Der Begriff „Spoofing“ könnte in einigen Kontexten eine komische Implikation haben, aber es ist kein Witz, wenn es um Informationssicherheit geht. Tatsächlich ist dies Gegenstand eines ganz eigenen Kapitels im Handbuch eines erfahrenen Cyberkriminellen. Es umfasst eine Vielzahl von Techniken, die darauf abzielen, einen böswilligen Akteur oder Gerät als jemand oder etwas anderes zu tarnen., Ziel ist es, Vertrauen vorzutäuschen, in einem System Fuß zu fassen, Daten zu ergattern, Geld zu stehlen oder räuberische Software zu vertreiben.
Was können schwarze Hüte zu schmieden versuchen, um ihre Angriffe pan out zu machen? Eine Menge Dinge: eine IP – Adresse, eine Telefonnummer, eine Webseite, ein Anmeldeformular, eine E-Mail-Adresse, eine Textnachricht, ein GPS-Standort, ein Gesicht-Sie nennen es. Einige dieser Hoaxes Huckepack auf menschliche Leichtgläubigkeit, während andere Bargeld in auf Hardware-oder Softwarefehler ausnutzen., Von all den schändlichen Szenarien, die in die Form eines Spoofing-Angriffs passen, sind die folgenden 11-Typen heutzutage für das Unternehmen zunehmend wirkungsvoll.
-
ARP-Spoofing
Dies ist eine gemeinsame Quelle der man-in-the-middle-Angriffe. Um es auszuführen, überschwemmt ein Cyberkrimineller ein lokales Netzwerk mit gefälschten Adress Resolution Protocol (ARP) – Paketen, um den normalen Traffic-Routing-Prozess zu manipulieren. Die Logik dieser Störung läuft darauf hinaus, die MAC-Adresse des Gegners an die IP-Adresse des Standard-LAN-Gateways des Ziels zu binden., Nach dieser Manipulation wird der gesamte Datenverkehr auf den Computer des Übeltäters umgeleitet, bevor er das beabsichtigte Ziel erreicht. Um dies abzurunden, kann der Angreifer die Daten möglicherweise verzerren, bevor er sie an den tatsächlichen Empfänger weiterleitet oder die gesamte Netzwerkkommunikation stoppt. Als ob diese negativen Auswirkungen nicht genug wären, kann ARP-Spoofing auch als Startrampe für DDoS-Angriffe dienen.
-
MAC-Spoofing
Theoretisch sollte jeder in ein angeschlossenes Gerät integrierte Netzwerkadapter über eine eindeutige MAC-Adresse (Media Access Control) verfügen., In der Praxis kann ein cleverer Hack diesen Zustand jedoch auf den Kopf stellen. Ein Angreifer kann Unvollkommenheiten einiger Hardwaretreiber nutzen, um die MAC-Adresse zu ändern oder zu fälschen. Auf diese Weise maskiert der Kriminelle sein Gerät als eines, das in einem Zielnetzwerk registriert ist, um herkömmliche Zugriffsbeschränkungsmechanismen zu umgehen. Von dort aus kann er sich als vertrauenswürdiger Benutzer ausgeben und Betrügereien wie Business Email Compromise (BEC) orchestrieren, Daten stehlen oder Malware in der digitalen Umgebung deponieren.,
-
IP-Spoofing
Um diesen Angriff auszuführen, sendet der Gegner Internetprotokollpakete mit einer gefälschten Quelladresse. Dies ist eine Möglichkeit, die tatsächliche Online-Identität des Paketsenders zu verschleiern und sich dadurch als ein anderer Computer auszugeben. IP-Spoofing wird häufig verwendet, um DDoS-Angriffe in Bewegung zu setzen. Der Grund dafür ist, dass es für die digitale Infrastruktur schwierig ist, solche Schurkenpakete zu filtern, da jedes von einer anderen Adresse zu stammen scheint und die Gauner daher recht überzeugend legitimen Datenverkehr vortäuschen., Darüber hinaus kann diese Technik genutzt werden, um Authentifizierungssysteme zu umgehen, die die IP-Adresse eines Geräts als kritische Kennung verwenden.
-
DNS-Cache-Vergiftung (DNS-Spoofing)
Jeder technisch versierte Benutzer kennt das DNS-Wiki (Domain Name Server): Es ordnet Domänennamen bestimmten IP-Adressen zu, sodass Benutzer leicht zu merkende URLs in den Browser eingeben, anstatt die zugrunde liegenden IP-Zeichenfolgen einzugeben. Bedrohungsakteure können diese Zuordnungslogik möglicherweise durch Huckepack auf bekannten DNS-Server-Caching-Fehlern verfälschen., Infolge dieser Störung läuft das Opfer Gefahr, zu einer böswilligen Replik der beabsichtigten Domäne zu gelangen. Aus Sicht eines Cyberkriminellen ist dies eine perfekte Grundlage für Phishing-Hoaxes, die wirklich lebensecht aussehen.
-
E-Mail-Spoofing
Kern-E-Mail-Protokolle sind nicht einwandfrei und bieten möglicherweise einige Optionen für einen Angreifer, um bestimmte Nachrichtenattribute falsch darzustellen. Einer der häufigsten Vektoren dieses Missbrauchs besteht darin, den E-Mail-Header zu ändern., Das Ergebnis ist, dass die Absenderadresse (im Feld „Von“ angezeigt) mit einer legitimen übereinstimmt, während sie tatsächlich aus einer völlig anderen Quelle stammt. Der Angreifer kann diese Inkonsistenz nutzen, um sich als vertrauenswürdige Person wie Mitarbeiter, leitende Angestellte oder Auftragnehmer auszugeben. Die oben genannten BEC-Betrügereien sind stark auf diese Ausbeutung angewiesen, Social-Engineering-Bemühungen ziehen die richtigen Fäden, damit das Opfer ohne zweiten Gedanken grünes Licht für eine betrügerische Überweisung gibt.,
-
Website-Spoofing
Ein Betrüger kann versuchen, die Mitarbeiter einer Zielorganisation dazu zu bringen, eine „Kopie“ einer Website zu besuchen, die sie routinemäßig für ihre Arbeit verwenden. Leider sind Black Hats immer geschickt darin, Layout, Branding und Anmeldeformen legitimer Webseiten nachzuahmen. Koppeln Sie das mit dem oben genannten DNS-Spoofing-Trick – und die skizzenhafte Kombination wird extrem schwierig zu identifizieren. Das Fälschen einer Website ist jedoch eine halbherzige Taktik, es sei denn, sie wird durch eine Phishing-E-Mail unterstützt, die den Empfänger dazu verleitet, auf einen böswilligen Link zu klicken., Kriminelle nutzen in der Regel eine solche mehrgleisige Strategie, um Authentifizierungsdetails zu stehlen oder Malware zu verteilen, die ihnen Backdoor-Zugriff auf ein Unternehmensnetzwerk gewährt. URL\website-spoofing kann auch zu Identitätsdiebstahl führen.
-
Anrufer-ID-Spoofing
Obwohl dies ein Schema der alten Schule ist, ist es noch am Leben und tritt in diesen Tagen. Um es abzuziehen, nutzen schlecht gesinnte Personen Schlupflöcher in der Funktionsweise von Telekommunikationsgeräten aus, um Anruferdetails herzustellen, die Sie auf dem Bildschirm Ihres Telefons sehen. Offensichtlich sind die Anwendungsfälle nicht für Streichanrufe isoliert., Der Angreifer kann eine Anrufer-ID fälschen, um sich als Person, die Sie kennen, oder als Vertreter eines Unternehmens, mit dem Sie Geschäfte machen, weiterzugeben. In einigen Fällen enthalten die auf dem Display eines Smartphones angezeigten eingehenden Anrufdetails das Logo und die physische Adresse einer seriösen Marke, um die Wahrscheinlichkeit zu erhöhen, dass Sie das Telefon beantworten. Das Ziel dieser Art eines Spoofing-Angriffs ist es, Sie in die Offenlegung persönlicher Daten oder die Zahlung nicht vorhandener Rechnungen zu verwickeln.
