Спуфинг – это тип кибератаки, в которой маскировка под легальный объект (компьютер, устройство или сеть) используется как средство проникновения в другие компьютерные сети. Это один из многих инструментов, используемый злоумышленниками для доступа к компьютерам с целью получения конфиденциальных данных, превращения их в «зомби» (для злонамеренного использования) или запуска DoS-атак (атак типа «отказ в обслуживании»). Самым распространенным типом спуфинга является IP-спуфинг.
IP-спуфинг – это подмена IP-адресов, выполняемая посредством создания IP-пакетов с ложным IP-адресом источника для имитации другой компьютерной системы. IP-спуфинг позволяет киберпреступникам незаметно выполнять вредоносные действия, например, кражу данных, заражение устройства вредоносными программами или нарушение работы сервера.
Начнем с базовой информации. Данные, передаваемые через интернет, сначала разбиваются на пакеты, затем пакеты независимо друг от друга передаются по сети, и в конце снова собираются воедино. Каждый пакет имеет заголовок IP, содержащий информацию о нем, в частности, IP-адрес источника и IP-адрес назначения.
При IP-спуфинге злоумышленники используют инструменты изменения IP-адреса источника в заголовке пакета, чтобы система-получатель считала, что пакет передается из надежного источника, например с другого компьютера разрешенной сети, и принимала его. Это происходит на уровне сети, поэтому внешние признаки взлома отсутствуют.
В системах, где установлена доверенная связь между сетевыми компьютерами, IP-спуфинг может использоваться для обхода проверки подлинности IP-адресов. В таких системах используется концепция, называемая защитой периметра, при которой устройства за пределами сети считаются источниками угроз, а внутри сети –доверенными. Как только злоумышленникам удается взломать сеть и проникнуть внутрь, они без труда могут выполнять любые действия в системе. Из-за этой уязвимости вместо стандартной проверки подлинности все чаще используются более надежные подходы к обеспечению безопасности, например, многоэтапная проверка подлинности.
Киберпреступники часто используют IP-спуфинг для онлайн-мошенничества, кражи личных данных и нарушения работы корпоративных веб-сайтов и серверов, однако иногда IP-спуфинг может использоваться в законных целях. Например, компании могут использовать IP-спуфинг для тестирования веб-сайтов перед запуском. Для тестирования веб-сайта требуется создать тысячи виртуальных пользователей, чтобы проверить, будет ли сайт способен обработать большое количество входов в систему без перегрузки. Это законный способ использования IP-спуфинга.
Ниже описаны три наиболее распространенных формы атак IP-спуфинга.
DDoS-атаки (распределенный отказ в обслуживании)
При DDoS-атаке злоумышленники используют поддельные IP-адреса для перегрузки серверов пакетами данных. В результате большие объемы интернет-трафика замедляют или нарушают работу веб-сайтов и сетей, а злоумышленники скрывают свою личность.
Маскировка ботнет-устройств
IP-спуфинг может использоваться для получения доступа к компьютерам путем маскировки ботнетов. Ботнет – это сеть компьютеров, управляемых злоумышленником из единого источника. На каждом компьютере работает специальная программа-бот, выполняющая вредоносные действия от имени злоумышленника. IP-спуфинг позволяет замаскировать ботнет, поскольку каждое устройство в такой сети имеет поддельный IP-адрес, что затрудняет отслеживание атаки. Это увеличивает продолжительность атаки, а вместе с ней и выигрыш злоумышленника.
Атаки типа «человек посередине»
Еще одной формой вредоносного IP-спуфинга является атака типа «человек посередине», при которой злоумышленники вклиниваются между двумя компьютерами, меняют пакеты и передают их без ведома отправителя или получателя. Если в результате подделки IP-адреса злоумышленники получат доступ к личным учетным записям для общения, они смогут, например, украсть информацию, направить пользователей на поддельные веб-сайты и многое другое. Со временем злоумышленники собирают огромное количество конфиденциальной информации, которую могут использовать или продать. Таким образом, атаки типа «человек посередине» считаются более прибыльными, чем атаки других типов.
Одним из самых известных примеров атаки с использованием IP-спуфинга является DDoS-атака на GitHub в 2018 году. GitHub – это платформа для размещения кода. В феврале 2018 года она подверглась крупнейшей DDoS-атаке за всю историю. Злоумышленники подделали IP-адрес GitHub и провели масштабную скоординированную атаку, в результате которой сервис был недоступен в течение 20 минут. GitHub восстановил работу, перенаправив трафик через партнера-посредника, а также выполнил очистку данных и заблокировал злоумышленников.
