Что такое спуфинг? Как это работает и как защититься от атак

Спуфинг происходит, когда злоумышленники и киберпреступники действуют как доверенные человеческие контакты, бренды, организации, а также другие объекты или устройства, чтобы они могли получить доступ к системам и заразить их вредоносным ПО, украсть данные и иным образом причинить вред и сбои. По своей сути подделка — это любое действие, при котором мошенник скрывает свою личность, чтобы завоевать доверие или обойти обычные правила доступа.

Спуфинг может варьироваться от простого до сложного, с попытками, предпринимаемыми через электронную почту, веб-сайты и телефонные звонки, вплоть до попыток обмануть ничего не подозревающие сети путем подмены серверов системы доменных имен (DNS) и адресов интернет-протокола (IP). Многие спуфинговые атаки осуществляются посредством попыток социальной инженерии, которая включает в себя манипулирование и обман ничего не подозревающих пользователей, заставляющих их выдать важную информацию, такую ​​как пароли и банковскую информацию.

Что такое спуфинг и как он работает

Спуфинг работает с использованием различных высокотехнологичных и низкотехнологичных тактик, чтобы убедить конечного пользователя раскрыть конфиденциальную информацию или выполнить определенное действие (например, щелкнуть ссылку или загрузить файл), которое позволяет киберпреступнику повредить системы или украсть информацию. Хотя это и не продвинутая постоянная угроза (APT), различные типы спуфинга могут использоваться как часть более скоординированных, продолжающихся атак. Ниже приведены различные типы спуфинга, которые используют киберпреступники.

Различные типы спуфинга

Подмена электронной почты

Подмена электронной почты происходит, когда отправитель использует поддельный адрес электронной почты для ведения преступной деятельности. Это может быть что угодно: от отправки вложений, которые при загрузке устанавливают программу-вымогатель или другое вредоносное ПО, распространяющееся по всей сети, до убеждения конечного пользователя отправить деньги или конфиденциальную финансовую информацию. Подобно фишингу и другим видам социальной инженерии, подмена электронной почты использует эмоционально манипулятивные приемы, такие как создание страха или срочности, чтобы заставить конечного пользователя предпринять быстрые действия.

Подмена электронной почты является одной из наиболее распространенных форм этой атаки и очень эффективна. Это связано с тем, что киберпреступники маскируют электронные письма так, будто они отправлены организацией, которой доверяет конечный пользователь. Или они маскируют поле «От», чтобы имитировать поле кого-то из списка контактов получателя. Опытному пользователю электронной почты может потребоваться обнаружить подделку и не взаимодействовать с сообщением, открывая или загружая вложение.

Подмена номера вызывающего абонента

Подмена идентификатора вызывающего абонента — это когда злоумышленник звонит кому-то и намеренно отправляет ложную информацию для изменения идентификатора вызывающего абонента. VoIP (голос по интернет-протоколу) является предпочтительным средством для большинства попыток подмены идентификатора вызывающего абонента, поскольку служба использует Интернет для отправки и приема вызовов. Затем злоумышленник может использовать VoIP, чтобы выбрать номер телефона или отобразить имя в идентификаторе вызывающего абонента, которое выглядит знакомым или принадлежит к региону, который вызывающий абонент не сочтет подозрительным.

Как и в случае с подделкой электронной почты, следующий этап подделки идентификатора вызывающего абонента требует применения методов социальной инженерии, позволяющих обмануть человека на другом конце провода и заставить его предоставить информацию или предпринять действия, которые помогут преступнику осуществить атаку.

Подмена текстовых сообщений

Подмена текстового сообщения, также называемая подделкой SMS, происходит, когда отправитель текстового сообщения использует поддельную отображаемую информацию, чтобы скрыть свою личность и обманом заставить получателей выполнить действие. Они могут сделать это с помощью буквенно-цифровой идентификатор отправителячто может показаться не слишком подозрительным, поскольку законные компании делают то же самое в маркетинговых целях. Однако мошенники будут включать в свои текстовые сообщения ссылки на фишинговые SMS-сайты или загрузки вредоносного ПО.

Подмена веб-сайта

Подмена веб-сайта — это попытка придать поддельному вредоносному веб-сайту вид легитимного и безопасного. Киберпреступники обычно маскируют ее, используя знакомые логотипы брендов, цвета и макеты, чтобы фальшивая веб-страница очень напоминала веб-сайт, который вы часто посещаете, или веб-сайт компании, которой вы доверяете.

Злоумышленники часто сочетают подмену веб-сайта с подделкой электронной почты, доставляя ссылку на веб-сайт по электронной почте, обычно отправляя конечного пользователя на поддельную страницу входа, которая собирает имена пользователей, пароли и другую личную информацию, или путем установки вредоносного ПО на компьютер конечного пользователя.

Подмена IP-адреса

Подмена IP-адреса предполагает сокрытие или выдачу себя за другую компьютерную систему или мобильное устройство путем создания пакетов Интернет-протокола (IP) с измененным исходным адресом. Поскольку IP-пакеты являются основным средством связи, которое сетевые компьютеры и устройства используют для связи, целью подмены IP обычно является DDoS-атака (распределенный отказ в обслуживании). Они перегружают целевую сеть трафиком, пока она не отключится. В других сценариях киберпреступник просто хочет скрыть свое местоположение от получателя. Этот подход можно использовать при подмене электронной почты или подмене веб-сайта, чтобы повысить легитимность атаки.

DNS-спуфинг

Подмена системы доменных имен (DNS) происходит, когда злоумышленник изменяет записи DsNS и использует их для перенаправления онлайн-трафика на поддельный веб-сайт, который выдает себя за предполагаемый веб-сайт. Подмена DNS, также называемая отравлением кэша DNS, включает замену IP-адресов, хранящихся на DNS-сервере, на поддельные IP-адреса киберпреступника. Конечная цель атаки — направить конечного пользователя на поддельный и потенциально опасный веб-сайт.

GPS-спуфинг

Когда злоумышленники используют подмену GPS, они отправляют поддельный сигнал GPS на GPS-приемник. Обманутый приемник затем отправляет фальшивые данные о местоположении на другие затронутые GPS-устройства. Поскольку мобильные устройства в значительной степени полагаются на услуги GPS, они особенно восприимчивы к такого рода кибератакам. Более серьезные атаки с подменой GPS могут включать в себя указание неправильного местоположения. Киберпреступники используют подмену GPS, чтобы получить контроль над транспортными средствами, лодками, дронами и всеми, кто полагается на навигационную систему. Подмена GPS — это продвинутая тактика, которую можно использовать для захвата дронов или кораблей, а также для вмешательства в работу военных навигационных систем.

Подмена ARP

Одна из наиболее сложных кибератак, подмена протокола разрешения адресов (ARP), происходит, когда злоумышленник подключает свой MAC-адрес к целевому IP-адресу. После подключения преступник может перехватить, изменить или украсть данные, предназначенные для целевого IP-адреса. Подмена ARP может использоваться для атак типа «отказ в обслуживании» или даже для схем взлома системы.

Подмена расширения

Сегодняшние среднестатистические пользователи компьютеров или мобильных устройств знают, что не следует устанавливать исполняемые файлы, особенно те, которые получены из неизвестных и непроверенных источников. Киберпреступники используют подмену расширений, чтобы обманом заставить конечных пользователей установить исполняемые файлы вредоносного ПО, скрывая истинный тип файла. Например, вредоносный файл может называться report.doc.exe. Однако поддельное имя файла отображается только в электронном письме пользователя как report.doc.

Вместо того, чтобы упростить убедить людей загружать и устанавливать вложения. Киберпреступники знают, что людей предостерегали от установки исполняемых файлов. Киберпреступник может замаскировать исполняемый файл вредоносной программы с помощью поддельного расширения, например doc.exe. Поскольку Windows по умолчанию скрывает расширения файлов, файл отображается в электронном письме как newfile.doc. Ничего не подозревающий получатель с большей вероятностью загрузит и установит файл.