-
Spoofing von Textnachrichten
Im Gegensatz zum Spoofing der Anrufer-ID wird diese Technik nicht unbedingt für zwielichtige Zwecke verwendet., Eine der Möglichkeiten, wie moderne Unternehmen mit ihren Kunden interagieren, besteht darin, Textnachrichten zu senden, in denen die ursprüngliche Entität als alphanumerische Zeichenfolge (z. B. Firmenname) und nicht als Telefonnummer angezeigt wird. Leider können Gauner diese Technologie im Handumdrehen bewaffnen. Ein typisches Szenario eines SMS-Spoofing-Angriffs ist, wenn ein Betrüger die SMS-Absender-ID durch einen Markennamen ersetzt, dem der Empfänger vertraut. Diese Identitätswechsel-Schikane kann zu einem Sprungbrett für Spear-Phishing, Datendiebstahl und zunehmend produktive Geschenkkartenbetrug werden, die auf Organisationen zurückgehen.,
-
Extension Spoofing
Jedem Windows-Benutzer ist bewusst, dass das Betriebssystem standardmäßig Dateierweiterungen außer Sichtweite hält. Dies geschieht zwar aus Gründen einer besseren Benutzererfahrung, kann jedoch auch betrügerische Aktivitäten und die Verbreitung von Malware fördern. Um eine schädliche Binärdatei als gutartiges Objekt zu tarnen, ist nur eine doppelte Erweiterung erforderlich. Zum Beispiel ein Artikel mit dem Namen Meeting.docx.exe sieht genauso aus wie ein normales Word-Dokument und hat sogar das richtige Symbol. Es ist jedoch tatsächlich eine ausführbare Datei., Die gute Nachricht ist, dass jede Mainstream-Sicherheitslösung den Benutzer benachrichtigt, wenn er versucht, eine solche Datei zu öffnen.
-
GPS-Spoofing
Da sich Benutzer zunehmend auf Geolocation-Dienste verlassen, um ein Ziel zu erreichen oder Staus zu vermeiden, können Cyberkriminelle versuchen, den GPS-Empfänger eines Zielgeräts zu manipulieren, um einen ungenauen Aufenthaltsort zu signalisieren. Was ist der Grund dafür? Nun, Nationalstaaten können GPS-Spoofing einsetzen, um das Sammeln von Nachrichtendiensten zu vereiteln und sogar die militärischen Einrichtungen anderer Länder zu sabotieren., Davon abgesehen steht das Unternehmen nicht wirklich am Rande dieses Phänomens. Hier ist ein hypothetisches Beispiel: Ein Täter kann das Navigationssystem stören, das in das Fahrzeug eines CEO eingebaut ist, der es eilig hat, sich mit einem potenziellen Geschäftspartner zu treffen. Infolgedessen nimmt das Opfer eine falsche Kurve, nur um im Verkehr stecken zu bleiben und zu spät zum Treffen zu kommen. Dies könnte den zukünftigen Deal untergraben.
-
Facial Spoofing
Die Gesichtserkennung ist heutzutage das Herzstück zahlreicher Authentifizierungssysteme und erweitert ihre Reichweite schnell., Abgesehen von der Verwendung dieser Technologie zum Entsperren elektronischer Geräte wie Smartphones und Laptops könnte das eigene Gesicht zu einem kritischen Authentifizierungsfaktor für die Unterzeichnung von Dokumenten und die Genehmigung von Überweisungen werden. Cyberkriminelle verpassen solche Hype-Züge nie, daher werden sie auf jeden Fall nach schwachen Gliedern in der Face ID-Implementierungskette suchen und diese ausnutzen. Leider kann dies ziemlich einfach sein. Beispielsweise haben Sicherheitsanalysten eine Möglichkeit aufgezeigt, die Gesichtserkennungsfunktion von Windows 10 Hello mithilfe eines modifizierten gedruckten Fotos des Benutzers zu täuschen., Betrüger mit genügend Ressourcen und Zeit an ihren Händen können zweifellos ähnliche Unvollkommenheiten ausgraben und verwenden.
Wie zur Abwehr von Spoofing-Angriffen?
Die folgenden Tipps helfen Ihrem Unternehmen, das Risiko eines Spoofing-Angriffs zu minimieren:
- Denken Sie daran, Ihr Organigramm neu zu erstellen. Es ist gut, wenn ES an CISO gemeldet wird. Architektur, Anwendungen, Management und Strategie bleiben bei der IT-Abteilung, aber wenn sie CISO Bericht erstatten, tragen sie dazu bei, dass ihre Prioritäten sicherheitsorientiert bleiben.
- Profitieren Sie von Penetrationstests und red Teaming., Es ist schwer, sich einen effektiveren Weg vorzustellen, wie ein Unternehmen seine Sicherheitslage von Grund auf beurteilen kann. Ein professioneller Pentester, der wie ein Angreifer denkt und handelt, kann dabei helfen, Schwachstellen im Netzwerk zu entdecken und dem IT-Personal umsetzbare Einblicke zu geben, was verbessert werden muss und wie seine Arbeit priorisiert werden kann. Gleichzeitig sorgen die Red Teaming-Übungen für eine kontinuierliche Bereitschaft des Sicherheitsteams, neue Angriffe zu erkennen und zu widerstehen.
