Spoofing omvat een heleboel technieken om een kwaadwillende apparaat of persoon zich voor te laten doen als iets of iemand anders. Het doel is om vertrouwd over te komen, voet aan de grond te krijgen in een systeem, gegevens te bemachtigen, geld te stelen of kwaadaardige software te verspreiden.

Wat kunnen hackers gebruiken in spoofing-aanvallen? Een heleboel dingen: een IP-adres, een telefoonnummer, een webpagina, een inlogformulier, een e-mailadres, een SMS-bericht, GPS-locatie, een gezicht - noem maar op. Sommige van deze spoofing-aanvallen liften mee op de goedgelovigheid van hun slachtoffers, terwijl andere spoofing-aanvallen gebruik maken van hard- of softwarefouten. In dit artikel vind je een overzicht van 11 soorten spoofing-aanvallen die steeds meer impact hebben.

1. Address Resolution Protocol (ARP) spoofing

Dit is een veelvoorkomende bron van man-in-the-middle attacks. Om deze aanval uit te voeren, overspoelt een cybercrimineel een lokaal netwerk met vervalste Address Resolution Protocol (ARP)-pakketten om te knoeien met het normale verkeersrouteringsproces. Het komt erop neer dat het MAC-adres van de hacker wordt gekoppeld aan het IP-adres van de standaard LAN-gateway van het doelwit. Vervolgens wordt al het verkeer omgeleid naar de computer van de hacker voordat de beoogde bestemming wordt bereikt. Als klap op de vuurpijl kan de aanvaller de gegevens mogelijk vervormen voordat deze naar de echte ontvanger worden doorgestuurd of alle netwerkcommunicatie stoppen. En als dit nog niet genoeg is: ARP-spoofing kan ook dienen als startpunt voor DDoS-aanvallen.

2. MAC-adres spoofing

In theorie zou elke netwerkadapter in een apparaat dat op internet is aangesloten een uniek Media Access Control (MAC)-adres moeten hebben dat je nergens anders kunt tegenkomen. In de praktijk kan een slimme hack deze situatie echter op zijn kop zetten. Een aanvaller kan onvolkomenheden van sommige hardwaredrivers gebruiken om het MAC-adres te wijzigen of te vervalsen. Op deze manier vermomt de hacker zijn apparaat als een apparaat dat in het netwerk van het slachtoffer alle traditionele mechanismen voor toegangsbeperking kan omzeilen. Van daaruit kan de hacker zich voordoen als een vertrouwde gebruiker en fraude plegen, zoals business email compromise (BEC), gegevens stelen of malware op het netwerk plaatsen.

3. IP-adres spoofing

Om deze aanval uit te voeren, verzendt de hacker Internet Protocol-pakketten met een vervalst bronadres. Dit is een manier om de online identiteit van de afzender van de pakketten te versluieren en zich daardoor voor te doen als een andere computer. IP-spoofing wordt vaak gebruikt om DDoS-aanvallen in gang te zetten. De reden is dat het voor digitale infrastructuur moeilijk is om dergelijke frauduleuze pakketten te filteren, aangezien elk pakket afkomstig lijkt te zijn van een ander adres en de oplichters dus doen alsof het om legitiem verkeer gaat. Bovendien kan deze techniek worden gebruikt om authenticatiesystemen te omzeilen die het IP-adres van een apparaat als identificatie gebruiken.

4. DNS Cache Poisoning (DNS Spoofing)

De DNS wijst domeinnamen toe aan specifieke IP-adressen zodat mensen gemakkelijk te onthouden URL's in de browser typen in plaats van de onderliggende IP-adressen hoeven in te voeren. Hackers kunnen deze DNS-records mogelijk verdraaien door gebruik te maken van bekende DNS-servercachefouten. Als gevolg van deze storing loopt het slachtoffer het risico om naar een kwaadaardige replica van het beoogde domein te gaan. Vanuit het perspectief van een cybercrimineel is dat een perfecte basis voor phishing-hoaxes die er echt levensecht uitzien.

5. E-mail spoofing

De protocollen voor e-mail zijn niet vlekkeloos en kunnen voor een hacker nogal wat opties opleveren om bepaalde berichtkenmerken verkeerd weer te geven. Een van de meest voorkomende oorzaken van dit misbruik komt neer op het wijzigen van de e-mailheaders. Het resultaat is dat het adres van de afzender (weergegeven in het veld "Van") lijkt te kloppen met een legitiem adres terwijl het feitelijk afkomstig is van een geheel andere bron. De aanvaller kan deze inconsistentie gebruiken om zich voor te doen als een vertrouwd persoon, zoals een medewerker, een leidinggevende of een leverancier. De hierbovengenoemde BEC-scam is sterk afhankelijk van deze exploit waardoor zo via social engineering het slachtoffer zonder aarzeling groen licht kan geven voor een frauduleuze geldtransactie.

6. Website spoofing

Een oplichter kan proberen de werknemers van het doelwit te misleiden door een 'kopie' te bezoeken van een website die ze routinematig gebruiken voor hun werk. Helaas worden hackers steeds bedrevener in het nabootsen van de lay-out, branding en aanmeldingsformulieren van websites. Combineer dat met de hierboven genoemde DNS-spoofing-truc en de gespoofde website is hiermee uiterst moeilijk te identificeren. Het vervalsen van een website is echter een halfbakken tactiek tenzij deze wordt ondersteund door een phishing-e-mail die de ontvanger ertoe verleidt op een kwaadaardige link te klikken. Criminelen maken doorgaans gebruik van een dergelijke meervoudige strategie om authenticatiedetails te stelen of malware te verspreiden die hen toegang via de achterdeur geeft tot een bedrijfsnetwerk. Website-spoofing kan daarnaast ook leiden tot identiteitsdiefstal.

7. Telefoonnummer spoofing

Misschien een ouderwetse manier maar nog steeds springlevend. Om telefoonnummer spoofing voor elkaar te krijgen, misbruiken hackers mazen in de werking van telecommunicatieapparatuur om beller-details te verzinnen die je op het scherm van je telefoon ziet. Het is duidelijk dat dit niet alleen gebruik wordt om telefoongrappen mee te maken. De hacker kan de nummerherkenning vervalsen om zich voor te doen als een persoon die je kent of als vertegenwoordiger van een bedrijf waarmee je zaken doet. In sommige gevallen bevatten de details van inkomende oproepen die op het scherm van een smartphone worden weergegeven het logo van een gerenommeerd merk en het fysieke adres om de kans te vergroten dat je de telefoon beantwoordt. Het doel van dit type spoofing-aanval is om je te misleiden om persoonlijke informatie vrij te geven of om niet-bestaande rekeningen te betalen.

8. SMS-bericht spoofing

In tegenstelling tot telefoonnummer spoofing wordt SMS spoofing niet noodzakelijk gebruikt voor onbetrouwbare doeleinden. Een van de manieren waarop moderne bedrijven met hun klanten omgaan is via SMS-berichten waarbij de oorspronkelijke entiteit wordt weergegeven als een alfanumerieke reeks (zoals de bedrijfsnaam) in plaats van als een telefoonnummer. Helaas kunnen oplichters deze technologie in een handomdraai gebruiken. Een typisch scenario van een spoofing-aanval voor SMS-berichten is waarbij een oplichter de afzender-ID van de SMS vervangt door een merknaam die de ontvanger vertrouwt. Deze techniek kan een springplank zijn voor spearphishing, gegevensdiefstal en steeds verdere vormen van oplichting met cadeaubonnen die zich op individuen en bedrijven richten.

9. Bestandsextensie spoofing

Elke Windows-gebruiker weet dat het besturingssysteem standaard bestandsextensies niet toont. Hoewel dit wordt gedaan omwille van een betere gebruikerservaring, kan het ook zorgen voor frauduleuze activiteiten en malware-distributie. Met een dubbele extensie kan een hacker een schadelijk binair bestand verbergen als een goedaardig bestand. Een item met de naam Meeting.docx.exe ziet er bijvoorbeeld uit als een gewoon Word-document en heeft zelfs het juiste pictogram. Het is alleen een uitvoerbaar bestand. Het goede nieuws is dat elke standaard beveiligingsoplossing de gebruiker waarschuwt wanneer ze een dergelijk bestand proberen te openen.

10. GPS spoofing

Nu gebruikers steeds meer afhankelijk zijn van geolocatiediensten om een bestemming te bereiken of files te vermijden, kunnen cybercriminelen proberen de GPS-ontvanger van een doelapparaat te manipuleren om deze gegevens te veranderen. Wat is de reden hiervoor? Natiestaten kunnen GPS-spoofing gebruiken om het verzamelen van inlichtingen te dwarsbomen en zelfs de militaire faciliteiten van andere landen te saboteren. Ook organisaties kunnen hiermee te maken hebben. Hier is een hypothetisch voorbeeld: een dader kan interfereren met het navigatiesysteem dat is ingebouwd in het voertuig van een CEO die haast heeft voor een belangrijke ontmoeting met een potentiële zakenpartner. Als gevolg hiervan zal het slachtoffer een verkeerde afslag nemen, alleen om vast te komen te zitten in het verkeer en te laat op de vergadering te komen. Dit zou de toekomstige deal kunnen ondermijnen.

11. Gezicht spoofing

Gezichtsherkenning vormt tegenwoordig de kern van tal van authenticatiesystemen en is steeds meer in gebruik voor tal van toepassingen. Het gezicht van een persoon kan een cruciale authenticatiefactor worden voor het ondertekenen van documenten en het goedkeuren van toekomstige overboekingen, los van het gebruik van deze technologie om elektronische apparaten zoals smartphones en laptops te ontgrendelen. Cybercriminelen missen dergelijke hypes nooit dus ze zullen zeker op zoek gaan naar zwakke schakels in de Face ID-implementatieketen. Helaas is dit vrij eenvoudig te doen. Beveiligingsanalisten hebben bijvoorbeeld een manier aangetoond om de Windows 10 Hello-gezichtsherkenningsfunctie te misleiden door middel van een gewijzigde afgedrukte foto van de gebruiker. Oplichters die over voldoende middelen en tijd beschikken, kunnen ongetwijfeld soortgelijke onvolkomenheden ontdekken en gebruiken.

