herunterladen von Schadcode zu bewegen.
5. E-Mail-Spoofing. Bei E-Mail-Spoofing-Angriffen wird der E-Mail-Header, der den Namen, die Adresse und andere Felder des Absenders enthält, mit betrügerischen Informationen gefälscht. Dies ermöglicht böswilligen Akteuren, ihre wahre Identität zu verschleiern und sich als legitime Absender auszugeben. E-Mail-Spoofing-Angriffe sind möglich, weil das SMTP-Protokoll (Simple Mail Transfer Protocol), das zum Senden und Empfangen von E-Mails verwendet wird, ursprünglich ohne Sicherheitsvorkehrungen entwickelt wurde. Gefälschte E-Mails nutzen diese fehlende Sicherheitsebene aus, um E-Mail-Systeme so zu manipulieren, dass die betrügerischen Absenderinformationen im Posteingang des Empfängers erscheinen. Diese Art von Spoofing wird häufig bei Phishing-Angriffen eingesetzt und kann im Rahmen von Spear-Phishing-Angriffen sehr gezielt auf bestimmte Personen zugeschnitten werden.
6. Spoofing von IP-Adressen. Beim IP-Spoofing verwendet der Bedrohungsakteur IP-Pakete, um die Quelle einer IP-Adresse zu verändern und so den Anschein zu erwecken, der Datenverkehr stamme von einer vertrauenswürdigen Quelle. Bei dieser eher technischen Form des Spoofing wird versucht, die Entdeckung durch IP-Überwachungssoftware zu vermeiden, indem die Quelle so verborgen wird, dass der Angreifer die auf der IP-Adresse basierten Sicherheitsmaßnahmen umgehen oder sich als Gerät ausgeben kann. Da das Spoofing von IP-Adressen die Identität eines Angreifers verschleiert, ist dies eine Technik, die häufig bei Man-in-the-Middle (MitM)- und DDoS-Angriffen eingesetzt wird.
7. ARP (Address Resolution Protocol)-Spoofing. ARP-Spoofing wird ebenfalls häufig bei Man-in-the-Middle (MitM)-Angriffen eingesetzt; dabei bringt ein Bedrohungsakteur ein Gerät dazu, Daten an ihn statt an das beabsichtigte Gerät oder den intendierten Benutzer zu senden. ARP-Spoofing findet nur in lokalen Netzwerken (LAN) statt. Wenn ein Angreifer Zugang zum Netzwerk hat, kann er mit diesem technischen Angriff Anmeldeinformationen, Daten und andere gewünschte Informationen erlangen, um seinen Angriff voranzubringen oder finanzielle Gewinne zu erzielen.
8. Domain Name Server (DNS)-Spoofing. Bei dieser Art von Angriff, auch als „Cache Poisoning“ bezeichnet, fälscht ein Angreifer einen Domänennamen, indem er den DNS-Cache manipuliert und den Benutzer anschließend auf seine gefälschte Website statt auf die beabsichtigte Domäne leitet. DNS-Spoofing kann zur Unterstützung von Phishing-Angriffen verwendet werden, bei denen ein Benutzer seine Anmeldedaten und andere vertrauliche Informationen auf der gefälschten Website eingibt.
9. GPS-Spoofing. Bei dieser Angriffsart, die häufig eingesetzt wird, um Personen oder Sendungen von ihrem Kurs abzubringen, sendet der Angreifer ein falsches Funksignal an eine Antenne, in der Hoffnung, das aktuelle GPS-Signal zu verfälschen oder zu überlagern. Auch wenn diese Art von Spoofing oft auf Konfliktgebiete oder Piraterieversuche beschränkt ist, kann es ernsthafte Folgen haben. Eine Version dieser Betrugsform wurde in den letzten Jahren wiederholt gegen Verkehrsflugzeuge eingesetzt.
Der Zusammenhang zwischen Phishing- und Spoofing-Angriffen
Wenn Spoofing-Angriffe oft wie Phishing wirken, dann liegt das daran, dass beide eng miteinander verwandt sind und beide das Vertrauen der Opfer durch Täuschung ausnutzen. Es gibt jedoch entscheidende Unterschiede.
Spoofing ist in der Regel technischer und konzentriert sich darauf, legitime Quellen durch Fälschung von Identitätsdaten und Protokollen zu imitieren. Phishing hingegen geht über die Verwendung einer betrügerischen Identität hinaus und zielt darauf ab, die Empfänger dazu zu bringen, persönliche Informationen preiszugeben oder eine Aktion auszuführen.
