Что такое спуфинг?

Что такое спуфинг?


Владимир Безмалый

Спуфинг — это вид киберпреступления, при котором злоумышленник имитирует известный контакт или организацию, чтобы обеспечить доверие жертвы. Некоторые атаки спуфинга нацелены на отдельных лиц, в то время как другие пытаются обмануть целые сети. Атаки с использованием спуфинга часто имеют целью получить доступ к конфиденциальной личной информации или обойти меры безопасности.

Атаки с использованием спуфинга электронной почты происходят, когда хакеры подделывают электронные письма так, что кажется, что они исходят от кого-то, кому вы доверяете. Атаки с использованием спуфинга SMS и идентификатора вызывающего абонента маскируются за телефонными номерами, принадлежащими другим людям или группам.

Между тем атаки с использованием IP-спуфинга и DNS-спуфинга манипулируют интернет-трафиком. Некоторые атаки, такие как перехват DNS, перенаправляют ваш трафик на вредоносные веб-сайты. Многие хакеры используют подмену IP-адреса для проведения DDoS-атак. Другие атаки направлены на перехват, остановку или перенаправление интернет-трафика, чтобы хакер мог получить доступ к конфиденциальным данным.

Как работает спуфинг?

Спуфинг работает путем маскировки источника данного сообщения. Электронные письма, телефонные звонки, SMS-сообщения, веб-сайты и даже сам интернет-трафик могут быть подделаны так, что кажется, что он идет откуда-то еще.

Возможно, вы заметили, что роботы-абоненты маскируют свой идентификатор вызывающего абонента другим номером, часто таким, который совпадает с кодом вашего города. Все типы спуфинга основаны на одном и том же общем принципе: сокрытие источника сообщения или данных.

Рисунок 1. Атаки со спуфингом маскируют источник сообщений, чтобы завоевать доверие жертвы.

Успешная атака спуфинга может привести вас на вредоносные веб-сайты, украсть ваши данные или заставить вас установить вредоносное ПО. Но с правильным программным обеспечением безопасности вы можете автоматически обнаруживать и блокировать атаки спуфинга, прежде чем они получат шанс обмануть вас.

Спуфинг против фишинга

Разница между фишингом и спуфингом заключается в том, что, хотя спуфинг маскирует источник или происхождение сообщения так, что кажется, что оно было отправлено кем-то другим, фишинг использует методы социальной инженерии, чтобы обманом заставить людей открывать сообщения или переходить по ссылкам и тем самым раскрывать конфиденциальные данные.

Спуфинг и фишинг часто связаны между собой, потому что злоумышленники, как правило, используют методы спуфинга, чтобы сделать свои фишинговые атаки более правдоподобными.

Хотя киберпреступники часто комбинируют спуфинг с фишинговыми атаками для кражи информации, не все спуфинговые атаки обязательно являются примерами фишинга. Многие атаки с подменой IP-адресов предназначены для заражения целых сетей вредоносным ПО, создания основы для будущих атак или включения DDoS-атак.

Хотя мошенники сначала начали подделывать идентификаторы вызывающих абонентов, с тех пор они расширились, включив спуфинг электронной почты, спуфинг SMS и методы фишинга для получения ценных личных данных в гораздо большем масштабе.

Рисунок 2. Хакеры используют спуфинг для проникновения в сети и распространения вредоносного ПО, а мошенники используют спуфинг, чтобы обмануть жертв.

Что такое подмена электронной почты?

Спуфинг электронной почты — злоумышленники создают впечатление, будто их электронные письма исходят от другого отправителя, например от руководителя компании, известного банка или другого доверенного лица или организации.

При подделке электронной почты хакеры изменяют адреса, файлы подписей, логотипы или другие визуальные элементы электронного письма, чтобы скрыть его истинный источник или цель. К наиболее часто подделываемым свойствам электронной почты относятся:

  • ОТ имя/адрес: отправитель электронного письма.
  • REPLY-TO имя/адрес: адрес электронной почты, на который будет отправлен ответ.
  • RETURN-PATH адрес: скрытый заголовок электронного письма, содержащий инструкции по обработке возвращенных писем.
  • ИСТОЧНИК IP-адрес: IP-адрес, принадлежащий отправителю электронного письма.

