Czym jest atak typu spoofing?

Spoofing to sytuacja, gdy ktoś lub coś udaje coś innego, aby zyskać zaufanie ofiary, uzyskać dostęp do systemu, ukraść dane lub rozprzestrzenić malware.

POBIERZ MALWAREBYTES ZA DARMO

Także dla Windows, iOS, Android, Chromebook i Dla Biznesu

Czym jest spoofing? Definicja spoofingu

Spoofing, w kontekście cyberbezpieczeństwa, to sytuacja, gdy ktoś lub coś udaje coś innego, aby zyskać nasze zaufanie, uzyskać dostęp do naszych systemów, ukraść dane, ukraść pieniądze lub rozprzestrzenić malware. Ataki typu spoofing mogą przybierać różne formy, w tym:

Podszywanie się w e-mailu
Spoofing stron internetowych i/lub URL
Spoofing ID dzwoniącego
Spoofing wiadomości tekstowych
Spoofing GPS
Ataki typu Man-in-the-middle
Spoofing rozszerzeń
Spoofing IP
Spoofing twarzy

Jak oszukują nas cyberprzestępcy? Często wystarczy samo wspomnienie nazwy dużej, zaufanej firmy, abyśmy podali informacje lub podjęli jakieś działania. Na przykład, sfałszowany email od PayPal lub Amazon może zapytać o zakupy, których nigdy nie dokonaliśmy. Zaniepokojeni stanem konta, możemy być skłonni kliknąć dołączony link.

Z tego złośliwego linku oszuści odsyłają do strony internetowej z pobranym złośliwym oprogramowaniem lub fałszywej strony logowania - pełnej znanego logo i sfałszowanego adresu URL- w celu pobrania nazwy użytkownika i hasła.

Istnieje wiele innych sposobów na przeprowadzenie ataku spoofingowego. We wszystkich z nich oszuści opierają się na tym, że ofiary dają się nabrać na podróbki. Jeśli nigdy nie wątpisz w autentyczność strony internetowej i nigdy nie podejrzewasz falsyfikatu w emailu, możesz stać się ofiarą ataku spoofingowego.

Dlatego ta strona poświęcona jest tematowi spoofingu. Podzielimy się wiedzą na temat rodzajów spoofingów, jak działa spoofing, jak odróżnić prawdziwe emaile i strony od fałszywych oraz jak unikać stania się celem oszustów.

„Spoofing, w kontekście cyberbezpieczeństwa, to sytuacja, gdy ktoś lub coś udaje coś innego, aby zyskać nasze zaufanie, uzyskać dostęp do naszych systemów, ukraść dane, ukraść pieniądze lub rozprzestrzenić malware.”

Rodzaje spoofingu

Podszywanie się w e-mailu

Email spoofing to wysyłanie wiadomości e-mail z fałszywymi adresami nadawców, zwykle w ramach ataku phishingowego mającego na celu kradzież informacji, zainfekowanie komputera złośliwym oprogramowaniem lub po prostu zażądanie pieniędzy. Typowe ładunki złośliwych wiadomości e-mail obejmują oprogramowanie ransomware, adware, cryptojackery, trojany (takie jak Emotet) lub złośliwe oprogramowanie, które zniewala komputer w botnecie (patrz DDoS).

Ale podrobiony adres email nie zawsze wystarcza, by oszukać przeciętnego człowieka. Wyobraź sobie, że dostajesz phishingowy email, który w polu nadawcy wygląda na pochodzi z Facebooka, ale treść jest napisana w prostym tekście, bez designu czy HTML—nawet bez logo. To coś, co powinno wzbudzić nasze podejrzenia, bo nie jesteśmy przyzwyczajeni do otrzymywania takich emaili od Facebooka. Zgodnie z tym, phishingowe emaile zazwyczaj łączą kilka zwodniczych cech:

