G 5.87 Web-Spoofing
Der Begriff Spoofing beschreibt das Vortäuschen einer falschen Identität durch einen Angreifer. Verschiedene Arten von Spoofing sind zum Beispiel ARP-, DHCP-, DNS-, IP-, MAC-, Mail- und URL-Spoofing.
Beim Web- oder URL-Spoofing fälscht ein Angreifer eine existierende Webseite, das heißt er gestaltet eine von ihm angebotene Webseite so, dass diese wie die Webseite einer bekannten Institution aussieht. Die bereits vorhandene Webseite, die nachgebildet wurde, wird dabei nicht verändert, sondern ist weiterhin in der ursprünglichen Form erreichbar. Mit Hilfe verschiedener Tricks versucht der Angreifer dann Benutzer auf die von ihm ins Netz gestellte Webseite zu locken.
Dazu könnte er beispielsweise seine Web-Adresse so wählen, dass viele Benutzer alleine durch die Adresswahl davon ausgehen, mit einer bestimmten Institution verbunden zu sein. So kann er beispielsweise eine Seite registrieren, bei der der Hostname mit dem der Original-Webseite identisch ist, aber die Top-Level-Domain ausgetauscht wurde (zum Beispiel http://www.example.net statt http://www.example.de). Er kann aber auch versuchen, eine Adresse zu verwenden, die häufige Tipp- oder Schreibfehler ("Typosquatting") enthält und so Benutzer auf die gefälschte Seite locken (zum Beispiel http://www.exampel.com).
Eine weitere Möglichkeit besteht darin, manipulierte Links zu verbreiten. Es können unterschiedliche Zeichensätze und gleich aussehende Buchstaben verwendet werden, um täuschend echt aussehende Links zu erzeugen. Beispielsweise könnten Zahlen, die auf den ersten Blick wie Buchstaben aussehen oder Buchstaben, die sich ähneln, verwendet werden. Neben dem kaum zu erkennenden Unterschied zwischen "I" (großes "i") und "l" (kleines "L") können auch ähnlich aussehende Buchstaben verwendet werden. Ein Beispiel hierfür ist die lateinische und die kyrillische Schreibweise des Buchstabens "a", der jeweils gleich aussieht, aber unterschiedlich kodiert wird.
Benutzern können auch Adressen angezeigt werden, die aber nicht mit denen identisch sind, zu denen der Link führt. Beispielsweise kann durch die Nutzung eines HTML-Links die URL der vertrauenswürdigen Seite angezeigt werden, obwohl der Link zu einer gefälschten Seite führt. Als andere Möglichkeit können Benutzername und Passwort in der URL dem Seitennamen vorangestellt werden (http://www.example.com@attacker.com). Benutzer, die diese Schreibweise nicht kennen, nehmen an, dass sie zu der Webseite, die als Benutzername/Passwort angegeben ist, geleitet werden, obwohl sich der tatsächlich verwendete Hostname wesentlich weiter hinten in der URL befindet.
Spoofing bei Web-Services
Bevor ein Web-Service-Client einen Web-Service nutzt, benötigt der Client Informationen, wie und mit welchen Parametern der gewünschte Web-Service aufzurufen ist. Diese Informationen sind in den Metadaten-Dokumenten, also zum Beispiel einer WSDL-Datei oder einer WS-Security-Policy-Datei, definiert. Gelingt es einem Angreifer, diese Informationen absichtlich zu verändern, kann er damit das Verhalten des Clients oder die eingesetzten Sicherheitsmechanismen beeinflussen. Diese Art der Veränderung an Metadaten-Dateien ist auch als Metadata Spoofing bekannt.
Weitere Spoofing-Angriffe auf Web-Services basieren auf den im SOAP-Protokoll vorgesehenen optionalen Routing-Informationen. So kann beim Aufruf eines Web-Service im <ReplyTo>-Feld der SOAP-Anfrage ein vom anfragenden Client abweichendes System angegeben und dadurch eine IP-Verbindung vom Web-Server zu einem anderen System initiiert werden, um zum Beispiel einen Denial-of-Service-Angriff oder komplexere andere Angriffsszenarien durchzuführen.
- Die XY Bank verwendet die URL www.xy-bank.de für ihren Internetauftritt. Ein Angreifer richtet unter den URLs www.xybank.de oder www.xy-bank.com eine Webseite ein, die auf den ersten Blick derjenigen der XY Bank ähneln. Zusätzlich sorgt er dafür, dass diese Adressen von XY-Kunden über Suchmaschinen gefunden werden.
Benutzer, die diese Seiten aufrufen, werden annehmen, dass sie mit dem Webserver ihrer Bank kommunizieren. Daher sind sie bereit, ihre Kontonummer und PIN oder andere Zugangscodes einzugeben. - Die Seite whitehouse.com durchlebte eine wechselhafte Geschichte. Hier befand sich allerdings nie, wie von vielen Benutzern zunächst vermutet, der Webauftritt des amerikanischen Weißen Hauses, sondern wechselnde kommerzielle oder pornographische Inhalte.
- Die beiden URLs www.BSI.bund.de und www.BSl.bund.de sehen zumindest auf den ersten Blick identisch aus. Erst beim genauen hinsehen ist zu erkennen, dass nur der erste zum Webauftritt des Bundesamtes für Sicherheit in der Informationstechnik führt. Beim zweiten Link wurde das große "I" durch die Ziffer 1 ersetzt.
- Gelingt es einem Angreifer, einem Web-Service-Client eine modifizierte WS-Security-Policy eines Web-Service unterzuschieben, so kann er damit zum Beispiel eine Sicherheitsanforderung an verschlüsselte Kommunikation außer Kraft setzen und in der Folge die Daten des vom Client initiierten Diensteaufrufs mitlesen.