2021/01/13 11:42:02

Спуфинг (spoofing) - кибератака

Спуфинг (от английского слова spoofing) - это кибер-атака, в рамках которой мошенник выдает себя за какой-либо надежный источник, чтобы получить доступ к важным данным или информации. Такая подмена (спуфинг-атака) может происходить через веб-сайты, электронную почту, телефонные звонки, текстовые сообщения, IP-адреса и серверы.

Содержание

Как правило, основная цель спуфинга – получить доступ к личной информации, украсть деньги, обойти контроль доступа к сети или распространить вредоносное ПО через ссылки на зараженные веб-страницы или зараженные файлы, вложенные в электронное письмо / сообщение. При любой форме общения в интернете мошенники будут пытаться использовать спуфинг, чтобы попытаться украсть вашу онлайн-личность и ИТ-активы[1].

Как происходит спуфинг

Термин "spoof" (спуф) в английском языке существует уже более века и относится к любой форме обмана. Однако он в основном используется в тех случаях, когда речь идет о кибер-преступности. Каждый раз, когда мошенник маскирует себя под другого человека (организацию, сайт, отправитель и пр.), то такой случай – это спуфинг.

Спуфинг может применяться к различным коммуникационным каналам и задействовать различные уровни технических ноу-хау. Чтобы спуфинг-атака была успешной, она должна включать в себя определенный уровень социальной инженерии. Это означает, что методы, которые используют мошенники, способны эффективно обмануть своих жертв и заставить их предоставить свою личную информацию. Мошенники используют методы социальной инженерии, чтобы играть на уязвимых человеческих качествах, таких как жадность, страх и наивность.ИТ-директор «Роснефти» Дмитрий Ломилин выступит на TAdviser SummIT 28 ноября

Примером такого типа социальной инженерии является случай, когда мошенник полагается на чувство страха жертвы в попытке заполучить от него информацию или деньги. Мошенничество с внуками - это когда мошенник притворяется членом семьи (внуком) и якобы заявляет жертве (бабушке или дедушке этого внука), что у него неприятности и ему срочно нужны деньги. Мошенники часто нацеливаются в таких ситуациях именно на пожилых людей из-за предвзятого представления о том, что пожилые люди менее технически грамотны.

Типы спуфинг-атак

Типы спуфинг-атак

Спуфинг может быть реализован в разных формах и типах атак, которых вы должны остерегаться. Вот несколько примеров различных видов спуфинга:

Спуфинг с подменой номера вызывающего абонента (Caller ID Spoofing)

Идентификатор вызывающего абонента (Caller ID) позволяет получателю телефонного звонка определить личность того, кто звонит. Такой вид спуфинга происходит в тех случаях, когда мошенник использует ложную информацию для изменения идентификатора вызывающего абонента (т.е. мошенник звонит якобы с другого телефона – например, телефон вашего друга). Поскольку спуфинг с подменой идентификатора вызывающего абонента делает невозможной блокировку номера, многие телефонные мошенники используют такой вид спуфинга, чтобы скрыть свой реальный номер телефона, с которого осуществляется данный звонок, чтобы в конечном итоге скрыть свою личность. Иногда мошенники используют ваш код города, чтобы создать впечатление, что звонок местный.

Большинство спуфинг-атак с подменой идентификатора вызывающего абонента происходит с помощью VoIP (Voice over Internet Protocol), который позволяет мошенникам создавать номер телефона и имя идентификатора вызывающего абонента по своему выбору. Как только получатель звонка ответит на звонок, мошенник попытается убедить его предоставить ему требуемую важную информацию.

Спуфинг с подменой сайта (Website Spoofing)

Спуфинг с подменой сайта – это тип спуфинг-атаки, в рамках которой мошенник пытается создать опасный (вредоносный) сайт похожим на надежный безопасный сайт (например, известного банка), используя его шрифты, цвета и логотипы. Такой спуфинг проводится путем репликации оригинального надежного сайта с целью привлечения пользователей на специально созданный поддельный фишинговый или вредоносный сайт. Такие «скопированные» сайты, как правило, имеют примерно такой же адрес сайта, как и исходный оригинальный сайт, а потому, на первый взгляд, кажутся обычным пользователям реальными (оригинальными) сайтами. Однако такие «скопированные» сайты обычно создаются для незаконного получения личной информации посетителя сайта.

Спуфинг с подменой адреса электронной почты (Email Spoofing)

Спуфинг с подменой электронной почты - это тип спуфинг-атаки, в рамках которой мошенник рассылает электронные письма с поддельными адресами отправителей с намерением заразить ваш компьютер вредоносными программами, заполучить деньги или украсть информацию. В качестве адресов электронной почты отправителей зачастую подставляются те адреса, которым вы можете доверять (коллега по работе, друг, родственник, ваш банк и т.д.).

Также в качестве адресов электронной почты отправителей могут подставляться те адреса, которые очень похожи на адреса известных вам отправителей (незаметная разница в букве/цифре), либо мошенник может маскировать поле «От» (`From`) с адресом отправителя и в точности указывать тот адрес электронной почты, которому вы можете доверять.

