Offensive Services

Spoofing – Das Verstecken hinter einer bekannten Quelle!

Aktualisiert am

Eine der gängigen Angriffsarten ist das sogenannte Spoofing. Anders als bei anderen Angriffen versucht hier ein Angreifer sich hinter einer bekannten Person oder Unternehmen zu verstecken. Es werden technische und soziale Methoden genutzt, um ein Opfer in die Falle zu locken und wertvolle Daten für den Angreifer zu erheben.

Die Spoofing Arten

Generell kann von verschiedenen Spoofing-Arten ausgegangen werden. Das wohl am wenigsten gefährliche Spoofing ist das GPS-Spoofing. Dies wird genutzt, um eine mobile Applikation auf dem Smartphone eine falsche Lokalisierung festzulegen. Die kann zum Beispiel genutzt werden, um auf zum Beispiel nur Lokal verfügbare Angebote zu nutzen. Ist ein Gutschein für die Verwendung eines eScooters nur in Hamburg einlösbar, so kann man mit GPS-Spoofing der App vortäuschen man sei in Hamburg und den Gutschein einlösen. Anschließend kann der im Konto gespeicherte Gutschein dann auch in Bielefeld verwendet werden. Inwieweit GPS-Spoofing für Angreifer, die es auf persönliche Daten abgesehen haben, sinnvoll ist, bleibt abzuwarten.

Ein vielleicht aus dem Fernsehen bekannter Spoofing Trick, wird häufig auch als „Enkel-Trick“ bezeichnet. Hier verwendet ein Angreifer das Telefon, um zum Beispiel ältere Menschen in die Irre zu führen und sich als vermeintlicher Enkel auszugeben. Meist wird darauf abgezielt, den Opfern Geld zu stehlen. Dies Funktioniert aber nicht nur bei älteren Personen der Gesellschaft. Je nach technischem Aufwand kann sogar die „110“ im Display angezeigt werden lassen. So geht man als normaler Bürger davon aus, dass die Polizei am Telefon ist. Dank IP-Basierter Anschlüsse wird das Telefon-Spoofing mit gefälschter Rufnummer allerdings für die Angreifer schwieriger, da ein Einfaches „aufschalten“ auf die Telefonleitung so nicht mehr möglich ist. Stattdessen wird versucht mit der Telefonnummer aus der Region des Opfers zu kommen, damit vom Angreifer direkt ein Bezug hergestellt werden kann. Ähnliches kann inzwischen auch mit Textnachrichten wie SMS vorkommen.

Eine etwas schwierige Art des Spoofings ist das IP-Spoofing, was häufig in Kombination mit dem Webseite Spoofing verwendet wird. Beim Webseite Spoofing wird ein Internetaufritt eines weitverbreiteten Unternehmens wie zum Beispiel PayPal kopiert. So tritt der Anschein auf, man würde sich auf der korrekten Webseite des Unternehmens befinden. Sich dort anzumelden, führt häufig zu Datendiebstahl von einem Angreifer. Da IP-Spoofing schwieriger im Vergleich zu Phishing ist, wird eher auf Phishing gesetzt, welcher einen breiteren Angriffspool an Opfern ermöglicht.
Diese Methode des Angriffs „biegt“ die eigentliche IP-Adresse von zum Beispiel der AWARE7 Webseite von 176.9.15.218 auf 123.456.678.901 um. Dies kann technisch durch ändern einer Domain Name System Anfrage (DNS) erreicht werden. Dies ist jedoch nur möglich, wenn sich der Angreifer bereits im Netzwerk befindet oder eine Malware auf dem Computer installiert hat.

Eine häufige Spoofing Art ist das E-Mail Spoofing. Hier wird ähnlich wie beim Telefon-Spoofing eine bekannte Person verwendet, um Informationen über jemanden zu erhalten. Da das in E-Mail verwendete Protokoll bereits relativ alt ist, ist es für einen Angreifer ein leichtes einen Absender-„Alias“ in einem E-Mail Programm einzutragen und so einem Opfer eine falsche Identität vorzuspielen. E-Mail Spoofing wird vermehrt in Kombination mit Webseite-Spoofing verwendet, was einem verbesserten Phishing-Angriff entspricht.

Eine falsche Identität kann in einer E-Mail sehr leicht verwendet werden. Daher ist Phishing die größte Bedrohung im Cyber-Sicherheits-Sektor.

Eine weitere Methode ist das ARP – Spoofing. Hier muss ein Angreifer sich physisch oder zumindest mit einem in der Nähe befindlichen Gerät vor Ort befinden. Es wird eine LAN / WLAN Methode genutzt, um einen Man-In-The-Middle Angriff durchzuführen und so Informationen über das Opfer zu erhalten. Anfragen werden anstatt zum Router direkt über das Gerät des Angreifers geleitet.

Angriffe Erkennen und verhindern

Spoofing-Angriffe zu erkennen ist anhand von einigen Merkmalen möglich, wenn auch schwierig. Ist eine Webseite gut nachgebaut, ist eine Erkennung möglicherweise über die Adresszeile oben noch möglich. Das Zertifikat, welche die Webseite schützt könnte nicht die gleichen Anforderungen haben, wie die Originalwebseite. Das Zeigt der Browser dann über eine Meldung wie „nicht-Sicher“ an. Ein Normalnutzer wird hierbei jedoch erhebliche Probleme haben, da häufig während der Nutzung nicht deutlich genug auf die Adresszeile geachtet wird.

Beim E-Mail Spoofing kann ebenfalls je nach E-Mail-Programm schnell erkannt werden. Gmail als Beispiel blendet, wenn sich die Absenderadresse nicht mit der Adresse des Mailservers übereinstimmt, ein „via xyz.de“ in Blau ein. Dies kann ein erster Hinweis auf eine entsprechende Attacke sein. Möglicherweise sind auch einige Auffälligkeiten in der E-Mail selbst zu finden. Wie zum Beispiel ein persönlich komplett unpassender Bekannter. Ich selbst als Autor dieses Blogbeitrags bekomme zum Beispiel vermehrt E-Mails von einem Schulkameraden, mit dem ich aber nie wirklich Kontakt hatte.

Telefon-Spoofing ist am einfachsten zu erkennen. Der Kontrollanruf ist dort am einfachsten. Einfach den vermeintlichen Anrufer, wie die Bank auf der im Telefonbuch oder im Internet angegebenen Telefonnummer zurückrufen. Wenn der Angreifer nicht auf der Telefonleitung selbst „aufgeklemmt“ ist, landet man so bei einer vertraulichen Person. Sollte dies nichts von dem Anruf wissen, so sind Sie dem Angriff erfolgreich entgangen. Kreditkartendaten und persönliche Daten sollten generell nur weitergegeben werden, wenn man selbst der Anrufer ist.

Foto des Autors

Vincent Reckendrees

Hallo, ich bin Vincent Reckendrees und leite das Team Offensive Services bei der AWARE7 GmbH. In meinem Bachelor und Master Studium habe ich mich auf IT-Sicherheit spezialisiert und BSI zertifizierter IS-Penetrationstester. Meine Leidenschaft gilt Reverse Engineering, Hardware- und Web-Sicherheit. Als Experte für Penetrationstests finde ich Schwachstellen in Systemen und Netzwerken und nutze sie, um realistische Cyberangriffe zu simulieren und Sicherheitsmaßnahmen zu verbessern. Durch Reverse Engineering entdecke ich Fehler und Verbesserungsmöglichkeiten in Software und Hardware. Meine Fähigkeiten in Hardware- und Web-Sicherheit ermöglichen es mir, physische Geräte und Online-Plattformen vor einer Vielzahl von Cyberbedrohungen zu schützen und ihre Integrität und Zuverlässigkeit zu gewährleisten.