Was ist Spoofing?

Das Wort „Spoofing” entstammt dem Eng­li­schen und bedeutet so viel wie Täuschen oder Fälschen. Auf Deutsch würde man von Vor­spie­ge­lung falscher Tatsachen sprechen. Als Verb wird „to spoof (something)” ebenfalls genutzt und be­zeich­net dann das Fälschen eines Iden­ti­fi­ka­ti­ons­merk­mals. Das kann dem Täuschen des Ge­gen­übers und dem Ver­schlei­ern der tat­säch­li­chen Identität dienen.

Generell zielen Spoofing-Angriffe darauf ab, das Opfer zu über­zeu­gen, eine Handlung vor­zu­neh­men, eine In­for­ma­ti­on als wahr zu ak­zep­tie­ren oder die Autorität einer Quelle an­zu­er­ken­nen. Falls sich das etwas abstrakt anhört, hier zwei Beispiele, die abseits des Internets populär sind:

1. Der „Hei­rats­schwind­ler“: Um an die Finanzen des Opfers zu gelangen, gibt sich der Betrüger als liebender Ehe­part­ner aus.
2. Der „En­kel­trick”: Anrufer gibt einer älteren Person gegenüber an, er sei ihr Enkel. Durch Vor­spie­len eines Notfalls wird das Opfer dazu bewegt, eine Über­wei­sung vor­zu­neh­men.

Beide Male spielt sich der „Trick” auf der In­for­ma­ti­ons­ebe­ne ab. In digitalen Systemen bieten sich noch sehr viel mehr Mög­lich­kei­ten für derartige Be­trü­ge­rei­en.

Über das Internet können Nach­rich­ten ohne großen Aufwand in hohem Volumen versendet werden. Gleich­zei­tig ist es oft ver­hält­nis­mä­ßig einfach, Iden­ti­fi­ka­ti­ons­merk­ma­le der Nach­rich­ten zu fälschen. Viele Spoofing-Angriffe sind deswegen möglich, weil das Internet als offenes System kon­zi­piert wurde. An­stren­gun­gen, die In­ter­net­si­cher­heit zu erhöhen, finden daher bis heute fort­lau­fend statt.

Spoofing-Angriffe umfassen ein breites Spektrum an möglichen An­griffs­sze­na­ri­en. Es ist daher nicht möglich, ein einzelnes Vorgehen zum Schutz zu benennen. Glück­li­cher­wei­se gibt es aber mehrere generelle Ver­hal­tens­wei­sen, welche zu­sam­men­ge­nom­men das Risiko mi­ni­mie­ren, selber Opfer eines Spoofing-Angriffes zu werden.

Sie können einen Angriff nur dann ver­hin­dern, wenn Sie selbigen erkennen. Läuft ein Spoofing-Angriff auf der Ebene kleinster Da­ten­pa­ke­te ab, die über das Netzwerk aus­ge­tauscht werden, so bekommen Sie davon in der Regel nichts mit. Folglich können Sie Angriffe auf Netz­wer­kebe­ne für ge­wöhn­lich nicht selber ver­hin­dern. Si­cher­heits­lü­cken auf diesem Level werden durch Si­cher­heits-Updates der Software-Her­stel­ler ge­schlos­sen.

Die weitaus häu­fi­ge­ren – weil lu­kra­ti­ve­ren – Spoofing-Angriffe richten sich direkt gegen den Menschen. Der Angreifer kon­tak­tiert das Opfer also direkt, z. B. per E-Mail oder Anruf. Meist besteht die Absicht darin, eine Handlung des Ge­gen­übers her­bei­zu­füh­ren. Zielt ein Spoofing-Angriff darauf ab, In­for­ma­tio­nen ab­zu­grei­fen (wie zum Beispiel Pass­wör­ter oder Bankdaten), spricht man auch von einer Phishing-Attacke.

Besonders ge­fähr­lich ist das so genannte Spear-Phishing, da dieses gegen eine bestimmte Person oder In­sti­tu­ti­on gerichtet ist. Eine Spear-Phishing-Attacke nutzt spe­zi­fi­sche, glaub­wür­dig er­schei­nen­de In­for­ma­tio­nen in einer Nachricht. Von der Glaub­wür­dig­keit der Nachricht überzeugt, wird das Opfer von dem Betrug dann hart und un­er­war­tet „wie von einem Speer” getroffen.

Um sich die Arbeit möglichst einfach zu machen, zielen Angreifer oft auf das schwächs­te Glied in einer Kette. Es ist daher vor­teil­haft, die eigene An­griffs­flä­che durch das Befolgen einfacher, ge­ne­rel­ler Praktiken zu mi­ni­mie­ren. Sie werden damit als Ziel weniger attraktiv. Gleich­zei­tig funk­tio­nie­ren viele Angriffe nur, indem der Angreifer In­for­ma­tio­nen aus ver­schie­de­nen Quellen kom­bi­niert. Sind wenig In­for­ma­tio­nen über Sie verfügbar, gestaltet sich das schwie­ri­ger.

Die folgenden Ver­hal­tens­wei­sen sollten Sie daher ver­in­ner­li­chen:

Eine Phishing-Attacke erscheint umso glaub­wür­di­ger, je mehr und je de­tail­lier­te­re In­for­ma­tio­nen einem Angreifer zur Verfügung stehen. Daher sollten Sie öf­fent­lich ver­füg­ba­re In­for­ma­tio­nen zu Ihrer Person nach Mög­lich­keit begrenzen. Niemals ver­öf­fent­li­chen sollten Sie bei­spiels­wei­se Ihr Ge­burts­da­tum! Solche privaten Daten werden oft von Support-Mit­ar­bei­tern genutzt, um die Identität eines Anrufers zu au­then­ti­fi­zie­ren. Obwohl nicht sicher, wird dieses Verfahren oft angewandt.

Zu­rück­hal­tung gilt es auch bei der Angabe be­ruf­li­cher Details zu wahren, wie bei­spiels­wei­se Ihrer Position im Un­ter­neh­men. Ak­tua­li­sie­ren Sie ge­ge­be­nen­falls Ihre Profile auf LinkedIn, Xing, Facebook und Co. mit einem halben Jahr Zeit­ver­zug.

Wenn nur wenige öf­fent­li­che In­for­ma­tio­nen zu Ihrer Person verfügbar sind, greifen Angreifer oft zu einem anderen Trick: Sie erstellen ein Konto in den sozialen Medien, z. B. bei Facebook, und schicken Ihnen eine Freund­schafts­ein­la­dung. Nehmen Sie die Einladung an, eröffnen Sie dem Angreifer Tür und Tor, weitere, nicht­öf­fent­li­che In­for­ma­tio­nen ab­zu­grei­fen. Diese werden dann häufig für daran an­schlie­ßen­de Be­trugs­ak­tio­nen genutzt.

Besonders beliebt ist es bei dieser Form des Angriffs, ein Konto im Namen einer Ihnen bekannten Person zu eröffnen. Sollte dies nicht möglich sein, wird oft ein laszives Foto einer at­trak­ti­ven Person für das Pro­fil­bild des Kontos verwendet. Dieser Ver­su­chung können viele Opfer nicht wi­der­ste­hen und fallen auf die Täuschung herein.

Zum Schutz vor Angriffen sollte Sie den gängigen Emp­feh­lun­gen zur IT-Si­cher­heit folgen: Halten Sie Ihr System und Ihre Software auf dem aktuellen Stand. Verwenden Sie Firewall und Spam­fil­ter und legen Sie re­gel­mä­ßi­ge Backups Ihrer Daten an.

Seien Sie sich dabei bewusst, dass diese Maßnahmen keinen voll­kom­me­nen Schutz bieten. Vielmehr zielen die Maßnahmen zu­sam­men­ge­nom­men darauf ab, zu ver­hin­dern, dass Sie als leichtes Opfer wahr­ge­nom­men werden.

Default-Ein­stel­lun­gen sind die ab Werk vor­han­de­nen Ein­stel­lun­gen eines Geräts, einer Software, oder eines On­line­diens­tes. Wenn eine Ein­stel­lung für jedes Gerät oder jeden Nutzer dieselbe ist, können Angreifer sich diesen Umstand zu Nutze machen. Es ist daher ratsam, die Default-Ein­stel­lun­gen an­zu­pas­sen. So tauchen Sie leichter unter dem Radar von An­grei­fern durch.

In der Ver­gan­gen­heit wurden bei­spiels­wei­se immer wieder Router mit offenen Admin-Zugängen aus­ge­lie­fert. Eine Zeit lang wurde stan­dard­mä­ßig sogar jeder Windows-Rechner mit offenen Ports aus­ge­lie­fert und stand somit für das Internet komplett offen. In beiden Fällen konnte die Gefahr durch Ändern der vor­ein­ge­stell­ten Werte ver­rin­gert werden, nur war dies den meisten Nutzern nicht bekannt.

Default-Werte stellen jedoch nicht nur auf tech­ni­scher Ebene eine Gefahr dar. Auch die Pri­vat­sphä­re-Ein­stel­lun­gen der sozialen Netzwerke können im Werk­zu­stand viel zu lax sein. Leider pro­fi­tie­ren viele Firmen davon, den Nutzer per Vor­ein­stel­lung „gläsern” zu machen. So liegt es an Ihnen, die Ein­stel­lun­gen an­zu­pas­sen. Folgen Sie dabei dem Grundsatz der Da­ten­spar­sam­keit: Gestalten Sie für jeden Account eingangs alle Ein­stel­lun­gen so re­strik­tiv wie möglich und lockern Sie diese nur nach und nach und mit gutem Grund.

Für besonders si­cher­heits­re­le­van­te An­wen­dun­gen, wie On­line­ban­king und ver­schlüs­sel­te Kom­mu­ni­ka­ti­on, kann es sinnvoll sein, ein möglichst ab­ge­schot­te­tes Gerät zu benutzen. Dabei kann es sich bei­spiels­wei­se um einen kleinen Laptop handeln, auf dem ein speziell auf Si­cher­heit zu­ge­schnit­te­nes Be­triebs­sys­tem in­stal­liert ist. Ex­em­pla­risch genannt seien hier die frei ver­füg­ba­ren Linux-Dis­tri­bu­tio­nen Subgraph und Tails.

Durch punk­tu­el­le Nutzung eines sicheren Geräts fallen Sie aus dem Muster des An­grei­fers heraus: Dieser erwartet, dass Sie Ihren normalen Rechner einsetzen. Basiert der An­griffs­ver­such auf dieser Annahme, vereitelt die Nutzung eines anderen Geräts ge­ge­be­nen­falls den Angriff.

Was sollten Sie tun, wenn Sie meinen, Ziel eines Spoofing-Angriffs zu sein? Stellen wir uns die Situation vor: Sie bekommen eine E-Mail. Es geht vor­geb­lich um etwas Wichtiges: Eine Über­wei­sung ist fehl­ge­schla­gen, Ihr Konto ist gehackt worden oder die Re­gis­trie­rung Ihrer Domäne läuft aus. Sie werden auf­ge­for­dert, schnell zu handeln, um Schlim­me­res zu ver­hin­dern.

Obwohl die Nachricht auf den ersten Blick nach­voll­zieh­bar wirkt, kommt Ihnen etwas seltsam vor. Viel­leicht passen die Ihnen prä­sen­tier­ten In­for­ma­tio­nen nicht so recht zusammen. Oder Sie fühlen sich über alle Maße gedrängt, eine bestimmte Handlung durch­zu­füh­ren.

Sie wissen nicht, ob es sich um einen Angriff handelt. Wie sollen Sie sich nun verhalten?

Zunächst gilt: Ruhe bewahren, nicht über­stürzt handeln. Sofern es sich bei der Nachricht um eine E-Mail handelt, sollten Sie etwaig ent­hal­te­ne Links auf keinen Fall anklicken.

Nutzen Sie einen zweiten Kom­mu­ni­ka­ti­ons­ka­nal, um die Echtheit der Nachricht zu be­stä­ti­gen. Dabei ist es un­er­läss­lich, die Gefahr möglicher Angriffe zu begrenzen. Nutzen Sie nach Mög­lich­keit ein separates Gerät und eine sichere App, die nicht zu ihren häufig genutzten Stan­dard­an­wen­dun­gen gehört.

Ein paar konkrete Beispiele:

Nehmen wir an, Sie haben eine ver­meint­lich gespoofte E-Mail auf Ihrem Ar­beits­rech­ner erhalten. Nutzen Sie dann als zweiten Kom­mu­ni­ka­ti­ons­ka­nal eine Ende-zu-Ende ver­schlüs­seln­de Messenger-Ap­pli­ka­ti­on auf dem Smart­phone.

Sie haben einen ver­däch­ti­gen Anruf oder eine Text­nach­richt auf dem Handy erhalten. Be­trach­ten Sie Ihr Handy als kom­pro­mit­tiert und nutzen Sie statt­des­sen das Telefon des Kollegen nebenan, um mit einer ver­trau­ens­wür­di­gen Partei Kontakt auf­zu­neh­men.

Diese Spoofing-Angriffe zielen darauf ab, den Nutzer her­ein­zu­le­gen. Beim Son­der­fall Phishing kommt oft eine täuschend echte Replik einer Website zum Einsatz, um ver­trau­li­che Daten ab­zu­grei­fen.

URL-Spoofing Angriffe zielen darauf ab, dem Nutzer eine ma­ni­pu­lier­te URL un­ter­zu­ju­beln. Der Trick besteht darin, dem Nutzer vor­zu­gau­keln, die URL sei eine ihm bekannte und seriöse URL. Ruft ein argloser Nutzer die ent­spre­chen­de URL auf, wird er jedoch auf eine bösartige Seite um­ge­lei­tet. Damit eine solche URL-Spoofing Attacke funk­tio­niert, benötigt der Angreifer Kontrolle über die ent­spre­chen­de Domäne.

1. Schema eines HTML-Links in der einfachen Markdown-Schreib­wei­se.
2. Beispiel eines gut­ar­ti­gen Links: Der Link-Titel spiegelt die tat­säch­lich hinter dem Link liegende Seite wider.
3. Beispiel eines be­trü­ge­ri­schen Links: Der Link-Titel lässt auf eine harmlose Seite schließen und ver­schlei­ert damit das ei­gent­li­che Link-Ziel.
4. Dar­stel­lung des be­trü­ge­ri­schen Link-Beispiels in HTML.

Um sich zu schützen, können Sie die Ziel-URL des Links über­prü­fen. Lassen Sie den Cursor über einem Link ruhen, wird Ihnen die tat­säch­li­che Ziel-URL angezeigt. Noch besser ist es, Links in E-Mail grund­sätz­lich nicht an­zu­kli­cken. Kopieren Sie statt­des­sen die Ziel-Adresse des Links per Rechts­klick. Den Link un­ter­su­chen Sie nun in einem Inkognito-Brow­ser­fens­ter. Dieser hilf­rei­che Trick funk­tio­niert auch auf Mo­bil­ge­rä­ten. Sie können die Link-Adresse kopieren und dann in einem Textfeld einfügen und un­ter­su­chen.

Auch URLs, die nicht Teil eines klick­ba­ren Links sind, werden für Spoofing-Attacken ein­ge­setzt. Dabei machen sich Angreifer oft die Ähn­lich­keit ver­schie­de­ner Buch­sta­ben zunutze, um ihr Opfer her­ein­zu­le­gen. Diese so genannten ho­mo­gra­fi­schen Angriffe können unter Umständen schwer zu entdecken sein.

Im ein­fachs­ten Fall verwendet der Angreifer eine URL oder Domäne mit Buch­sta­ben, die in Kom­bi­na­ti­on wie ein anderer Buchstabe wirken. Hier ein paar Beispiele:

• E-Mail von „support@lacebook.com“: Anstelle eines kleinen „f“ wird ein kleines „l“ verwendet.
• Link mit Ziel „https://secure.arnazon.com/“: Die Kom­bi­na­ti­on der Buch­sta­ben „rn“ wirkt wie der Buchstabe „m“. Die „secure“ Subdomäne und das „https“ ziehen die Auf­merk­sam­keit des Nutzers auf sich und lenken von der gespoof­ten Domäne ab.

Der Erfolg der Täuschung beruht stark auf der benutzten Schrift­art. Wenn al­ler­dings der Inhalt der E-Mail genug Aufregung erzeugt, wird solch ein kleines Detail schnell übersehen.

Schwerer zu entlarven ist eine andere Variante des ho­mo­gra­fi­schen Angriffs: der In­ter­na­tio­na­li­zed Domain Name (IDN). Dabei lässt Ihnen der Angreifer eine URL zukommen, die Buch­sta­ben aus einem anderen Alphabet enthält. Handelt es sich um einen Buch­sta­ben, der einem la­tei­ni­schen Buch­sta­ben visuell ähnelt, kann die Illusion täuschend echt wirken. Angreifer machen sich hierbei Punycode Adressen zu Nutze. Der Trick: Die ur­sprüng­li­che URL enthält bei­spiels­wei­se kein la­tei­ni­sches „a“, sondern die ky­ril­li­sche Variante. Beide Buch­sta­ben sehen sich zum Ver­wech­seln ähnlich. Manche Browser stellen nicht-la­tei­ni­sche URLs nicht als Punycode dar. So bekommt der Benutzer nicht mit, dass er auf einer ge­fälsch­ten Website gelandet ist.

Um ho­mo­gra­fi­schen Angriffen vor­zu­beu­gen, sollten Sie si­cher­stel­len, dass Ihr Browser Domänen mit nicht-la­tei­ni­schen Buch­sta­ben immer als Punycode darstellt. Ferner sollten Sie si­cher­heits­re­le­van­te URLs — z. B. die Homepage Ihres On­line­ban­kings — niemals anklicken, sondern vorläufig als Bookmark speichern.

Sollten Sie sich auf einer Website wie­der­fin­den, deren Au­then­ti­zi­tät Sie an­zwei­feln, gehen Sie nach dem folgenden Schema vor:

• Über­prü­fen Sie, ob die Site über HTTPS ver­schlüs­selt geladen wurde: Die meisten modernen Websites un­ter­stüt­zen die Ver­schlüs­se­lung über HTTPS. Jede Seite, die Daten von Ihnen ent­ge­gen­nimmt, z. B. ein Passwort, oder ein Formular, sollte heut­zu­ta­ge immer und aus­schließ­lich über HTTPS geladen werden. Ist dies nicht der Fall, besteht ein erhöhtes Risiko, dass es sich bei der Website um eine Fälschung handelt.
   
• Über­prü­fen Sie das SSL-Zer­ti­fi­kat: Sofern die Site über HTTPS ver­schlüs­selt geladen wurde, können Sie sich das SSL-Zer­ti­fi­kat des Servers anzeigen lassen. Stellen Sie sicher, dass sich das Zer­ti­fi­kat auf die angeblich hinter der Site stehende Or­ga­ni­sa­ti­on bezieht. Ist dies nicht der Fall, sind Sie unter Umständen auf einer ge­fälsch­ten Site gelandet.
   
• Sollten Ihre Zweifel nicht aus­ge­räumt sein, schließen Sie das Brow­ser­fens­ter.

Mit digitalen Angriffen ist nicht zu spaßen. Sind ver­trau­li­che Daten einmal gestohlen, ist es oft schwierig, den Schaden zu begrenzen. Seien Sie lieber über­vor­sich­tig als zu leicht­sin­nig.

Neben dem Text der ei­gent­li­chen Nachricht enthält eine E-Mail Meta-In­for­ma­tio­nen im so­ge­nann­ten Mail-Header. Der Header umfasst ver­schie­de­ne Felder, wie „From“, „To“, „Reply-To“ etc. Mit einer ge­eig­ne­ten Software können die Inhalte der Header-Felder ohne großen Aufwand mit be­lie­bi­gen Werten über­schrie­ben werden. Wenn im „From“-Feld der E-Mail die Adresse eines Vor­ge­setz­ten auftaucht, heißt das nicht, dass die Mail tat­säch­lich von dieser Person stammt. Ein Angreifer kann seine eigene Adresse im „Reply-To“-Feld un­ter­brin­gen. Das Opfer glaubt dann, an die ver­meint­lich legitime „From“-Adresse zu antworten, schreibt jedoch tat­säch­lich an die „Reply-To“-Adresse des An­grei­fers.

Auf Seite des Nutzers bzw. der Mail-Software gibt es eine Reihe von Schutz­me­cha­nis­men, die Mail-Spoofing Angriffen ent­ge­gen­wir­ken können. Diese zielen allesamt darauf ab, gespoofte E-Mails zu erkennen, zu markieren und aus­zu­sor­tie­ren:

• Spam-Filter verwenden: Der Spam-Filter Ihres Mail­pro­gramms oder E-Mail-Servers verwendet Heu­ris­ti­ken, um womöglich ge­fälsch­te Mails aus­zu­sor­tie­ren. Der Prozess läuft komplett au­to­ma­ti­siert ab und bietet ein grund­le­gen­des Maß an Schutz.
   
• Inhalte-Ver­schlüs­se­lung einsetzen: Die Inhalte-Ver­schlüs­se­lung ga­ran­tiert, dass die Mail vom an­ge­ge­be­nen Absender stammt und dass die Nachricht nicht verändert wurde. Leider ist die Ein­rich­tung der gängigen Verfahren PGP und S/MIME mit einigem Aufwand verbunden. Obwohl effektiv, findet die Inhalte-Ver­schlüs­se­lung außerhalb be­stimm­ter Be­rufs­grup­pen immer noch relativ wenig Ver­wen­dung. Greifen Sie al­ter­na­tiv auf Ende-zu-Ende-ver­schlüs­seln­de Messenger-Ap­pli­ka­tio­nen zurück. Diese bieten dieselben Vorteile in punkto Si­cher­heit und können sofort ein­ge­setzt werden.
   
• Mail-Header anzeigen und un­ter­su­chen: Eher für Fort­ge­schrit­te­ne Nutzer geeignet ist die Mög­lich­keit, sich den kom­plet­ten Mail-Header anzeigen zu lassen. Dafür erlaubt dieses Vorgehen eine tie­fer­ge­hen­de Analyse. Mit dem ent­spre­chen­den Know-how kann es gelingen, die tat­säch­li­che Herkunft der Mail zu ermitteln.

Ferner exis­tie­ren auf Server-Seite eine Reihe von Tech­no­lo­gien, welche darauf abzielen, das Versenden gespoof­ter E-Mails zu un­ter­bin­den. Zu den am häu­figs­ten ver­wen­de­ten ser­ver­sei­ti­gen Schutz­me­cha­nis­men gehören SPF, DKIM sowie DMARC.

Sofern Sie über Ihren Server eigene Mail­adres­sen betreiben, sollten Sie si­cher­stel­len, dass zumindest SPF und DKIM korrekt ein­ge­rich­tet sind. Ansonsten riskieren Sie, dass Ihre legitim ver­sand­ten E-Mails im Spam­fil­ter des Adres­sa­ten hängen bleiben.