Спуфинг с подменой IP-адреса (IP Spoofing)

Когда мошенник стремится скрыть реальное местоположение в Интернете того места, откуда запрашиваются или куда отправляются данные пользователя/жертвы, то обычно используется спуфинг с подменой IP-адреса. Цель IP-спуфинга состоит в том, чтобы заставить компьютер жертвы думать, что информация, отправляемая мошенником пользователю, исходит из надежного источника, что позволяет вредоносному контенту доходить до пользователя.

Спуфинг с подменой DNS-сервера (DNS Server Spoofing)

Спуфинг с подменой Domain Name System (DNS), также известный как «отравление кэша», используется для перенаправления трафика пользователя на поддельные IP-адреса. Такой метод позволяет перенаправлять пользователей на вредоносные сайты. В рамках такой атаки мошенник меняет IP-адреса DNS-серверов, указанных на компьютере жертвы, на поддельные IP-адреса, который мошенник хочет использовать для обмана жертвы.

ARP-спуфинг (ARP Spoofing)

ARP-спуфинг (Address Resolution Protocol) часто используется для изменения или кражи данных, а также для взлома компьютера жертвы внутри его сессии (подключения). Для этого злоумышленник свяжет себя с IP-адресом жертвы, чтобы иметь возможность получить доступ к тем данным, которые изначально предназначались для владельца этого IP-адреса (т.е. жертвы).

SMS-спуфинг (Text Message Spoofing)

Спуфинг с подменой текстовых сообщений (известен также как SMS-спуфинг) - это тип спуфинг-атаки, в рамках которой мошенник отправляет текстовое или SMS-сообщение, используя номер телефона другого человека. Мошенники делают это, скрывая свою личность за буквенно-цифровым идентификатором отправителя, и обычно в свои сообщения включают ссылки для загрузки вредоносных программ или для перехода на фишинговые сайты. Рекомендуем вам ознакомиться с советами по безопасности мобильных устройств, если считаете, что данные на вашем телефоне скомпрометированы.

GPS-спуфинг (GPS Spoofing)

Атака типа GPS-спуфинг происходит для «обмана» GPS-приемника, когда передаются поддельные сигналы, которые напоминают настоящие. Другими словами, мошенник притворяется, что находится в одном месте, а на самом деле находится в другом. Мошенники могут использовать такой прием, чтобы, например, взломать GPS в автомобиле и отправить вас по ложному адресу или даже вмешаться в GPS-сигналы кораблей, самолетов и т.д. Любое мобильное приложение, которое полагается на данные о местоположении смартфона, может стать мишенью для такого типа атаки.

Атака посредника или «человека посередине» (Man-in-the-middle Attack, MitM)

Атаки типа Man-in-the-middle (MitM) происходят в тех случаях, когда мошенник взламывает Wi-Fi сеть или создает дублирующую поддельную Wi-Fi сеть в том же месте для перехвата веб-трафика между двумя сторонами подключения (отправитель и получатель трафика). С помощью такой атаки мошенники могут перенаправлять к себе используемую жертвой конфиденциальную информацию, такую как логины, пароли или номера банковских карт.

Спуфинг с подменой расширений файлов (Extension Spoofing)

Чтобы замаскировать вредоносные программы, мошенники часто используют спуфинг с подменой расширений. Например, они могут переименовать файл в «filename.txt.exe», спрятав вредоносную программу внутри расширения. Таким образом, файл, который кажется текстовым документом, на самом деле при его открытии запускает вредоносную программу.

Как узнать, не применяют ли к вам методы спуфинга

Признаки спуфинга

Если вы подозреваете, что вас обманывают, обратите внимание на следующие индикаторы наиболее распространенных типов спуфинга:

Спуфинг с подменой адреса электронной почты (Email Spoofing)

  • Обратите внимание на адрес отправителя: если вы не уверены, является ли полученное вами письмо законным, дважды проверьте адрес. Мошенники часто создают похожие адреса. Если это подозрительное письмо, но при этом указан точный адрес электронной почты отправителя, то отдельно свяжитесь с этим отправителем, чтобы подтвердить законность его письма.
  • Будьте осторожны с почтовыми вложениями: будьте осторожны, когда речь идет о вложениях в электронное письмо от неизвестного отправителя или даже от известного отправителя в том случае, если их содержимое выглядит подозрительным. Если вы сомневаетесь, не открывайте такие вложения, так как они могут содержать вирусы и другие вредоносные программы.
  • Обратите внимание на плохую грамматику: если письмо содержит необычные грамматические ошибки и опечатки, оно может быть вредоносным
  • Проведите небольшое исследование: найдите контактную информацию отправителя в Интернете и свяжитесь с ним напрямую, чтобы узнать, является ли письмо реальным. Кроме того, поищите содержимое письма через поисковик (например, Google), если оно кажется подозрительным. Как правило, если содержание письма выглядит слишком заманчивым, чтобы быть правдой, то это может свидетельствовать о мошенническом характере письма.

Спуфинг с подменой сайта (Website Spoofing)

  • Проверьте адресную строку в вашем браузере: поддельный веб-сайт, скорее всего, не будет защищен. Чтобы проверить это, посмотрите в адресной строке на наличие буквы «s» в конце названия протокола https://. Эта буква «s» означает «безопасный», то есть сайт зашифрован и защищен от кибер-преступников. Если в названии протокола адреса сайта нет в конце буквы «s», то это не означает автоматически того, что вы находитесь на поддельном сайте, но, тем не менее, рекомендуем вам проверить дополнительные признаки.
  • Попробуйте менеджер паролей: программное обеспечение, используемое для автоматического заполнения регистрационных данных для авторизации, не работает на поддельных веб-сайтах. Если программное обеспечение автоматически не заполняет поля с паролем и именем пользователя, то такое поведение менеджера паролей может быть признаком поддельности веб-сайта.
  • Отсутствие символа с замочком: легитимные веб-сайты имеют символ замочка или зеленую полосу слева от URL-адреса веб-сайта, указывающую на безопасность данного веб-сайта.

Спуфинг с подменой номера вызывающего абонента (Caller ID Spoofing) Вы получаете звонки с неизвестных номеров: настойчивые звонки с неизвестного номера обычно являются признаком спуфинга. В этом случае не отвечайте на такие звонки или не поднимайте трубку сразу же. Вы получаете странные ответы: если вы получаете ответы на звонки или сообщения, которые вы никогда не делали, это может быть признаком того, что ваш номер был подделан. Например, вы можете получать текстовые сообщения от людей, которые спрашивают, кто вы, зачем вы им звонили, почему вы их беспокоите и пр. Номер вызывающего абонента показывает номер спецслужбы (например, «911»): иногда вместо номера вызывающего абонента может показываться номер какой-либо из специальных служб (например, «911») вместо фактического, реального номера телефона вызывающей стороны

Как защититься от спуфинг-атак

Как защититься от спуфинг-атак

Существует ряд рекомендаций, которым вам следует придерживаться, чтобы защитить себя от спуфинг-атак. Оставайтесь на шаг впереди мошенников с нашими полезными советами, что следует делать, а что делать не следует:

Следует делать

  • Включите спам-фильтр: это предотвратит попадание большинства поддельных писем в ваш почтовый ящик.
  • Изучите сообщение: если потенциальная спуфинг-атака содержит признаки плохой грамматики или необычной структуры предложения, это может свидетельствовать о незаконном характере сообщения. Кроме того, не забудьте дважды проверить URL-адрес веб-сайта или адрес отправителя электронной почты.
  • Подтвердите информацию: если электронное письмо или звонок кажутся подозрительными, отправьте сообщение или отдельно позвоните отправителю, чтобы проверить, является ли полученная вами информация законной или нет. Если письмо или звонок были сделаны якобы от какой-то организации, попробуйте в Интернете найти ее сайт или номер телефона, чтобы проверить эту информацию на сайте или в их колл-центре.
  • Наведите указатель мыши перед кликом на ссылку: если URL-адрес выглядит подозрительно, наведите курсор мыши на ссылку, чтобы точно увидеть, куда приведет вас ссылка, прежде чем нажать на нее.
  • Настройте двухфакторную авторизацию: это отличный способ добавить еще один уровень защиты к вашим данным доступа. Однако это не является 100% защитой, а потому убедитесь, что вы также используете и другие меры предосторожности.
  • Используйте антивирусное ПО: установка программного обеспечения для информационной безопасности – это самая лучшая защита, когда дело доходит до защиты от мошенников в Интернете. Если у вас возникли проблемы, скачайте программу для удаления вредоносных программ или антивирусное программное обеспечение, чтобы защитить ваш компьютер от любых вредоносных угроз или вирусов.

НЕ следует делать

  • Не нажимайте на незнакомые ссылки: Если ссылка выглядит подозрительной, воздержитесь от нажатия на нее. Если она пришла от потенциального злоумышленника, то это может привести к загрузке вредоносной программы или других вирусов, которые могут заразить ваш компьютер.
  • Не отвечайте на электронные письма или звонки от неизвестных отправителей: если отправитель неузнаваем, не отвечайте на звонок или электронное письмо. Это может помочь предотвратить любое общение с потенциальным мошенником.
  • Не разглашайте личную информацию: избегайте разглашения вашей личной и конфиденциальной информации (например, номер банковской карты, соцстрахования, логины и пароли и т.д.), если вы не уверены, что общаетесь с надежным источником.
  • Не используйте один и тот же пароль: создайте для всех своих аккаунтов разные и надежные пароли, которые мошенникам будет труднее угадать. Часто меняйте их на случай, если мошенник завладеет одним из них. Кроме того, избегайте использования одного и того же пароля для большинства ваших аккаунтов.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания