Атака с использованием спуфинга — это распространенная методика, с помощью которой злоумышленники выдают себя за надежный источник для обмана, манипулирования или кражи у жертвы.
Содержание
Что такое спуфинг-атака?
Эта тактика основана на злоупотреблении доверием, будь то обман системы или людей, чтобы заставить их принять злоумышленника за что-то другое.
Спуфинг в сфере кибербезопасности — это общий термин, который охватывает различные методы, такие как спуфинг электронной почты, IP-адресов, идентификаторов вызывающих абонентов, DNS и даже GPS. Эти тактики могут применяться против отдельных пользователей, корпораций или государственных учреждений. Часто с их помощью злоумышленники получают плацдарм для более разрушительных кибератак , таких как фишинг, утечка данных и развертывание программ–вымогателей.
Как работает спуфинг?
Спуфинг работает путем фальсификации данных с целью создать видимость надежного или знакомого источника. Злоумышленник может подделать адрес отправителя в электронном письме, скрыть свой номер телефона так, чтобы он соответствовал официальному номеру банка, или изменить пакеты данных в сети, чтобы они выглядели так, будто поступают с безопасного устройства.
Как спуфинг работает в реальных условиях? Чтобы завоевать доверие и обойти меры безопасности, необходимо представить поддельные цифровые учетные данные, сообщения или сигналы. В основе всегда лежит один и тот же принцип: стремление обманом заставить жертву видеть не то, что есть на самом деле, чтобы скрыть недобрые намерения.
Цифровой обман
Спуфинг электронной почты сочетает технические приемы с психологическими манипуляциями. Злоумышленники применяют поддельные заголовки электронной почты, измененные идентификаторы вызывающих абонентов, отравление кэша DNS или помехи для GPS-сигналов, чтобы вредоносный контент выглядел подлинным. Они вызывают у жертвы ощущение срочности, используют тактики запугивания или злоупотребляют доверием к признанным брендам, чтобы заставить человека нажать на ссылку, предоставить учетные данные или разрешить мошенническую транзакцию.
Какова цель спуфинг-атаки?
Спуфинг применяется в разных целях, которые можно разделить на несколько категорий. Злоумышленники часто стремятся украсть персональные данные, например учетные данные для входа в систему и банковские данные. Кроме того, спуфинг используется для распространения вредоносных программ или запуска фишинговых кампаний, которые прокладывают путь для программ-вымогателей. При технических атаках, таких как ARP-спуфинг, цель часто заключается в перехвате или манипулировании сетевым трафиком. Независимо от цели (обогащение, шпионаж или захват учетной записи) спуфинг дает преступникам эффективный способ воспользоваться доверием пользователя и системы.
Спуфинг и фишинг
Спуфинг подразумевает подделку элементов коммуникации (например, заголовков электронной почты или IP-адреса), чтобы они выглядели законными. Фишинг, с другой стороны, связан с манипуляциями, с помощью которых злоумышленники пытаются заставить жертву перейти по вредоносной ссылке или предоставить чувствительные данные. Во многих случаях спуфинг — это метод доставки, а фишинг — эксплойт. Вместе они образуют мощное сочетание технических приемов и психологических манипуляций.
Подробное сравнение спуфинга и фишинга:
Характеристика
Спуфинг
Фишинг
Определение
Имитация надежного источника
путем подделки цифровой информации
Обман с целью заставить пользователя раскрыть чувствительные данные или совершить опасное действие
Основная цель
Завоевание доверия или обход защиты
Кража учетных данных, распространение вредоносных программ или совершение мошенничества
Метод
Технический — подделка адреса отправителя, IP-адреса
или домена
Социальная инженерия — убедительные электронные письма, срочные запросы
Типы
Спуфинг электронной почты, IP, SMS, DNS, ARP, GPS, MAC
Целевой фишинг, уэйлинг, вишинг, смишинг, фарминг
Распространенные типы спуфинг-атак
Спуфинг — это общий термин, включающий несколько методов атак, каждый из которых представляет свои риски и сложности, связанные с обнаружением.