Fałszywy adres nadawcy zaprojektowany tak, aby wyglądał na pochodzący od kogoś, kogo znasz i komu ufasz - być może znajomego, współpracownika, członka rodziny lub firmy, z którą prowadzisz interesy.
W przypadku firmy lub organizacji email może zawierać znaną identyfikację wizualną, np. logo, kolory, czcionkę, przycisk wezwania do działania itp.
Ataki typu spear phishing są ukierunkowane na osobę lub małą grupę w firmie i zawierają spersonalizowany język oraz zwracają się do odbiorcy po imieniu.
Literówki—dużo ich. Choć oszuści się starają, często nie poświęcają dużo czasu na korektę. Sfałszowane emaile często zawierają literówki, lub są tak skonstruowane, jakby zostały przetłumaczone przez Google Translate. Uważaj na nietypowe konstrukcje zdań; firmy takie jak Facebook czy PayPal raczej nie popełniają takich błędów w swoich emailach do klientów.

Email spoofing odgrywa kluczową rolę w oszustwach typu sextortion. Oszustwa te nakłaniają nas do myślenia, że nasze kamery internetowe zostały przejęte przez oprogramowanie szpiegujące i wykorzystane do nagrywania oglądania pornografii. Te sfałszowane wiadomości e-mail będą zawierały coś w rodzaju "Oglądałem, jak oglądasz porno", co jest niezwykle dziwną rzeczą do powiedzenia. Kto jest prawdziwym oszustem w tym scenariuszu?

Następnie oszuści żądają pewnej kwoty Bitcoin lub innej kryptowaluty, w przeciwnym razie wyślą wideo do wszystkich kontaktów. Aby stworzyć wrażenie legalności, e-maile mogą również zawierać nieaktualne hasło z poprzedniego naruszenia danych. Spoof wchodzi w grę, gdy oszuści ukrywają pole nadawcy wiadomości e-mail, aby wyglądało tak, jakby zostało wysłane z rzekomo naruszonego konta e-mail. Możesz być pewien, że nikt cię nie obserwuje.

Podszywanie się pod strony internetowe

Podszywanie się pod strony internetowe polega na tym, by złośliwa witryna wyglądała jak legalna. Podrobiona witryna będzie wyglądać jak strona logowania do często odwiedzanej witryny - aż do brandingu, interfejsu użytkownika, a nawet sfałszowanej nazwy domeny, która na pierwszy rzut oka wygląda tak samo. Cyberprzestępcy wykorzystują sfałszowane strony internetowe do przechwytywania nazwy użytkownika i hasła (tzw. spoofing logowania) lub umieszczania złośliwego oprogramowania na komputerze ( pobieranie drive-by download). Podrobiona strona internetowa jest zwykle używana w połączeniu z podrobioną wiadomością e-mail, w której znajduje się link do strony internetowej.

Warto również zauważyć, że sfałszowana strona internetowa to nie to samo, co zhakowana strona internetowa. W przypadku włamania na stronę internetową, prawdziwa witryna została naruszona i przejęta przez cyberprzestępców - bez spoofingu lub podrabiania. Podobnie, złośliwa reklama jest własną marką złośliwego oprogramowania. W tym przypadku cyberprzestępcy wykorzystują legalne kanały reklamowe do wyświetlania złośliwych reklam na zaufanych stronach internetowych. Reklamy te potajemnie ładują złośliwe oprogramowanie na komputer ofiary.

Spoofing ID dzwoniącego

Podszywanie się pod identyfikator dzwoniącego ma miejsce, gdy oszuści oszukują identyfikator dzwoniącego, sprawiając, że połączenie wydaje się pochodzić z miejsca, z którego nie pochodzi. Oszuści nauczyli się, że jest bardziej prawdopodobne, że odbierzesz telefon, jeśli identyfikator dzwoniącego pokazuje numer kierunkowy taki sam lub zbliżony do Twojego. W niektórych przypadkach oszuści fałszują nawet kilka pierwszych cyfr numeru telefonu oprócz numeru kierunkowego, aby stworzyć wrażenie, że połączenie pochodzi z sąsiedztwa (tzw. spoofing sąsiada).