Hoe kun je spoofing-aanvallen afweren?

De volgende tips helpen je organisatie het risico te verkleinen dat je het slachtoffer wordt van een spoofing-aanval:

• Denk aan het opnieuw opbouwen van het organigram. Het is goed als IT rapporteert aan de chief information security officer (CISO). Architectuur, applicaties, beheer en strategie blijven bij de IT-afdeling, maar door ze te laten rapporteren aan de CISO blijven hun prioriteiten gericht op security.

• Profiteer van penetratietesten en red teaming (het oefenen van een cyberaanval). Het is moeilijk om een effectievere manier te bedenken voor een organisatie om haar veiligheidshouding vanaf de grond af te beoordelen. Een professionele pentester die denkt en handelt als een hacker kan helpen bij het ontdekken van kwetsbaarheden in het netwerk en het IT-personeel bruikbare inzichten geven in wat moet worden verbeterd en de prioriteiten daarvan. Tegelijkertijd zorgen de red team oefeningen ervoor dat het beveiligingsteam voortdurend paraat is om nieuwe aanvallen te detecteren en te weerstaan.

• Krijg inzicht op alle platforms. Tegenwoordig is er een brede verspreiding van gegevens afkomstig van applicaties, clouddiensten, enz. Het groeiende aantal bronnen kan de zichtbaarheid van de CISO beïnvloeden. Om beveiligingsproblemen op te lossen, moet je in staat zijn om de cloud, mobiele en lokale servers te bewaken en direct toegang te hebben tot alle servers, zodat je altijd op je hoede bent voor mogelijke incidenten en alle activiteiten kunt samen brengen.

• Zeg nee tegen trust relationships. Veel organisaties brengen hun apparaatauthenticatie terug tot alleen IP-adressen. Deze benadering staat bekend als trust relationships en kan uiteraard door oplichters worden misbruikt door een IP-spoofing-aanval.

• Maak gebruik van pakketfiltering. Dit kun je gebruiken om verkeer van netwerkpakketten uitgebreid te analyseren. Het is een hele goede tegenmaatregel voor IP-spoofing-aanvallen omdat het pakketten met ongeldige bronadresgegevens identificeert en blokkeert.

• Gebruik anti-spoofing-software. Gelukkig zijn er verschillende oplossingen die de meest voorkomende soorten spoofing-aanvallen detecteren, waaronder ARP- en IP-spoofing. Anti-spoofing-software identificeert dergelijke pogingen en stopt ze bovendien.

Extra voorzorgsmaatregelen voor personeel

Houd er rekening mee dat de beveiliging van een netwerk even sterk is als de zwakste schakel. Laat de menselijke factor niet die link zijn. Investeren in een trainingsprogramma voor beveiligingsbewustzijn is zeker de moeite waard. Het zal elke medewerker helpen hun rol in het digitale welzijn van de organisatie te begrijpen. Zorg ervoor dat de werknemers de veelbetekenende tekenen van een spoofing-aanval herkennen en zich houden aan de volgende aanbevelingen:

• Onderzoek e-mails op typefouten en grammaticafouten. Onnauwkeurigheden in een e-mailonderwerp en -tekst kunnen een een signaal zijn dat het gaat om een phishing-scenario.

• Zoek naar een slotje naast een URL. Elke betrouwbare website heeft een geldig SSL-certificaat, wat betekent dat de identiteit van de eigenaar is geverifieerd door een externe certificeringsinstantie. Als het slotje ontbreekt, betekent dit hoogstwaarschijnlijk dat de site vervalst is en dat je onmiddellijk weg moet gaan van deze website. De keerzijde is dat er tijdelijke oplossingen zijn waardoor kwaadwillenden frauduleuze beveiligingscertificaten kunnen krijgen, dus je kunt beter wat extra controles uitvoeren bij twijfel.

• Klik niet op links in e-mails en sociale media. Een e-mail waarin je wordt gevraagd op een link te klikken, is mogelijk een schadelijke link. Onderzoek de rest van de inhoud nauwkeurig als je zo'n e-mail een ontvangt: controleer de naam en het adres van de afzender. Zoek daarnaast een paar zinnen uit het bericht op in een zoekmachine - de kans is groot dat het deel uitmaakt van een doorlopende phishing-campagne die door anderen al is gemeld.

• Vraag om een persoonlijk bevestiging bij verdachte verzoeken. Als je een e-mail hebt ontvangen met als afzender je baas of collega waarin je wordt gevraagd om een betalingstransactie met spoed te voltooien, aarzel dan niet om die persoon te bellen en te bevestigen dat het verzoek echt is.

• Maak bestandsextensies zichtbaar. Windows verbergt extensies tenzij anders geconfigureerd. Om de truc met dubbele extensie te vermijden, klik je op het tabblad "Weergeven" in Verkenner en vink je het vakje "Bestandsnaamextensies" aan.

Vertaald van '11 Types of Spoofing Attacks Every Security Professional Should Know About'