Что такое спуфинг и как защититься от спуфинга

Первый и самый важный шаг для защиты от спуфинга-атак — следить за очевидными признаками спуфинга. Одним из наиболее распространенных признаков являются веб-сайты, электронные письма или другие средства связи с плохим правописанием или грамматикой. Кроме того, обязательно проверьте цвета, шрифт и логотипы веб-сайтов и электронных писем, которые принадлежат проверенным компаниям и брендам. Другие способы защиты от спуфинга:

• Установите программное обеспечение для защиты от вредоносных программ и спама.
• Посещайте веб-сайты только с действующим сертификатом безопасности (https:// в начале URL-адреса).
• Наведите указатель мыши на URL-адрес, прежде чем щелкнуть его, чтобы убедиться, что его пункт назначения является надежным источником.
• Используйте спам-фильтры, чтобы предотвратить попадание вредоносных писем в ваш почтовый ящик.
• Проверьте адрес электронной почты отправителя электронной почты, чтобы убедиться, что перед доменом электронной почты нет ошибок или иного неправильного текста (домен — это информация после символа @).
• Не нажимайте на ссылки и не открывайте вложения от неизвестных отправителей или незнакомых доменов.
• Выбирайте надежные пароли и по возможности используйте двухфакторную аутентификацию.
• Регулярно обновляйте все приложения, операционные системы, браузеры, сетевые инструменты и внутреннее программное обеспечение, чтобы убедиться, что вы установили самую последнюю и безопасную версию.
• Используйте реальные сценарии, чтобы обучить сотрудников тому, как не стать жертвой социальной инженерии.

Что такое спуфинг: как узнать, что вас подделывают

На веб-сайтах плохая орфография и грамматика, контактные формы, запрашивающие личные или конфиденциальные данные, неработающие ссылки — все это признаки того, что вас подделывают. Кроме того, веб-сайты без замка в строке URL или http вместо https могут быть подделаны.

Что касается электронных писем, если сообщение содержит орфографические ошибки, незнакомый язык и грамматику, а также неузнаваемые встроенные ссылки или вложения, скорее всего, вас подделывают. Кроме того, тактики социальной инженерии, такие как создание чувства срочности или внушение страха, могут указывать на то, что сообщение может быть подделкой по электронной почте.

Признаками подделки идентификатора вызывающего абонента и подмены текстовых сообщений являются неизвестные и заблокированные телефонные номера, а также звонки и текстовые сообщения, которые кажутся повторяющимися.

Как моделирование фишинга помогает защититься от спуфинга

Моделирование фишинга — отличный способ защитить организации от спуфинга. Поскольку многие формы спуфинга включают в себя фишинг и другие виды социальной инженерии, моделирование атак является эффективным способом обучения сотрудников с помощью атак, которые выглядят как реальный спуфинг.

Спуфинг и фишинг — в чем разница?

Чтобы ответить на вопрос: что такое спуфинг, необходимо понимать два основных различия между спуфингом и фишингом. При подделке киберпреступник крадет личность и выдает себя за законного пользователя, тогда как при фишинге злоумышленники крадут конфиденциальную информацию пользователя, например данные банковского счета. Во-вторых, для спуфинга конечный пользователь должен загрузить вредоносный файл. Фишинговые атаки являются формой социальной инженерии и обычно включают ссылку на поддельный веб-сайт, где конечного пользователя можно обманом заставить предоставить конфиденциальные данные. Хотя это не одно и то же, киберпреступники могут использовать фишинг как часть своей спуфинговой атаки.

Изучите типы атак на систему, используемые методы и многое другое с помощью сертифицированного курса этического взлома. Зарегистрируйтесь сейчас!

Будьте впереди в области кибербезопасности

Программа последипломного образования Simplilearn по кибербезопасности призвана помочь студентам изучить комплексные подходы к защите инфраструктуры и данных, включая анализ и снижение рисков, облачную безопасность и соответствие требованиям. Магистерский курс по кибербезопасности в Индии. Выпускники завершают программу, используя передовые практики, приобретая как базовые, так и продвинутые навыки, которые готовят их к успеху на должностях в области кибербезопасности в любой отрасли.