Предупреждающие признаки спуфинга электронной почты

1. Орфографические и грамматические ошибки

У законных компаний не должно быть опечаток в электронных письмах. Если вы обнаружите опечатки или неверные фразы, письмо может быть подделано.

2. Ошибки в написании адресов электронной почты

Для похожих адресов электронной почты, спуферы может поменять определенные буквы для подобных перспективным из них, как и цифра 1 для строчной L. Ищите незначительные орфографические ошибки, такие как «irss [точка] gov» вместо «irs [dot] gov», а также необычные или специальные символы.

3. Острая необходимость

Спуферы электронной почты могут попытаться вызвать беспокойство или панику, чтобы подтолкнуть вас к принятию поспешного решения. Они могут угрожать вам последствиями, если вы не будете действовать быстро, например, заявите, что ваша учетная запись будет закрыта или что вам грозит штраф, если вы не будете действовать сейчас.

4. Общее приветствие

Вместо того, чтобы использовать ваше настоящее имя, электронное письмо может адресовать вам «Уважаемый покупатель» или другое общее обращение. Законные электронные письма будут адресованы вам напрямую.

5. Запрос личной информации

Законным компаниям не нужно подтверждать ваше имя пользователя, пароль или реквизиты банковского счета по электронной почте. То же самое касается старшего или ИТ-персонала в вашей компании. Поддельные электронные письма попытаются обманом заставить вас поделиться этой информацией с злоумышленником.

6. Typosquatting

Тайпосквоттинг — это когда хакеры регистрируют адреса веб-сайтов, используя типичные ошибки, которые люди допускают при вводе URL-адресов для посещения законных сайтов. Подобный сайт будет имитировать реальный, но часто с целью получения ваших учетных данных для входа или для загрузки вредоносного ПО.

7. Несогласованность

Соответствует ли имя отправителя полю ОТ или имени в подписи электронного письма? Обращайте внимание на все, что не совпадает.

8. Странные вложения

Многие поддельные электронные письма содержат вложения, которые при открытии устанавливают на ваше устройство вредоносное ПО. Никогда не щелкайте и не открывайте вложения, которые вы не ожидаете получить, даже если вы доверяете отправителю — его адрес электронной почты может быть подделан или взломан.

9. Нет контактной информации

Законные электронные письма обычно содержат подпись с контактной информацией. В поддельных электронных письмах эта информация часто отсутствует.

Рисунок 3. Яркие признаки подделки электронной почты: поддельные адреса электронной почты ОТ, общие приветствия, ощущение срочности, подозрительные ссылки и отсутствие контактной информации в нижнем колонтитуле.

Что такое подмена IP-адреса?

IP-спуфинг — это когда злоумышленник изменяет информацию об IP-адресе в пакете данных, отправленном через Интернет, так, чтобы данные выглядели как поступающие с другого IP-адреса. Хакеры получают IP-адрес легитимного устройства, а затем изменяют исходный IP-адрес своего трафика, чтобы он соответствовал законному IP-адресу.

Подмена IP-адресов часто используется при запуске DDoS-атак, поэтому фактический IP-адрес источника скрыт и не может быть отслежен. Подмена IP-адреса обычно происходит двумя способами:

  • Хакеры подделывают свой трафик таким образом, чтобы он выглядел как исходящий со многих IP-адресов одновременно. Это не позволяет администраторам серверов легко отследить источник и заблокировать атаки. Хотя IP-спуфинг можно остановить, гораздо сложнее проанализировать вредоносный трафик, когда он идет с тысяч IP-адресов одновременно.
  • Хакеры используют ботнет для отправки тысяч запросов, замаскированных под поддельный IP-адрес жертвы. Каждый ответ на эти запросы отправляется жертве, а не устройству ботнета, которое его фактически отправило.

Обе эти стратегии IP-спуфинга наводняют целевой сервер трафиком, достаточным для отключения и других сбоев системы.

