Ursprünglich ist „Spoofing“ als wohlgemeinte Nachahmung definiert – wie z. B. die Scary Movie-Reihe, die ein „Spoof“, also eine Parodie auf das Horrorfilm-Genre ist. Im Cybersicherheitsbereich ist „Spoofing“ eine Nachahmung von E-Mailadressen, Telefonnummern und Websites mit betrügerischer Absicht. Spoofing ist eine Bedrohung, die in den letzten Jahren immer schwerwiegender geworden ist, und wird als Taktik in Business Email Compromise (BEC)-Angriffen eingesetzt. Dem letzten Internet Crime Report des FBIs zufolge kosten BEC-Angriffe Opfer in den USA 2018 mehr als € 1,2 Milliarden.

Was ist Mail-Spoofing?

E-Mail-Spoofing ist eine Form von Hacking, bei der der E-Mail-Empfänger dazu gebracht werden soll zu glauben, dass der Absender eine vertraute Marke wie Microsoft oder PayPal oder ein Bekannter ist. Es ist auch ein Standardelement von Phishing und Spear-Phishing. Schauen Sie sich einmal das folgende Beispiel an: Sie erhalten eine E-Mail von support@appIe.com, in der Sie gebeten werden, Ihr Kennwort für Ihr iTunes-Konto zu bestätigen. Es ist eine verständliche Anfrage, also klicken Sie auf den Link und geben Ihre Apple-ID und Ihr Kennwort an einen Hacker weiter.

Was ist passiert? Um den Angriff zu verstehen, müssen Sie den Unterschied zwischen apple.com und appIe.com verstehen. Wie bitte? Sie sehen genauso aus, aber sie sind es nicht. Die eine Domain heißt apple.com, das ist die Website des tatsächlichen Unternehmens, die zweite heißt appIe.com mit einem großen „i“, das das kleine „l“ in „apple“ ersetzt. Es ist eine URL, die von einem Hacker eingerichtet wurde, und kein menschlicher Benutzer ist in der Lage, den Unterschied zu erkennen.

[Related] Phishers’ Favorites Top 25: Q1 2019 Weltweite Ausgabe

Die Bandbreite des Mail-Spoofings

E-Mail-Spoofing kann in ganz unterschiedlichen Komplexitätsgraden auftreten. Während einige Formen der Spoofing-Angriffe recht einfach sind, erfordern andere ein hohes Maß an technologischen Fertigkeiten und Ressourcen. Innerhalb dieses Spektrums gibt es drei große Spoofing-Arten:

Spoofing des angezeigten Displaynamens

Ein einfacher, aber effektiver Mail-Spoofing-Ansatz. In E-Mails wird normalerweise der Name des Absenders, nicht aber die E-Mailadresse angezeigt. Bei Mobilgeräten ist das fast immer der Fall. So funktioniert es: Sie erhalten auf Ihrem Mobilgerät eine E-Mail vom Displaynamen „Peter Williams“, die tatsächliche E-Mailadresse lautet jedoch xyz22@gmail.com. Der Angreifer geht davon aus, dass die meisten Menschen im hektischen Alltag, insbesondere auf Mobilgeräten, die E-Maildresse des Absenders nicht sorgfältig prüfen. Und sie haben Recht.

In Kombination mit Social Engineering, wie es eventuell beim Spear-Phishing passiert, kann ein Spoofing des Displaynamens Personen dazu veranlassen, Dinge zu tun, die sie normalerweise vermeiden würden. Der Angreifer recherchiert zum Beispiel den Empfänger und verwendet bekannte Fakten, um Vertrauen zu wecken, bevor er eine Anfrage startet. Dies ist bei Business Email Compromise, der auch als CEO Fraud bezeichnet wird, die angewandte Strategie, bei der ein Hacker vorgibt, ein hochrangiger Mitarbeiter zu sein und den Angestellten dazu auffordert, eine Überweisung zu machen.

Gehen wir beispielsweise davon aus, dass der CEO Ihres Unternehmens Don Smith heißt. Sie erhalten eine Nachricht von „Don Smith“ <dummy667@gmail.com> an einem Wochenende. Sie beginnt mit etwas so Unverfänglichem wie „Jim, bist du da?“. Da die E-Mail angeblich von Ihrem CEO kommt, antworten Sie schnell und erklären, dass Sie verfügbar sind. Der Angreifer fährt fort: „Ich bin unterwegs. Wir schließen gerade einen vertraulichen Fusionsvertrag ab. Da am Wochenende niemand im Büro ist, müssten Sie sofort $ 100.000 für mich auf folgendes Bankkonto überweisen, um die Fusion zum Abschluss zu bringen. Ich gehe davon aus, dass Sie mit niemandem darüber sprechen, denn es ist eine sehr vertrauliche Angelegenheit. Es eilt sehr, bitte kümmern Sie sich also darum und senden Sie mir unverzüglich eine Bestätigung.“

Es spielt keine Rolle, dass der echte CEO Sie niemals mit einer Gmail-Adresse anschreiben und so eine Anfrage an einem Wochenende tätigen würde. Unter den richtigen Bedingungen lassen sich die Empfänger ganz einfach hereinlegen.