Spoofing wiadomości tekstowych

Fałszowanie wiadomości tekstowych lub SMS-ów to wysyłanie wiadomości tekstowych z cudzym numerem telefonu lub identyfikatorem nadawcy. Jeśli kiedykolwiek wysłałeś wiadomość tekstową z laptopa, sfałszowałeś swój własny numer telefonu w celu wysłania wiadomości tekstowej, ponieważ tekst w rzeczywistości nie pochodził z Twojego telefonu.

Firmy często podszywają się pod własne numery dla celów marketingowych i wygody konsumenta, zastępując długi numer alfanumerycznym identyfikatorem nadawcy, który jest krótki i łatwy do zapamiętania. Oszuści robią to samo—ukrywają swoją prawdziwą tożsamość za pomocą alfanumerycznych identyfikatorów nadawców, często udając legalne firmy lub organizacje. Podrobione teksty często zawierają linki do phishingowych stron SMS (smishing) lub pobrań malware.

Oszuści wysyłający wiadomości tekstowe mogą wykorzystywać rynek pracy, podszywając się pod agencje zatrudnienia i wysyłając ofiarom oferty pracy, które są zbyt dobre, by mogły być prawdziwe. W jednym z przykładów, praca z domu w Amazon obejmowała "Zupełnie nową Toyotę Corrolę". Po pierwsze, po co komu samochód służbowy, jeśli pracuje z domu? Po drugie, czy Toyota "Corrola" to generyczna wersja Toyoty Corolli? Niezła próba, oszuści.

Spoofing GPS

Podszywanie się pod GPS ma miejsce, gdy oszukujesz GPS swojego urządzenia, aby myślał, że jesteś w jednej lokalizacji, podczas gdy w rzeczywistości jesteś w innej lokalizacji. Dlaczego, u licha, ktoś miałby chcieć fałszować GPS? Dwa słowa: Pokémon GO.

Wykorzystując spoofing GPS, oszuści Pokémon GO są w stanie sprawić, że popularna gra mobilna myśli, że znajdują się w pobliżu siłowni w grze i przejmują ją (wygrywając walutę w grze). W rzeczywistości oszuści znajdują się w zupełnie innym miejscu lub kraju. Podobnie, na YouTube można znaleźć filmy pokazujące graczy Pokémon GO łapiących różne Pokémony bez wychodzenia z domu. Chociaż fałszowanie GPS może wydawać się dziecinnie proste, nietrudno sobie wyobrazić, że aktorzy zagrożeń mogą wykorzystać tę sztuczkę do bardziej nikczemnych działań niż zdobywanie waluty w grach mobilnych.

Atak typu Man-in-the-middle (MitM)

Ataki typu Man-in-the-Middle (MitM ) mogą się zdarzyć, gdy korzystasz z bezpłatnej sieci Wi-Fi w lokalnej kawiarni. Czy zastanawiałeś się, co by się stało, gdyby cyberprzestępca włamał się do sieci Wi-Fi lub utworzył inną fałszywą sieć Wi-Fi w tej samej lokalizacji? W obu przypadkach mamy do czynienia z idealną konfiguracją dla ataku man-in-the-middle, nazwanego tak, ponieważ cyberprzestępcy są w stanie przechwycić ruch internetowy między dwiema stronami. Podszywanie się wchodzi w grę, gdy przestępcy zmieniają komunikację między stronami w celu przekierowania środków lub uzyskania poufnych danych osobowych, takich jak numery kart kredytowych lub loginy.

Uwaga dodatkowa: Podczas gdy ataki MitM zazwyczaj przechwytują dane w sieci Wi-Fi, inna forma ataku MitM przechwytuje dane w przeglądarce. Nazywa się to atakiem typu man in the browser (MitB).

Spoofing rozszerzeń

Fałszowanie rozszerzeń ma miejsce, gdy cyberprzestępcy muszą ukryć wykonywalne pliki złośliwego oprogramowania. Jedną z popularnych sztuczek polegających na fałszowaniu rozszerzeń jest nazwanie pliku w stylu "nazwa_pliku.txt.exe". Przestępcy wiedzą, że rozszerzenia plików są domyślnie ukryte w Windows , więc dla przeciętnego użytkownika Windows ten plik wykonywalny będzie wyglądał jak "nazwa_pliku.txt".

