G 5.87 Web-Spoofing

Bei Web-Spoofing fälscht ein Angreifer eine existierende Webseite, d. h. er gestaltet eine seiner eigenen Webseiten so, dass diese wie die Webseite einer bekannten Institution aussieht. Die bereits vorhandene Webseite, die nachgebildet wurde, wird dabei nicht verändert, sondern ist weiterhin in der ursprünglichen Form erreichbar. Mithilfe verschiedener Tricks versucht der Angreifer dann, Benutzer auf die von ihm ins Netz gestellte Webseite zu locken.

Dazu wählt er beispielsweise deren Web-Adresse so, dass viele Benutzer alleine durch die Adresswahl davon ausgehen, mit einer bestimmten Institution verbunden zu sein. So kann er zum Beispiel eine Seite registrieren, bei der der Hostname mit dem der Original-Webseite identisch ist, aber die Top-Level-Domain ausgetauscht wurde. Er kann aber auch eine Adresse verwenden, die häufige Tipp- oder Schreibfehler ("Typosquatting") enthält, und so Benutzer auf die gefälschte Seite locken.

Eine weitere Möglichkeit besteht darin, manipulierte Links zu verbreiten. Es können unterschiedliche Zeichensätze und gleich aussehende Buchstaben benutzt werden, um täuschend echt aussehende Links zu erzeugen. Beispielsweise lassen sich dafür Zahlen, die auf den ersten Blick wie Buchstaben aussehen oder Buchstaben, die sich ähneln, verwenden. Neben dem kaum zu erkennenden Unterschied zwischen "I" (großes "i") und "l" (kleines "L") können auch ähnlich aussehende Buchstaben verwendet werden. Ein Beispiel hierfür ist die lateinische und die kyrillische Schreibweise des Buchstabens "a", der am Monitor gleich aussieht, aber unterschiedlich kodiert wird.

Benutzern können auch Adressen angezeigt werden, die aber nicht mit denen identisch sind, zu denen der Link führt. Beispielsweise ist es möglich, durch die Nutzung eines HTML-Links die URL der vertrauenswürdigen Seite anzuzeigen, obwohl der Link zu einer gefälschten Seite führt. Ebenso können Benutzername und Passwort in der URL dem Seitennamen vorangestellt werden. Benutzer, die diese Schreibweise nicht kennen, nehmen an, dass sie zu der Webseite, die als Benutzername/Passwort angegeben ist, geleitet werden, obwohl sich der tatsächlich verwendete Hostname wesentlich weiter hinten in der URL befindet.

Beispiele: