Что такое спуфинг – определение и описание

Определение спуфинга

В контексте кибербезопасности спуфинг – это ситуация, в которой злоумышленник маскируется под другого человека, компанию или объект, чтобы завоевать доверие пользователя. Как правило, цель спуфинга – получить доступ к системам, украсть данные или деньги либо распространить вредоносное ПО.

Что такое спуфинг?

Спуфинг – это собирательный термин для обозначения кибератак, при которых преступник выдает себя за доверенное лицо или устройство, чтобы получить выгоду, причинив вред пользователю. Если интернет-мошенник притворяется кем-то другим, значит, этот случай можно отнести к спуфингу.

Такие атаки могут происходить при любой форме общения в интернете и задействуют любые средства – от простых до технически сложных. Для повышения своих шансов на успех злоумышленники используют методы социальной инженерии – приемы психологических манипуляций, которые помогают вызвать у жертвы страх, сыграть на ее жадности или нехватке технических знаний.

Как работает спуфинг?

Ключевые компоненты любой спуфинг-атаки – это адрес электронной почты, сайт и т. п., которые будут использоваться для подмены, и сценарий атаки, созданный на основе принципов социальной инженерии, который подтолкнет жертву к совершению нужных действий. К примеру, злоумышленник может отправить вам письмо от лица вашего руководителя или старшего коллеги с просьбой перевести ему деньги, которая будет сопровождаться убедительными доводами. Злоумышленники – хорошие манипуляторы, которые знают, за какие ниточки надо потянуть, чтобы добиться желаемого результата (например, перевода денег на счет мошенников), не вызывая подозрений.

Успешная спуфинг-атака может привести к серьезным последствиям – распространению вредоносного ПО, извлечению личной или корпоративной информации либо учетных данных, которые будут использоваться для дальнейших атак, или получению преступниками несанкционированного доступа к сети и расширенных прав доступа. Для бизнеса спуфинг может завершиться шифрованием файлов с требованием выкупа или утечкой данных, которая приведет к серьезному ущербу, в том числе финансовому.

Существует несколько типов спуфинга. Самые простые связаны с подменой адреса электронной почты, сайта и номера телефона. К более сложным атакам относятся IP-спуфинг, ARP-спуфинг и DNS-спуфинг. Давайте рассмотрим самые распространенные типы спуфинга.

Типы спуфинга

Спуфинг с подменой адреса электронной почты

Это один из самых распространенных типов атаки: мошенник использует поддельные заголовки электронной почты, а почтовый клиент получателя отображает адрес мнимого отправителя, который у многих пользователей не вызывает сомнений. Заподозрить неладное можно, только пристально изучив заголовок. Но если в строке «Отправитель» отображается знакомое имя, такое письмо, вероятно, вызовет доверие у получателя.

Авторы поддельных писем часто просят адресата перевести им деньги или открыть доступ к системе. Сообщения могут содержать вложения: стоит только их открыть, как на устройство пользователя установится вредоносная программа, например троянец или вирус. Зачастую заражение не ограничивается одним компьютером – зловред быстро распространяется по всей сети.

Спуфинг электронной почты в значительной степени полагается на методы социальной инженерии, позволяющие убедить жертву открыть вложение, перевести деньги и так далее.

Как защититься от спуфинга электронной почты

К сожалению, полностью остановить поток поддельных электронных писем невозможно, поскольку протокол SMTP, который используется для отправки сообщений, не требует аутентификации отправителя. Тем не менее каждый пользователь может принять простые меры, чтобы снизить риск атаки, например выбрать надежный сервис электронной почты и следовать несложным правилам кибергигиены.

• Заведите отдельную почту для регистрации на сайтах. Это снизит риск попадания вашего личного адреса в массив данных, предназначенный для рассылки мошеннических сообщений.
• Используйте сложные, надежные пароли. Сложный пароль снизит шансы злоумышленников взломать вашу почту и начать отправлять письма с вашего адреса.
• Если можете, проверьте заголовок сообщения. (Этот метод работает только на компьютерах, а также зависит от почтового сервиса.) Заголовок сообщения содержит метаданные о маршруте письма и отправителе.
• Включите спам-фильтр. Он отсеет большинство поддельных писем в отдельную папку. 

IP-спуфинг

В отличие от спуфинга электронной почты, подмена IP-адреса нацелена не на конкретного пользователя, а преимущественно на сетевые технологии.

Злоумышленники, пытаясь получить несанкционированный доступ к системе, используют фальшивый IP-адрес, чтобы создать видимость, будто сообщение пришло из надежного источника, например из той же внутренней сети.

Они заменяют заголовки пакетов, используя IP-адрес легитимного хоста. Таким образом, пакеты, отправленные из системы мошенников, выглядят так, словно они отправлены с доверенного устройства. Чаще всего IP-спуфинг проводится в рамках масштабной DDoS-атаки, которая может привести к отказу целой сети, поэтому крайне важно обнаружить подмену как можно скорее. Больше информации об IP-спуфинге можно найти в нашей статье.

Как предотвратить IP-спуфинг (советы для владельцев сайтов)

• Выполняйте мониторинг сетей на предмет нетипичной активности.
• Используйте фильтрацию пакетов для обнаружения несоответствий (например, исходящих пакетов с IP-адресами источника, не совпадающими с IP-адресами, принадлежащими вашей сети).
• Выполняйте проверку всех удаленных подключений (даже для компьютеров из одной сети).
• Включите авторизацию пользователей по IP-адресу.
• Пользуйтесь защитой от сетевых атак.
• Защитите хотя бы часть ресурсов сетевым экраном.

Спуфинг с подменой сайта

Спуфинг с подменой сайта (или с подменой URL-адреса) – это тип спуфинга, когда мошенник создает фальшивый сайт, который практически неотличим от настоящего: та же страница для входа в систему, украденные логотипы и похожие элементы фирменного стиля, и даже URL-адрес на первый взгляд кажется настоящим. Такие сайты создаются для кражи учетных данных и иногда заражают устройство пользователя вредоносным ПО. Спуфинг с подменой сайта может сопровождаться спуфингом электронной почты: в этом случае жертва получает электронное сообщение со ссылкой на поддельный сайт.

Как уберечься от спуфинга с подменой сайта

• Смотрите на адресную строку сайта – поддельные сайты, как правило, не защищены. Адреса защищенных сайтов начинаются с https:// вместо http:// – буква S означает «безопасный» (англ. secure), а в адресной строке отображается значок замка. Это указывает на наличие у сайта действующего сертификата безопасности. Но если сертификата нет, совсем не обязательно, что сайт создан мошенниками. У поддельных сайтов есть и другие признаки.
• Обращайте внимание на орфографические и грамматические ошибки, а также на логотипы и цвета, которые незначительно отличаются от привычных. Проверьте содержимое сайта: некоторые мошенники оставляют пустыми такие разделы, как политика конфиденциальности или условия использования сайта.
• Используйте менеджер паролей – это программа, которая автоматически заполняет учетные данные. На фальшивых ресурсах она работать не будет. Если ваши учетные данные не подставились автоматически, возможно, этот сайт поддельный.

Спуфинг с подменой номера вызывающего абонента

Эту атаку иногда называют спуфингом номера телефона. В этой ситуации на экране телефона отображаются ложные сведения о вызывающем абоненте, а мошенники остаются в тени. Делают они это потому, что знают: люди охотнее отвечают на звонки с местных номеров, чем с абсолютно незнакомых.

Для подмены информации используется технология VoIP (IP-телефония), которая позволяет злоумышленникам самостоятельно выбрать номер и указать нужные им сведения о звонящем. Во время разговора с жертвой они пытаются выяснить личную информацию, которую можно использовать в преступных целях.

Как защититься от звонков с фальшивых номеров

• Узнайте, предлагает ли ваш оператор услугу или приложение для фильтрации спам-звонков.
• Для блокирования спама можно использовать сторонние приложения, но в этом случае ваши данные попадут к поставщику такого решения.
• Лучше вообще не отвечать на звонки с незнакомых номеров. Ответив, вы рискуете навлечь на себя еще больше спама, – ведь преступники будут думать, что вас легко обмануть.

SMS-спуфинг

SMS-спуфинг, или спуфинг с подменой сведений в текстовых сообщениях, – это тип атаки, при которой злоумышленник использует ложные сведения об отправителе сообщения. Бывает, что компании заменяют длинные телефонные номера коротким и запоминающимся буквенно-цифровым кодом в рамках маркетинговых кампаний, поскольку это удобнее для клиентов. Но этим методом пользуются и мошенники: за буквенно-цифровым идентификатором известной компании они прячут свое истинное лицо. Сообщения часто содержат ссылки на фишинговые сайты и вредоносные программы – это называется SMS-фишингом (или «смишингом»).

Как предотвратить SMS-спуфинг

• Старайтесь вообще не переходить по ссылкам из сообщений. Если сообщение пришло от знакомой вам организации и отправитель просит вас срочно совершить какие-то действия, найдите сайт этой компании через поисковую систему или введите адрес сайта в браузере.
• В частности, никогда не переходите по ссылкам для «сброса пароля» из SMS-сообщений – это наверняка обман.
• Банки, операторы связи и другие легитимные поставщики услуг никогда не запрашивают у клиентов личную информацию по SMS – не отвечайте на такие сообщения.
• Будьте осторожны с сообщениями, которые предлагают фантастические скидки или призы, – это наверняка от мошенников.

ARP-спуфинг

Протокол ARP – это протокол разрешения адреса, благодаря которому передаваемые по сети данные попадают на нужное устройство. ARP-спуфинг, который еще называют ARP-отравлением, – это ситуация, в которой злоумышленник передает фальшивые сообщения протокола ARP по локальной сети. Это позволяет связать MAC-адрес мошенника с IP-адресом легитимного устройства или сервера, подключенного к сети. Благодаря этому преступник может перехватывать, изменять и даже блокировать передачу данных на тот или иной IP-адрес.

Как предотвратить ARP-отравление

• Для обычных пользователей лучшей защитой от ARP-отравления будет виртуальная частная сеть (VPN).
• Организациям следует использовать шифрование, например по протоколам HTTPS и SSH, – это снизит шансы злоумышленников на успех.
• Кроме того, компаниям стоит подумать об использовании пакетных фильтров – они блокируют вредоносные пакеты и пакеты с подозрительными IP-адресами.

DNS-спуфинг

DNS-спуфинг, или отравление кеша DNS, – это атака, во время которой злоумышленник изменяет DNS-записи, чтобы перенаправить пользователя на поддельный веб-сайт, который очень похож на настоящий. Для этого мошенники заменяют IP-адреса DNS-сервера на нужные им. Мы подробно рассказываем о DNS-спуфинге здесь.

Как уберечься от DNS-спуфинга

• Советы для пользователей: никогда не переходите по ссылкам, в надежности которых вы не уверены, используйте виртуальную частную сеть (VPN), регулярно проверяйте свое устройство на наличие вредоносных программ и очищайте кеш DNS, чтобы избежать отравления.
• Советы для владельцев сайтов: используйте инструменты для обнаружения DNS-спуфинга, расширения безопасности для системы доменных имен и сквозное шифрование.

GPS-спуфинг

GPS-спуфинг – это ситуация, в которой на GPS-приемник передаются неверные GPS-сигналы, замаскированные под обычные. Так отображаемые на карте координаты мошенников не будут соответствовать действительности. Этот трюк используется для взлома автомобильной навигационной системы, чтобы направить водителя по неверному адресу, а в более крупных масштабах – для взлома навигационной системы кораблей и самолетов. Многие мобильные приложения ориентируются на данные о местоположении, определенные GPS-системой смартфона, – это тоже прекрасная мишень для спуфинг-атаки.

Как предотвратить GPS-спуфинг

• В настоящее время разрабатываются технологии для предотвращения спуфинг-атак на систему навигации морских судов.
• Для пользователей же самый простой (но не самый удобный) способ защитить смартфон или планшет от подобных атак – включить режим экономии заряда батареи при определении местоположения. В этом режиме для определения вашего местоположения вместо GPS используется только Wi-Fi или мобильная сеть (на некоторых устройствах эта возможность недоступна).

Спуфинг с подменой лица

Технологии распознавания лица используются для разблокирования мобильных устройств и ноутбуков, а также набирают популярность и в других сферах – ими пользуются правоохранительные органы, службы безопасности аэропортов, учреждения системы здравоохранения и учебные организации; они востребованы в маркетинге и рекламе. Но злоумышленник может получить биометрические данные из скомпрометированных систем или от другого человека либо украсть их из профиля пользователя в интернете, а затем воспользоваться ими в преступных целях.

Как предотвратить спуфинг с подменой лица

• Для защиты от такого рода атак используется технология Liveness Detection. Она определяет присутствие живого человека в кадре. Для этого применяются два метода.
  • Распознавание моргания: система отслеживает частоту моргания; если она неверная, в доступе будет отказано.
  • Интерактивное распознавание: пользователя просят выполнить некоторые мимические движения, чтобы убедиться, что он тот, за кого себя выдает.

Как предотвратить спуфинг

Для снижения вероятности спуфинг-атаки следуйте этим советам:

1. Не переходите по ссылкам и не открывайте вложения, если письмо пришло от незнакомого отправителя. Иначе вы рискуете заразить устройство вирусами или другими вредоносными программами. Если сомневаетесь – избегайте.
2. Не отвечайте на письма от неизвестных отправителей и звонки с незнакомых номеров. После общения с мошенниками количество спама может увеличиться.
3. По возможности задействуйте двухфакторную аутентификацию. Это дополнительный уровень защиты ваших устройств и учетных записей от несанкционированного доступа.
4. Используйте надежные пароли. Надежный пароль непросто угадать, в идеале он должен являться комбинацией заглавных и строчных букв, специальных символов и цифр. Не используйте один и тот же пароль для нескольких учетных записей и регулярно меняйте пароли. Инструмент менеджер паролей – отличный способ управления паролями.
5. Настройте параметры конфиденциальности в учетных записях. Пользователям социальных сетей следует осторожно выбирать собеседников и правильно настраивать параметры конфиденциальности и безопасности учетной записи. Если кто-то из пользователей ведет себя подозрительно, если вы открыли спам-сообщение или столкнулись с мошенником, примите меры для защиты учетной записи и сообщите о нарушении.
6. Не разглашайте личную информацию в интернете. Не сообщайте другим пользователям личную и конфиденциальную информацию, если на 100% не уверены в их надежности.
7. Регулярно обновляйте устройства и программы. Обновления программного обеспечения обычно включают исправления безопасности, устранение ошибок и новые функции – регулярное обновление снижает риски заражения вредоносным ПО и нарушения безопасности устройства.
8. Обращайте внимание на орфографические и грамматические ошибки на сайтах, в электронных письмах и текстовых сообщениях, а также на другие нетипичные особенности оформления – искаженные логотипы, цвета или неполную информацию. Это может быть признаком спуфинга. Пользуйтесь только теми сайтами, у которых есть действующий сертификат безопасности.

В США жертвы спуфинга могут подать жалобу в Федеральную комиссию по связи (центр работы с жалобами граждан). В других странах есть аналогичные органы, рассматривающие жалобы граждан согласно установленному порядку. Если в результате спуфинга вы понесли финансовые потери, обратитесь в правоохранительные органы.

Надежное антивирусное решение – пожалуй, лучший способ обеспечить собственную безопасность в интернете. Рекомендуем попробовать Kaspersky Total Security – это комплексное решение, которое защитит вас и вашу семью от опасностей в интернете.

Статьи по теме:

• Как не попасть на мошеннические сайты
• Спам и фишинг
• Мошенничество в Instagram: правила безопасности
• Что такое доксинг?