- Erhalten Sie Sichtbarkeit auf allen Plattformen. Heute gibt es eine große Verbreitung von Daten aus Anwendungen, Cloud-Diensten usw., Die wachsende Anzahl von Quellen kann sich auf die Sichtbarkeit des CISO auswirken. Um Sicherheitsprobleme zu beheben, sollten Sie in der Lage sein, die Cloud -, Mobil-und On-Premise-Server zu überwachen und sofortigen Zugriff auf alle zu haben, um immer nach möglichen Vorfällen Ausschau zu halten und alle Aktivitäten zu korrelieren.
- Sag „Nein“ zu Vertrauensbeziehungen. Viele Organisationen beschränken ihre Geräteauthentifizierung allein auf IP-Adressen. Dieser Ansatz wird als Vertrauensbeziehungen bezeichnet und kann offensichtlich von Betrügern durch einen IP-Spoofing-Angriff parasitiert werden.
- Paketfilterung nutzen., Dieser Mechanismus wird verwendet, um ausgiebig Verkehrspakete zu analysieren,wie sie über ein Netzwerk durchstreifen. Es ist eine großartige Gegenmaßnahme für IP-Spoofing-Angriffe, da es Pakete mit ungültigen Quelladressdetails identifiziert und blockiert. Mit anderen Worten, wenn ein Paket von außerhalb des Netzwerks gesendet wird, aber eine interne Quelladresse hat, wird es automatisch herausgefiltert.
- Verwenden Sie anti-spoofing-software. Glücklicherweise gibt es verschiedene Lösungen, die die häufigsten Arten von Spoofing-Angriffen erkennen, einschließlich ARP-und IP-Spoofing., Zusätzlich zur Identifizierung solcher Versuche stoppt die Anti-Spoofing-Software sie in ihren Spuren.
Zusätzliche Vorsichtsmaßnahmen für das Personal
Beachten Sie, dass die Sicherheit eines Netzwerks so stark ist wie das schwächste Glied. Lass den menschlichen Faktor nicht dieser Link sein. Die Investition in ein Sicherheitsbewusstseinstrainingsprogramm ist definitiv die aufgewendeten Ressourcen wert. Es wird jedem Mitarbeiter helfen, seine Rolle im digitalen Wohlergehen des Unternehmens zu verstehen., Stellen Sie sicher, dass Ihre Mitarbeiter die verräterischen Anzeichen eines Spoofing-Angriffs kennen und sich an die folgenden Empfehlungen halten:
- Untersuchen Sie E-Mails auf Tippfehler und Grammatikfehler. Diese Ungenauigkeiten in einem E-Mail-Betreff und-Text können in einem Phishing-Szenario ein Werbegeschenk sein.
- Suchen Sie nach einem Vorhängeschlosssymbol neben einer URL. Jede vertrauenswürdige Website verfügt über ein gültiges SSL-Zertifikat, dh die Identität des Eigentümers wurde von einer Zertifizierungsstelle eines Drittanbieters überprüft. Wenn das Vorhängeschlosssymbol fehlt, zeigt dies höchstwahrscheinlich an, dass die Site gefälscht ist, und Sie sollten sofort weg navigieren., Die Kehrseite der Sache ist, dass es Problemumgehungen gibt, mit denen Übeltäter gefälschte Sicherheitszertifikate erhalten können, sodass Sie im Zweifelsfall besser zusätzliche Überprüfungen durchführen können.
- Klicken Sie nicht auf Links in E-Mails und sozialen Medien. Eine E-Mail, die Sie anweist, auf einen eingebetteten Link zu klicken, ist möglicherweise bösartig. Wenn Sie einen erhalten, überprüfen Sie unbedingt den Rest des Inhalts und überprüfen Sie den Namen und die Adresse des Absenders., Suchen Sie außerdem ein paar Sätze aus der Nachricht in einer Suchmaschine nach – wahrscheinlich ist dies Teil einer laufenden Phishing-Kampagne, die von anderen Benutzern gemeldet wurde.
- Bestätigen Sie verdächtige Anfragen persönlich. Wenn Sie eine E-Mail erhalten haben, angeblich von Ihrem Chef oder Kollegen, in der Sie aufgefordert werden, dringend einen Zahlungsvorgang abzuschließen, zögern Sie nicht, diese Person anzurufen und zu bestätigen, dass die Anfrage echt ist.
- Machen Sie Dateierweiterungen sichtbar. Windows verschleiert Erweiterungen, sofern nicht anders konfiguriert., Um den Trick der doppelten Erweiterung zu vermeiden, klicken Sie im Datei-Explorer auf die Registerkarte“ Ansicht „und aktivieren Sie das Kontrollkästchen“ Dateinamenerweiterungen“.