Domain-Spoofing

Mit den richtigen Werkzeugen kann ein Angreifer eine Phishing-E-Mail versenden, die von einer echten Domain zu kommen scheint. Ein Angreifer könnte Ihnen zum Beispiel eine E-Mail senden, die von support@bofa.com zu kommen scheint, einer offiziellen E-Mailadresse der Bank of America. Nur dass sie nicht wirklich von dieser Adresse stammt. Es ist eine Phishing-E-Mail, die Sie dazu veranlasst, auf eine URL zu klicken, die Sie zu einer gespooften Webseite führt, die so aussieht wie www.bofa.com. Domain-Spoofing ist jedoch aufgrund der Verbreitung von Standards wie dem Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM) schwieriger geworden. Wenn sie einmal in die DNS-Einstellungen integriert sind, vermeiden SPF oder DKIM die unautorisierte Verwendung von Domänennamen für Spoofing-Angriffe. Sie werden jedoch nicht von allen verwendet.

Close Cousin

Das apple.com-Beispiel oben ist ein „Close Cousin“- oder Cousin-Domain-Angriff. Bei dieser Form des Hackings wird die Zielperson getäuscht, indem eine Sender-Domain erstellt wird, die der echten ähnelt oder gar nicht von ihr zu unterscheiden ist. Bei dieser Vorgehensweise könnte die Domain-Erweiterung „.co“ anstelle von „.com“ verwendet werden, eventuell hat die URL auch einen Buchstaben mehr oder weniger. Sagen wir, Ihr Unternehmen hieße Maine Express und hätte den Domainnamen maineexpress.com. Ein Spoofer könnte die Domain mainexpress.com oder maineexpresss.com anmelden und wäre damit in der Lage, zumindest einen Teil der E-Mailempfänger hereinzulegen. Wir sehen oft auch Spoofing-Versuche, bei denen einfach ein sinnvolles Wort zur URL hinzugefügt wird, wie zum Beispiel maineexpressglobal.com.

[Infographic] E-Mails in der Cloud: Je größer das Ziel, desto einfacher das Zielen

Schutz vor E-Mail-Spoofing-Angriffen

Mitarbeiterschulungen sind ihre erste Verteidigungslinie. Obwohl einige Spoofing-Angriffe extrem schwer zu erkennen sind, so lassen sich viele doch einfach aufdecken, und mit den richtigen Schulungen zur Sensibilisierung können Ihre Angestellten zur Lösung beitragen. Das Einrichten klarer Verfahrensrichtlinien wie z. B. für Überweisungen, hilft ebenfalls, die Risiken von Business Email Compromise und vergleichbaren Spear-Phishing-Angriffen einzudämmen. Um „Close Cousin“-Angriffe zu vermeiden, kaufen einige Unternehmen bewusst ähnlich klingende Domainnamen. Das hat den zusätzlichen Vorteil, dass das Risiko der Markenrechtsverletzungen reduziert wird.

Fortschrittliche E-Mail-Sicherheitslösungen können eingehende E-Mails darüber hinaus auch schnell auf Anzeichen von Spoofing analysieren. Zum Beispiel kann Vade Secure für Office 365 eine E-Mail untersuchen und herausfinden, ob Displayname und E-Mailadresse mit dem Unternehmen übereinstimmen. Es fügt auch eine SPF-ähnliche Schicht zum E-Mail-Filterungsprozess hinzu, die die unautorisierte Verwendung von Domainnamen und Close Cousins erkennt. Um Spear-Phishing zu erkennen, sucht die Lösung sucht nach verdächtigen Unstimmigkeiten in E-Mailstrukturen und Handlungsaufforderungen innerhalb des E-Mail-Inhalts (wie z. B. zu Überweisungen, Anfragen nach Geschenkgutscheinen, dringende Angelegenheiten usw.). Wird Spear-Phishing vermutet, wird ein anpassbares Warn-Banner in die E-Mail eingefügt, das auf einen vermuteten Spoofing-Versuch aufmerksam macht.