Spoofing IP

Podszywanie się pod adres IP jest stosowane, gdy ktoś chce ukryć lub zamaskować lokalizację, z której wysyła lub żąda danych online. Jeśli chodzi o cyberzagrożenia, spoofing adresów IP jest wykorzystywany w rozproszonych atakach typu "odmowa usługi" (DDoS ), aby zapobiec filtrowaniu złośliwego ruchu i ukryć lokalizację atakującego.

Spoofing twarzy

Fałszowanie twarzy może być najbardziej osobistą kwestią ze względu na implikacje, jakie niesie dla przyszłości technologii i naszego życia osobistego. Obecnie technologia identyfikacji twarzy jest dość ograniczona. Używamy naszych twarzy do odblokowywania naszych urządzeń mobilnych i laptopów, i niewiele więcej. Wkrótce jednak może się okazać, że będziemy dokonywać płatności i podpisywać dokumenty naszymi twarzami. Wyobraź sobie konsekwencje, gdy możesz otworzyć linię kredytową swoją twarzą. Przerażające.

Naukowcy wykazali, jak modele twarzy 3D wykonane z twoich zdjęć w mediach społecznościowych mogą już być używane do włamania do urządzenia zablokowanego za pomocą rozpoznawania twarzy. Idąc o krok dalej, Malwarebytes Labs zgłosił używanie technologii deepfake do tworzenia fałszywych wiadomości wideo i fałszywych filmów pornograficznych, z udziałem głosów i podobizn polityków i celebrytów.

Jak działa spoofing?

Przeszliśmy przez różne formy spoofingu i pokrótce omówiliśmy mechanikę każdego z nich. W przypadku spoofingu emailowego, jednak, jest więcej do powiedzenia. Istnieje kilka sposobów, które cyberprzestępcy mogą używać do ukrycia swojej prawdziwej tożsamości w spoofingu emailowym. Najbardziej niezawodną opcją jest zhakowanie niezabezpieczonego serwera pocztowego. W takim przypadku email technicznie pochodzi od rzekomego nadawcy.

Najprostszą opcją jest po prostu umieszczenie dowolnego adresu w polu "Od". Jedynym problemem jest to, że jeśli ofiara odpowie lub e-mail nie może zostać wysłany z jakiegoś powodu, odpowiedź trafi do osoby wymienionej w polu "Od" - a nie do atakującego. Technika ta jest powszechnie stosowana przez spamerów w celu ominięcia filtrów antyspamowych. Jeśli kiedykolwiek otrzymałeś odpowiedzi na wiadomości e-mail, których nigdy nie wysłałeś, jest to jeden z możliwych powodów, inny niż włamanie na twoje konto e-mail. Nazywa się to backscatter lub collateral spam.

Innym powszechnym sposobem fałszowania wiadomości e-mail przez atakujących jest rejestrowanie nazwy domeny podobnej do tej, którą próbują sfałszować w tak zwanym ataku homograficznym lub spoofingu wizualnym. Na przykład "rna1warebytes.com". Zwróć uwagę na użycie cyfry "1" zamiast litery "l". Należy również zwrócić uwagę na użycie liter "r" i "n" do podrobienia litery "m". Ma to dodatkową zaletę, dając atakującemu domenę, której może użyć do stworzenia fałszywej strony internetowej.

Niezależnie od tego, czym jest spoof, nie zawsze wystarczy po prostu wyrzucić fałszywą stronę internetową lub wiadomość e-mail w świat i mieć nadzieję na najlepsze. Skuteczny spoofing wymaga połączenia samego spoofingu i inżynierii społecznej. Inżynieria społeczna odnosi się do metod stosowanych przez cyberprzestępców w celu nakłonienia nas do podania danych osobowych, kliknięcia złośliwego linku lub otwarcia załącznika zawierającego złośliwe oprogramowanie.

Istnieje wiele zagrań w książce socjotechniki. Cyberprzestępcy liczą na podatności, które mamy jako ludzie, takie jak strach, naiwność, chciwość i próżność, by przekonać nas do zrobienia czegoś, czego naprawdę nie powinniśmy robić. Na przykład, w przypadku oszustwa z sekstorsją, możesz wysłać oszustowi Bitcoiny, ponieważ boisz się, że twoje przysłowiowe brudy zostaną wyjeżdżone publicznie.