Другие виды спуфинга

Подмена веб-сайта

Поддельные веб-сайты заставляют людей поверить, что они взаимодействуют с законными сайтами или надежными компаниями. На первый взгляд поддельные сайты кажутся подлинными, но мошенники скрывают URL-адреса и поддомены, чтобы у пользователей Интернета возникло ложное чувство безопасности.

Подмена идентификатора вызывающего абонента

Злоумышленники и другие телефонные мошенники подделывают свои телефонные номера, чтобы они выглядели так, как будто они исходят из местного кода или связаны с надежной организацией. Когда жертва отвечает на эти спуфинговые звонки, спуфер пытается обманом заставить ее передать личные данные.

SMS-спуфинг

Спуферы могут изменить информацию об отправителе в SMS-сообщении, чтобы сделать свои атаки более правдоподобными. Спуфинговые текстовые сообщения часто содержат ссылки, которые устанавливают вредоносное ПО на устройство жертвы или ведут на поддельные веб-сайты.

Подмена GPS

Поддельные сигналы глобального позиционирования передают неверные координаты геолокации на устройства с поддержкой GPS. Люди могут использовать приложения для подделки GPS по многим причинам, например, заставить другие подключенные к GPS приложения думать, что они находятся в другом месте, чем они есть на самом деле.

Подмена DNS-сервера

Кибератаки могут манипулировать информацией DNS для перенаправления трафика на разные IP-адреса, перенаправляя жертв на сайты, распространяющие вредоносное ПО, компьютерных червей и вирусы.

Подмена ARP

Этот метод, также известный как отравленная маршрутизация ARP, пытается связать MAC-адрес злоумышленника с законным IP-адресом для получения данных, предназначенных для владельца настоящего IP-адреса. Подмена ARP используется для кражи или изменения данных, а также для атак типа « злоумышленник в середине» или перехвата HTTP-сеанса.

Как защитить себя от атак спуфинга

Будьте бдительны

Внимательно прочтите электронные письма и убедитесь, что вы знаете отправителя. Ищите поддельные адреса ОТ и темы, орфографические или грамматические ошибки.

Доверяйте своей интуиции

Не отвечайте на электронные письма или SMS-сообщения из неизвестных источников и дважды подумайте, прежде чем передавать личную информацию. Не переходите по подозрительным ссылкам и не открывайте странные вложения.

Подтвердите адрес электронной почты и номера телефонов

Сравните адреса электронной почты с ранее отправленными электронными письмами, чтобы убедиться, что они совпадают. Всегда ищите корпоративные телефонные номера с официальных сайтов.

Проверить ссылки

Наведите курсор на ссылки, чтобы проверить, ведут ли URL туда, куда вы ожидаете.

Используйте надежные пароли

Регулярно меняйте пароли. Создавайте длинные, уникальные и надежные пароли или парольные фразы, а затем защищайте их с помощью надежного менеджера паролей .

Используйте безопасные и безопасные веб-сайты

Перед вводом платежной информации на веб-сайте убедитесь, что URL-адрес имеет букву «s» после http в адресе (https : //) и значок замка слева от поля адреса — два важных показателя безопасности веб-сайта

Обновите вашу ОС и браузер

Используйте надежный частный браузер и всегда обновляйте свою операционную систему, чтобы получать последние исправления безопасности от известных уязвимостей

Используйте надежное антивирусное программное обеспечение

Установите лучшее антивирусное программное обеспечение, какое только сможете найти, и постоянно обновляйте его

Защитите себя от спуфинговых атак с помощью антивирусного инструмента

Спуферы используют широкий спектр уловок, чтобы обмануть вас — от вредоносных вложений электронной почты до безобидных, но зараженных веб-сайтов. Надежный антивирус защитит вас от них всех. Автоматически обнаруживайте и блокируйте подобные атаки и угрозы, чтобы ваши данные были в безопасности, а на ваших устройствах не было вредоносных программ.

30 ноября, 2021

Источник https://ib-bank.ru/bisjournal/news/16600

Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Владимир Безмалый

О безопасности и не только