Спуфинг электронной почты
Злоумышленники подделывают адрес отправителя в электронном письме, чтобы у жертвы создалось впечатление, что письмо пришло от надежного контакта. Как работает спуфинг электронной почты? Злоумышленник изменяет информацию в заголовке, чтобы вы увидели знакомый адрес электронной почты, а затем перешли по вредоносной ссылке или загрузили зараженное вложение в письме. Этот метод широко используется в фишинговых атаках и схемах компрометации деловой электронной почты (BEC). Чтобы остановить спуфинг электронной почты, такие сервисы, как Gmail, рекомендуют включать протоколы аутентификации, например SPF, DKIM и DMARC, которые проверяют, было ли письмо отправлено с авторизованного сервера.
IP-спуфинг
IP-спуфинг включает подделку исходного адреса пакетов данных, чтобы создать впечатление, что они поступают от надежного компьютера. Эта методика распространена при атаках типа «отказ в обслуживании» (DoS) и распределенных атаках типа «отказ в обслуживании» (DDoS), когда поддельные пакеты перегружают систему до сбоя. ARP-спуфинг и DHCP-спуфинг — это связанные методы манипулирования сетевым трафиком на локальном уровне. Обнаружить IP-спуфинг обычно можно с помощью систем обнаружения вторжений (IDS), проверки пакетов и строгих правил межсетевого экрана.
DNS-спуфинг (спуфинг домена)
DNS-спуфинг, также называемый спуфингом домена или сайта, перенаправляет пользователей на поддельные сайты, которые очень похожи на законные. Путем искажения записей DNS или взлома записей кэша злоумышленники обманом заставляют жертву ввести учетные данные для входа или загрузить вредоносную программу. При спуфинге IP-адреса этим способом поддельный сайт почти неотличим от настоящего, и обычному пользователю крайне сложно их различить.
ARP-спуфинг
(Другое название — отравление ARP.) Злоумышленники отправляют поддельные сообщения ARP в локальной сети. При этом устройства связывают MAC-адрес злоумышленника с надежным IP-адресом, позволяя перехватывать сетевой трафик и манипулировать им. ARP-спуфингом — это фальсификация ARP-запросов, а отравление — это происходящее в результате повреждение ARP-таблицы сети. Cisco и другие поставщики решений по безопасности рекомендуют реализовывать сегментацию сети и динамическую проверку ARP для снижения этих рисков.
Спуфинг идентификатора и номера телефона вызывающего абонента
Подделка идентификатора вызывающего абонента скрывает номер телефона, отображаемый на устройстве получателя. Злоумышленники могут звонить якобы из банка, государственного учреждения или другой компании, запрашивая у жертв персональные данные или оплату. Нарушает ли подделка идентификатора вызывающего абонента закон? Во многих юрисдикциях это незаконно, если используется для мошенничества и в других преступных целях, хотя существует ограниченное законное применение, например правоохранительными органами. Для блокировки поддельных вызовов на смартфонах обычно требуются инструменты на уровне оператора связи или сторонние приложения для фильтрации вызовов.
SMS-спуфинг
SMS-спуфинг подразумевает отправку текстовых сообщений, которые якобы поступают от доверенного абонента или службы. Жертвы часто получают срочные сообщения с предложением перейти по ссылке или ввести проверочный код. Чтобы защититься от SMS-спуфинга на смартфоне, не нажимайте на подозрительные ссылки, связывайтесь с отправителем напрямую и используйте фильтры спама, которые предоставляет оператор связи.
GPS-спуфинг
GPS-спуфинг манипулирует геолокационными сигналами, чтобы устройство определяло, что оно находится в другом месте. Таким образом злоумышленники обходят геолокационные сервисы, мешают отслеживанию устройств или вмешиваются в работу дронов. Является ли GPS-спуфинг незаконным? В большинстве случаев да, особенно когда он используется для совершения мошенничества или вмешательства в работу навигационных систем. При этом в таких играх, как Pokémon Go, пользователи иногда применяют GPS-спуфинг, но за это их аккаунты могут навсегда заблокировать.
MAC-спуфинг
При MAC-спуфинге изменяется MAC-адрес устройства, чтобы выдать его за другое устройство в той же сети. Почему MAC-спуфинг представляет угрозу? С его помощью злоумышленники обходят сетевые фильтры, перехватывают сеансы или выдают себя за доверенные устройства, часто оставаясь незамеченными.
Почему спуфинг опасен?