Diese Spoofing-Angriffe zielen darauf ab, die Kom­mu­ni­ka­ti­on in Netz­wer­ken zu ma­ni­pu­lie­ren. Das „Opfer” ist dabei kein Mensch, sondern eine Netzwerk Hard- oder Software. Da diese Angriffe auf der Ebene von Da­ten­pa­ke­ten ablaufen sind sie vom normalen Benutzer kaum zu bemerken.

Das Domain Name System, kurz DNS, ist ein global ver­teil­tes System zur Über­set­zung von In­ter­net­do­mä­nen in IP Adressen. Das DNS liefert für einen Domainn-Namen eine IP Adresse zurück. Bereits be­ant­wor­te­te Anfragen an das DNS werden auf dem Server im DNS-Cache zwi­schen­ge­spei­chert. Beim DNS-Spoofing wird ein bös­ar­ti­ger Eintrag im DNS-Cache platziert. Daraufhin ein­ge­hen­de Anfragen liefern dann für den ma­ni­pu­lier­ten Eintrag eine falsche IP-Adresse zurück. Der Da­ten­ver­kehr wird auf einen anderen Server um­ge­lei­tet. DNS-Spoofing wird von Kri­mi­nel­len ein­ge­setzt, um Phishing und Man-in-the-middle-Angriffe durch­zu­füh­ren.

Auf Nut­zer­ebe­ne können Sie sich vor DNS-Spoofing Angriffen schützen, indem Sie Ver­schlüs­se­lungs­tech­ni­ken einsetzen. Stellen Sie sicher, dass besuchte Websites per HTTPS ver­schlüs­selt sind. Auch der Einsatz eines Virtual Privat Network (VPN) kann unter Umständen vor DNS-Spoofing schützen.

Betreiben Sie eine eigene Domäne, sollten Sie in Erwägung ziehen, die Schutz­tech­nik Domain Name System Security Ex­ten­si­ons (DNSSEC) ein­zu­set­zen. DNSSEC nutzt kryp­to­gra­fi­sche Au­then­ti­fi­zie­rung, um die In­te­gri­tät von DNS-Abfragen si­cher­zu­stel­len. DNS-Spoofing der durch DNSSEC ge­schütz­ten Domäne wird damit un­ter­bun­den.

Das MAC-Spoofing hat nichts mit einem bekannten Un­ter­neh­men aus Ka­li­for­ni­en zu tun. Statt­des­sen handelt es sich bei der na­mens­ge­ben­den MAC-Adresse um die physische Adresse eines Netz­werk­ge­räts. Die MAC-Adresse ist eine ein­deu­ti­ge Nummer, welche in jedem Netz­werk­ge­rät weltweit einmalig verbaut ist. Obwohl jedes Netz­werk­ge­rät eine feste Adresse eingebaut hat, lässt sich diese auf Software-Ebene leicht spoofen. Die Mög­lich­keit, die eigene MAC-Adresse zu spoofen, wird oft von Nutzern ein­ge­setzt, um Be­schrän­kun­gen zu umgehen.

Im lokalen Netzwerk (LAN) kommt das Address Re­so­lu­ti­on Protocol (ARP) zum Einsatz, um zu MAC-Adressen gehörende IP-Adressen aus einer Tabelle aus­zu­le­sen. ARP-Spoofing-Angriffe zielen darauf ab, die Tabellen-Einträge zu ma­ni­pu­lie­ren, um den IP-Da­ten­ver­kehr zu einer bös­ar­ti­gen MAC-Adresse zu leiten. Ein Angreifer kann so den Da­ten­ver­kehr abhören oder ver­fäl­schen. Diese Attacke stellt einen ernst­zu­neh­men­den Angriff dar.

Beim IP-Spoofing werden TCP/IP- oder UDP/IP-Da­ten­pa­ke­te mit einer ge­fälsch­ten Ab­sen­der­adres­se versendet. In dem meisten Fällen wird diese Art des Angriffs als Be­stand­teil von DoS und DDoS-Attacken genutzt.