Более ранним примером спуфинговой атаки является разоблаченная Европолом атака типа «человек посередине», имевшая место в 2015 году и охватившая весь континент. В процессе атаки злоумышленники перехватывали платежные запросы между предприятиями и клиентами. Они использовали IP-спуфинг для получения мошеннического доступа к учетным записям корпоративной электронной почты компаний. Затем отслеживали сообщения, перехватывали платежные запросы от клиентов, и обманным путем вынуждали этих клиентов отправлять платежи на принадлежащие им банковские счета.
IP-спуфинг – это не единственная форма сетевого спуфинга. Существует различные типы спуфинга: спуфинг электронной почты, веб-сайтов, ARP, текстовых сообщений и других объектов. Вы можете ознакомиться с полным руководством «Лаборатории Касперского» по различным типам спуфинга.
Основная опасность IP-спуфинга заключается в том, что его трудно обнаружить конечным пользователям, поскольку атаки с подменой IP-адресов выполняются на сетевом уровне – на уровне 3 Сетевой модели OSI (Open System Interconnection). Атаки не оставляют внешних признаков взлома, потому что поддельные запросы на подключение часто выглядят как настоящие.
Однако в компаниях могут использоваться инструменты мониторинга сети для анализа трафика на конечных точках. Самым распространенным способом является фильтрация пакетов. Системы фильтрации пакетов, часто являющиеся компонентами роутеров и сетевых экранов, выявляют несоответствие между IP-адресом пакета и целевыми IP-адресами, указанными в списках контроля доступа и обнаруживают мошеннические пакеты.
Существуют два основных типа фильтрации: фильтрация входящих пакетов и фильтрация исходящих пакетов.
Спуфинговые атаки предназначены для сокрытия личности злоумышленников и затруднения их обнаружения. Для снижения рисков можно предпринять ряд мер по защите от спуфинга. Конечные пользователи не могут предотвратить IP-спуфинг. Это задача отделов по работе с серверами.
Большинство стратегий предотвращения IP-спуфинга должны разрабатываться и внедряться ИТ-специалистами. Способы защиты от IP-спуфинга включают:
Веб-дизайнерам рекомендуется переводить сайты на новый интернет-протокол – IPv6. Его использование затрудняет IP-спуфинг, поскольку протокол включает шифрование и аутентификацию. Однако большая часть мирового интернет-трафика по-прежнему передается по протоколу IPv4.
Конечные пользователи не могут предотвратить IP-спуфинг, однако соблюдение кибергигиены поможет повысить безопасность при работе в интернете. Разумные меры предосторожности включают следующие действия:
Установите надежные параметры безопасности для домашней сети
Для этого необходимо изменить заданные по умолчанию имена пользователей и пароли на домашнем роутере и на всех подключенных к нему устройствах, а также использовать надежные пароли. Надежный пароль сложно угадать, он состоит минимум из 12 символов и содержит сочетание заглавных и строчных букв, цифр и специальных символов. Вы можете ознакомиться с полным руководством по настройке безопасной домашней сети от «Лаборатории Касперского».
Соблюдайте осторожность при использовании публичных сетей Wi-Fi
Избегайте совершения транзакций, таких как покупки или банковские операции, в незащищенной публичной сети Wi-Fi. Если необходимо воспользоваться публичной точкой доступа, для обеспечения безопасности используйте виртуальную частную сеть (VPN). VPN шифрует интернет-соединение для защиты отправляемых и получаемых личных данных.
Убедитесь в надежности посещаемых веб-сайтов
Некоторые веб-сайты не шифруют данные. Сайты, у которых нет актуального SSL-сертификата, более уязвимы для атак. Сайты, веб-адрес которых начинается с HTTP, а не с HTTPS, не являются защищенными, что несет риски для пользователей, указывающих конфиденциальную информацию. Убедитесь, что вы используете надежные веб-сайты (HTTPS), для которых в адресной строке рядом с веб-адресом отображается значок замка
Сохраняйте бдительность, чтобы избежать фишинга
Остерегайтесь фишинговых писем от злоумышленников с просьбой обновить пароль, учетные данные для входа или данные платежной карты. Фишинговые электронные письма выглядят как сообщения из надежных источников, однако их отправляют мошенники. Не переходите по ссылкам в фишинговых письмах и не открывайте вложения.
Используйте комплексное антивирусное решение
Лучший способ обеспечения безопасности при работе в интернете – использование комплексного антивирусного решения, предоставляющего защиту от злоумышленников, вирусов, вредоносных программ и новейших онлайн-угроз. Кроме того, регулярное обновление программного обеспечения гарантирует наличие новейших функций безопасности.
Рекомендуемые продукты
Статьи по теме:
Мы используем файлы cookie, чтобы сделать работу с сайтом удобнее. Продолжая находиться на сайте, вы соглашаетесь с этим. Подробную информацию о файлах cookie можно прочитать здесь.