Спуфинг-атаки опасны тем, что подрывают доверие в цифровом мире. Если вы больше не можете полагаться на подлинность электронной почты, телефонных номеров или сайтов, каждое взаимодействие сопряжено с риском. Последствия могут быть разными — от похищения финансовых данных и опустошения банковских счетов до крупномасштабных утечек и кражи персональных данных. В последние годы одни только атаки с компрометацией деловой электронной почты обходились организациям в миллиарды долларов. Помимо финансового ущерба, спуфинг подрывает уверенность в цифровых коммуникациях, так что люди и компании с подозрением начинают относиться к каждому полученному сообщению.
Как обнаружить спуфинг
Раннее обнаружение позволяет свести к минимуму ущерб от спуфинговых атак.
Признаки спуфинга в электронной почте и сообщениях
Обращайте внимание на ошибки в адресе отправителя, необычные доменные имена, опечатки и странный тон. Наводите указатель мыши на ссылки, прежде чем щелкнуть по ним, чтобы убедиться, что место назначения совпадает с текстом на экране. Неожиданные срочные требования или запросы о предоставлении чувствительных данных должны вызывать подозрение.
Технический мониторинг
На техническом уровне организации используют системы обнаружения вторжений, системы предотвращения вторжений и глубокую проверку пакетов для выявления поддельного трафика. Протоколы аутентификации электронной почты, такие как SPF, DKIM и DMARC, помогают проверить подлинность сообщений. Для обнаружения IP-спуфинга крайне важно отслеживать необычные схемы трафика и проверять заголовки пакетов.
Как предотвратить спуфинг-атаки
Для предотвращения спуфинга требуется применять технические меры безопасности и проявлять бдительность.
Протоколы аутентификации электронной почты
Применение SPF, DKIM и DMARC — один из самых эффективных способов остановить спуфинг электронной почты, в том числе предотвратить отправку поддельных электронных писем с вашего домена. Эти протоколы работают вместе для проверки личности отправителя и блокировки мошеннических сообщений.
Многофакторная аутентификация (MFA)
MFA на основе приложений или аппаратных средств вместо SMS не позволяет злоумышленникам использовать поддельные номера для получения доступа. Даже если злоумышленник контролирует ваш номер телефона, у него не будет доступа к приложению для аутентификации или аппаратному токену.
Технология защиты от спуфинга
Поставщики телекоммуникационных услуг и кибербезопасности предлагают фильтры для защиты от спама, услуги блокировки вызовов и инструменты безопасности ARP/DHCP. Cisco и другие вендоры предлагают передовые решения, которые помогают выявлять и блокировать спуфинг на уровне сети.
Бдительность
Избегайте перехода по подозрительным ссылкам, в случае неожиданных звонков напрямую связывайтесь с организациями и никогда не называйте коды проверки, если не уверены в происходящем.
Как Trend Micro поможет вам предотвратить спуфинг?
Спуфинг часто начинается с одного поддельного электронного письма. Решение Trend Micro Email and Collaboration Security, входящее в состав платформы Trend Vision One™, обеспечивает расширенную защиту от спуфинга электронной почты, попыток выдать себя за другое лицо и фишинга по всей коммуникационной среде.
Используя обнаружение угроз на базе ИИ, проверку отправителей (SPF, DKIM, DMARC) и поведенческий анализ, Trend Micro помогает блокировать попытки спуфинга до того, как они нанесут ущерб.
Узнайте, как Trend Micro Email and Collaboration Security может защитить вашу организацию от спуфинга, прежде чем ваши пользователи пострадают.
Часто задаваемые вопросы
Что такое спуфинг?
Спуфинг — это подход, при котором злоумышленник притворяется надежным источником, используя поддельные адреса электронной почты, номера телефонов и сайты, чтобы обмануть пользователя.
Что такое спуфинг электронной почты?
Злоумышленники подделывают адрес отправителя электронной почты, чтобы вы подумали, что это доверенный отправитель, и перешли по ссылке или поделились информацией.
Что такое спуфинг номеров и как защититься от него?
При спуфинге номеров жертва видит поддельный идентификатор вызывающего абонента. Используйте блокировщики вызовов и не раскрывайте информацию абонентам с неизвестным номером.
Как защититься от спуфинга электронной почты?
Используйте SPF, DKIM и DMARC для аутентификации отправителей и блокировки поддельных электронных адресов.
Что такое спуфинг в сфере кибербезопасности?
В сфере кибербезопасности спуфинг означает имитацию надежных источников для кражи данных или доступа к системам.
Что такое ARP-спуфинг?
ARP-спуфинг заставляет устройства в сети отправлять данные злоумышленнику, а не в реальное место назначения.