Ludzkie podatności nie zawsze są też złe. Ciekawość i empatia to ogólnie dobre cechy, ale przestępcy uwielbiają atakować ludzi, którzy je okazują.

Na przykład, oszustwo "dziadków na ulicy", w którym rzekomo bliska osoba jest w więzieniu lub szpitalu w obcym kraju i pilnie potrzebuje pieniędzy. E-mail lub SMS może brzmieć: "Dziadku Joe, zostałem aresztowany za przemyt narkotyków w [wstaw nazwę kraju]. Proszę, wyślij pieniądze i nie mów o tym rodzicom. Jesteś najlepszy! [trzy uśmiechnięte twarze z mrugającym okiem]". Oszuści liczą tu na ogólny brak wiedzy dziadka o tym, gdzie znajduje się jego wnuczek.

"Udane spoofing wymaga połączenia samego spoofingu i inżynierii społecznej. Inżynieria społeczna odnosi się do metod, które cyberprzestępcy stosują, aby oszukać nas, byśmy ujawnili dane osobowe, kliknęli złośliwy link lub otworzyli załącznik z malware."

Jak wykryć spoofing?

Oto oznaki, że jesteś spoofowany. Jeśli zobaczysz te wskaźniki, usuń wiadomość, kliknij przycisk wstecz, zamknij przeglądarkę, nie idź dalej.

Podszywanie się pod strony internetowe

Brak ikony kłódki lub zielonego paska. Wszystkie bezpieczne, renomowane strony internetowe muszą mieć certyfikat SSL, co oznacza, że trzecia strona certyfikująca zweryfikowała, że adres webowy faktycznie należy do weryfikowanej organizacji. Należy pamiętać, że certyfikaty SSL są teraz darmowe i łatwe do zdobycia. Choć witryna może mieć kłódkę, nie oznacza to, że jest prawdziwa. Pamiętaj, nic w Internecie nie jest w 100 procentach bezpieczne.
Strona nie używa szyfrowania plików. HTTP, czyli Hypertext Transfer Protocol, jest tak stary jak Internet i odnosi się do zasad używanych przy udostępnianiu plików w sieci. Legalne strony niemal zawsze używają HTTPS, zaszyfrowanej wersji HTTP, podczas przesyłania danych. Jeśli jesteś na stronie logowania i widzisz „http” zamiast „https” w pasku adresu przeglądarki, powinieneś być podejrzliwy.
Korzystaj z menedżera haseł. Menedżer haseł, taki jak 1Password, automatycznie uzupełni dane logowania dla każdej legalnej strony, którą zapisałeś w swoim sejfie haseł. Jednak jeśli wejdziesz na podrobioną stronę, menedżer haseł nie rozpozna jej i nie wypełni pól z nazwą użytkownika i hasłem—dobry znak, że jesteś spoofowany.

Podszywanie się w e-mailu

Sprawdź adres nadawcy dwa razy. Jak wspomniano, oszuści rejestrują fałszywe domeny, które wyglądają bardzo podobnie do legalnych.
Wygoogluj treść e-maila. Szybkie wyszukiwanie może pokazać, czy znany phishingowy e-mail krąży w sieci.
Osadzone linki mają nietypowe adresy URL. Sprawdź adresy URL przed kliknięciem, przesuwając nad nimi kursorem.
Błędy w pisowni, złe gramatyka i nietypowa składnia. Oszuści często nie przeprowadzają korekty swojej pracy.
Treść e-maila jest zbyt dobra, aby była prawdziwa.
Są załączniki. Uważaj na załączniki—szczególnie, gdy pochodzą od nieznanego nadawcy.

Spoofing ID dzwoniącego

Identfikator dzwoniącego łatwo można podrobić. To smutne, gdy nasze lądowe telefony stają się miejscem dla fałszywych połączeń. Jest to szczególnie niepokojące, gdy pomyślimy, że większość osób, które wciąż mają telefony stacjonarne, to osoby starsze—grupa najbardziej podatna na fałszywe połączenia. Pozwól nieznanym numerom dzwoniącym na stacjonarny przejść na pocztę głosową lub automatyczną sekretarkę.

