Domain Spoofing ist eine Form von Phishing, bei der ein Angreifer mit einer gefälschten Website oder E-Mail-Domäne die Identität eines namhaften Unternehmens imitiert oder sich als eine bekannte Person ausgibt, um vertrauenswürdig zu wirken. In der Regel handelt es sich dabei auf den ersten Blick um eine legitime Domäne, doch bei genauerer Betrachtung stellt sich ein W tatsächlich als zwei Vs oder ein kleines L als großes i heraus. Benutzer, die auf die Nachricht antworten oder mit der Website interagieren, werden getäuscht und so dazu gebracht, sensible Daten weiterzugeben, Geld zu überweisen oder auf schädliche Links zu klicken.

Neben dem Betrug einzelner Benutzer führt Spoofing auch zu weiteren Problemen:

• Spoofing kann zur Verteilung von Malware und für andere Arten von Angriffen wie DDoS-Angriffe (Distributed Denial-of-Service) und Man-in-the-Middle-Angriffe genutzt werden.
• Mithilfe von Spoofing können Angreifer ihre Identitäten unter anderem vor den Strafverfolgungsbehörden verbergen.
• Angreifer können die Benutzer ohne ihr Wissen auf Websites umleiten, um Gelder für Werbung abzugreifen. Umgekehrt können Werbetreibende von Angreifern auch zur Abgabe von Geboten verleitet werden, durch die ihre Anzeigen auf anderen als den beabsichtigten Websites platziert werden.
• Bei angegriffenen Netzwerken fällt möglicherweise gar nicht auf, dass sie Ziel eines Angriffs sind – sodass auch keine Warnungen versendet werden.
• Gefälschte IP-Adressen erwecken den Anschein von Legitimität, damit sie von Firewalls oder anderen Sicherheitskontrollen nicht auf die Blocklist gesetzt werden.

Welche Haupttypen von Domain Spoofing gibt es?

1. E-Mail-Spoofing

Angreifer versenden E-Mails, die scheinbar von einem bekannten Absender wie einem Freund, einem Unternehmen oder einer Behörde stammen. Die betrügerischen E-Mails enthalten möglicherweise einen schädlichen Download oder Link, locken den Empfänger auf eine manipulierte Website oder leiten ihn auf eine Website um, die er gar nicht besuchen wollte.

2. Website-Spoofing

Angreifer registrieren eine Domäne, die einer legitimen Domäne ähnelt. Damit können sie eine Website erstellen, die mit der legitimen Website fast identisch ist, und dann gefälschte E-Mails versenden, um ihre Opfer zu ködern. Sobald sich die Benutzer auf der gefälschten Website befinden, werden ihnen schädliche Downloads angeboten oder sie werden dazu aufgefordert, ihre persönlichen Daten einzugeben, beispielsweise Anmelde- oder Bankdaten. Gefälschte Websites können auch für betrügerische Zwecke verwendet werden. Der Betrüger übermittelt die falsche Domäne an eine Werbebörse, um Werbetreibende dazu zu verleiten, dass sie auf der gefälschten und nicht auf der legitimen Website Gebote für Werbefläche abgeben.

3. DNS Poisoning

DNS Poisoning ist eine Form von IP-Spoofing, die schwieriger zu erkennen ist. Dabei werden Benutzer, die eine Website aufrufen möchten, auf eine andere Website weitergeleitet. So werden chinesische Benutzer durch die „Große Firewall von China“ des chinesischen Ministeriums für Staatssicherheit von zensierten Websites auf verschiedene legitime Websites weitergeleitet, um zu vermeiden, dass sie zensierte Websites aufrufen. Das unerwartete hohe Datenverkehrsaufkommen auf diesen legitimen Websites kann zu Abstürzen führen. Wenn DNS Poisoning auf diese Weise eingesetzt wird, spricht man von einem DDoS-Angriff.