Da Spoofing-Angriffe darauf abzielen, schnell Vertrauen aufzubauen, indem Angreifer sich als bekannte Kontaktperson oder Einrichtung ausgeben, dient Spoofing als effektiver Vorläufer für weitergehende Social-Engineering-Angriffe. Daher wird Spoofing häufig in Verbindung mit Phishing-Kampagnen eingesetzt.
Wie man Spoofing-Angriffe verhindert
Da Spoofing verschiedene Formen annimmt, brauchen Unternehmen einen umfassenden Ansatz, um diese Angriffe zu stoppen. Es gibt viele Maßnahmen, die ein Unternehmen ergreifen kann, um solche Angriffe zu verhindern, im Frühstadium zu erkennen und darauf zu reagieren – von menschlichen bis hin zu eher technischen Maßnahmen.
1. Führen Sie regelmäßig und rechtzeitig Schulungen zum Sicherheitsbewusstsein durch. Spoofing-Angriffe zielen auf Benutzer ab, wobei böswillige Akteure ihren Opfern suggerieren, dass diese mit einer legitimen Quelle interagieren. Es ist daher wichtig, sich genau dagegen verteidigen zu können. Durch Sicherheitsschulungen, bei denen Benutzer über die Funktionsweise solcher Angriffe aufgeklärt werden und lernen, sie in der Praxis zu erkennen (z. B. durch Überprüfung der URL oder Identifizierung des Absenders einer verdächtigen Nachricht), und bei denen ihr Wissen mit Phishing-Simulationen getestet wird, können Unternehmen ihr Gesamtrisiko im menschlichen Bereich verringern und solche Angriffe stoppen, noch bevor sie beginnen.
2. Implementieren Sie die Multi-Faktor-Authentifizierung (MFA) und andere Zugangskontrollen in Ihrem gesamten Netzwerk. Wenn ein Benutzer auf einen Spoofing-Angriff hereinfällt und im weiteren Verlauf seine Anmeldedaten an einen Angreifer weitergibt, können MFA und andere Zugangskontrollen als Sicherung dienen und den Angriff bereits im Keim ersticken, während das Unternehmen darauf aufmerksam gemacht wird, dass etwas Verdächtiges vor sich geht. Durch die Verhinderung von Seitwärtsbewegungen kann das Unternehmen die Eskalation eines Angriffs verhindern und den Sicherheitsteams Zeit für die Untersuchung und Reaktion geben.
3. Verwenden Sie E-Mail-Sicherheitstools. Ein angemessener E-Mail-Schutz trägt wesentlich dazu bei, E-Mail-Spoofing und Phishing-Angriffe zu neutralisieren. Von einfachen unternehmensweiten Spam-Filtern bis hin zu anspruchsvolleren Lösungen, die bösartige Links oder Nachrichten erkennen und Imitationen markieren können: Es gibt Tools, die Unternehmen dabei helfen, ihre E-Mail-Sicherheit zu erhöhen.
4. Aktivieren Sie eine Firewall und Netzwerksicherheitsmaßnahmen. Diese beiden Schutzmaßnahmen wirken zusammen, um sowohl den Zugriff eines Bedrohungsakteurs auf ein Netzwerk zu verhindern als auch zu verhindern, dass er ARP-Spoofing-Angriffe, MitM-Angriffe oder sogar laterale Bewegungen nach einem Spoofing-Angriff startet. Die Netzsicherheit ist von entscheidender Bedeutung, um eine Vielzahl ausgeklügelter Angriffe zu verhindern, die alle ihren Ursprung in einem Spoofing-Angriff haben könnten.
5. Investieren Sie in Sicherheitslösungen zur Überwachung, Erkennung und Reaktion. In der heutigen, sich ständig weiterentwickelnden Bedrohungslage kann von einem Unternehmen kaum erwartet werden, dass es jede mögliche Bedrohung stoppt, noch ehe sie eskaliert oder die eigene Umgebung erreicht. Cybersecurity ist ein Teamsport und durch die Zusammenarbeit mit einer Sicherheitslösung, die rund um die Uhr im Einsatz ist, verringern Unternehmen ihr Gesamtrisiko, da sie wissen, dass ihre Sicherheitsteams im Falle eines versuchten oder sogar erfolgreichen Spoofing-Angriffs alarmiert werden und in der Lage sind, schnell zu reagieren.
Erkunden Sie die Bedrohungslage im Detail und erfahren Sie, wie ein operatives Konzept das Cyberrisiko reduzieren kann – mit dem Arctic Wolf Security Operations Report 2024.
Mit unserem Human Risk Behavior Snapshot können Sie besser verstehen, welche menschlichen Risiken in Ihrem Unternehmen bestehen und wie Sie eine Sicherheitskultur aufbauen können.