So laufen Domain Spoofing-Angriffe ab

Ein E-Mail-Spoofing-Angriff kann wie jeder andere Spam-, Phishing- oder Spearphishing-Angriff ausgestaltet sein, bei dem ein Angreifer wahllos Spam-Nachrichten an die Empfänger sendet oder Benutzer in einer Branche oder einem Unternehmen mit gefälschten Nachrichten überzieht, die schädliche Links enthalten oder die Empfänger auf manipulierte Websites locken. Die falschen Websites selbst sind Beispiele für Domain Spoofing, daher ist es nicht unüblich, dass E-Mail-Spoofing mit Domain Spoofing kombiniert wird.

Ein Domain Spoofing-Angriff kann auch Teil eines größeren Angriffs sein, beispielsweise eines DDoS-Angriffs, bei dem Angreifer mithilfe von gefälschten IP-Adressen eine bestimmte Website oder einen Server mit Nachrichten überziehen, bis die Ressourcen aufgebraucht sind und es zu einer Verlangsamung oder gar einem Absturz des Systems kommt.

Tipps zur Erkennung einer gefälschten Domäne

• Sehen Sie sich die Domäne genau an und achten Sie auf zusätzliche Buchstaben oder Ziffern. Achten Sie besonders auf Zeichen, die sich leicht mit anderen verwechseln lassen, beispielsweise kleine L und große i.
• Prüfen Sie die Informationen im E-Mail-Header. Sehen Sie sich das „Received: from“-Feld und die „Received-SPF“-Felder an. Falls die in diesen Domänen angezeigten Felder nicht mit dem übereinstimmen, was Sie über den angeblichen Absender wissen, ist die E-Mail gefälscht. Manchmal handelt es sich bei den in diesen Feldern angezeigten Daten um eine IP-Adresse. Prüfen Sie diese, indem Sie auf einer legitimen Website wie ICANN, Domain Tools oder GoDaddy einen Whois-Lookup aufrufen und die IP-Adresse eingeben. Falls die Ergebnisse nicht Ihren Erwartungen entsprechen (z. B. wenn die Domäne offenbar in Osteuropa gehostet wird), ist die E-Mail nicht vertrauenswürdig.
• Ist die Domäne allem Anschein nach korrekt, prüfen Sie, ob auch andere Informationen übereinstimmen. Wenn die E-Mail zum Beispiel von einem Firmen-Hauptsitz in Berlin stammt, vergewissern Sie sich, dass die Vorwahl der Telefonnummern stimmt. Bewegen Sie den Mauszeiger über Hyperlinks, um festzustellen, ob sie zu den erwarteten Zielseiten führen. Stellen Sie sicher, dass der Name des Geschäfts keine Subdomain ist: Wenn die E-Mail beispielsweise von CrowdStrike zu stammen scheint, sollten die Links nicht zu crowdstrike.customersupport.com, sondern zu customersupport.crowdstrike.com führen. Der richtige Name sollte immer direkt vor der Domäne „.com“ oder einer anderen Erweiterung stehen, nie an erster Stelle.
• Vergewissern Sie sich, dass ein SSL-Zertifikat (Secure Sockets Layer) vorhanden ist. Ein SSL-Zertifikat ist eine Textdatei, die die Identität einer Website authentifiziert und die an den Server gesendeten Informationen verschlüsselt. Die meisten Websites verfügen heute über SSL-Zertifikate.
• Prüfen Sie das SSL-Zertifikat. Achten Sie darauf, dass es sich bei der Domäne im Zertifikat um die korrekte und nicht um eine gefälschte Domäne handelt. Prüfen Sie in Chrome oder Brave das Zertifikat. Klicken Sie dazu auf das Schlosssymbol in der Adressleiste und anschließend im Pop-up-Fenster auf „Zertifikat (Gültig)“. Gehen Sie in Firefox genauso vor, aber klicken Sie im Pop-up-Fenster nicht auf „Zertifikat (Gültig)“, sondern auf den Pfeil rechts neben dem Unternehmensnamen. Daraufhin wird eine Meldung angezeigt, in der die Sicherheit des Verbindungsstatus angegeben wird. In Safari doppelklicken Sie auf das Schlosssymbol und wählen dann „Zertifikat anzeigen“ aus.
• Klicken Sie in der Nachricht oder auf der Website nicht auf Links. Suchen Sie stattdessen in einer Suchmaschine nach dem verlinkten Ziel und klicken Sie auf den Link in den Suchergebnissen.