Jak mogę się chronić przed spoofingiem?

Przede wszystkim powinieneś nauczyć się, jak rozpoznać atak spoofingowy. Jeśli pominąłeś sekcję „Jak wykryć spoofing?”, powinieneś ją teraz przeczytać.

Włącz filtr spamu. Zatrzyma to większość spoofowanych e-maili, zanim dotrą do twojej skrzynki odbiorczej.

Nie klikaj w linki ani nie otwieraj załączników w e-mailach, jeśli e-mail pochodzi od nieznanego nadawcy. Jeśli istnieje możliwość, że e-mail jest legalny, skontaktuj się z nadawcą przez inny kanał i potwierdź treść e-maila.

Zaloguj się przez osobną kartę lub okno. Jeśli otrzymasz podejrzany e-mail lub SMS, proszący o zalogowanie się na koncie i podjęcie jakiejś akcji, np. zweryfikowanie informacji, nie klikaj podanego linku. Zamiast tego, otwórz inną kartę lub okno i przejdź bezpośrednio na stronę. Alternatywnie, zaloguj się przez dedykowaną aplikację na telefonie lub tablecie.

Podnieś słuchawkę telefonu. Jeśli otrzymałeś podejrzany e-mail, domniemanie od kogoś, kogo znasz, nie bój się zadzwonić lub wysłać SMS-a do nadawcy, aby potwierdzić, że na pewno wysłali e-maila. Ta rada jest szczególnie ważna, jeśli nadawca prosi o coś nietypowego, np. „Hej, kupisz 100 kart iTunes i wyślesz mi numery karty? Dzięki, Twój szef.”

Pokaż rozszerzenia plików w Windows. Windows nie pokazuje domyślnie rozszerzeń plików, ale możesz zmienić to ustawienie, klikając zakładkę „Widok” w Eksploratorze plików, a następnie zaznaczając pole, aby pokazać rozszerzenia plików. Chociaż nie zatrzyma to cyberprzestępców przed fałszowaniem rozszerzeń plików, przynajmniej będziesz mógł je zobaczyć i unikać otwierania tych złośliwych plików.

Zainwestuj w dobry program antywirusowy. W przypadku, gdy klikniesz zły link lub załącznik, nie martw się, dobry program antywirusowy powiadomi Cię o zagrożeniu, zatrzyma pobieranie i zapobiegnie przedostaniu się malware do Twojego systemu lub sieci. Malwarebytes, na przykład, posiada produkty antywirusowe/antymalwareowe, które można wypróbować za darmo przed subskrypcją.

Nowości związane ze spoofingiem

Aby dowiedzieć się więcej o spoofingu i najnowszych wiadomościach o zagrożeniach cybernetycznych, odwiedź blog Malwarebytes Labs.

Historia spoofingu

W spoofingu nie ma nic nowego. W rzeczywistości, słowo „spoof” jako forma oszustwa ma już ponad sto lat. Według internetowego słownika Merriam-Webster, słowo „spoof” przypisuje się angielskiemu komikowi z XIX wieku, Arthur'owi Robertsowi, w odniesieniu do jego gry o oszustwie i dezinformacji. Zasady tej gry przepadły w czasie. Możemy tylko zgadywać, że gra nie była zbyt zabawna lub Brytyjczycy tamtych czasów nie lubili być robieni w konia. Bez względu na to, nazwa pozostała, choć gra nie.

Dopiero na początku XX wieku, spoof stał się synonimem parodii. Przez kilka dekad, gdy ktoś wspominał „spoof” lub „spoofing”, chodziło o coś zabawnego i pozytywnego—jak najnowsza parodia filmowa Mela Brooksa lub album komediowy „Weirda Ala” Yankovica.

Dziś spoofing najczęściej używany jest w kontekście cyberprzestępczości. Zawsze, gdy oszust lub zagrożenie cybernetyczne udaje kogoś lub coś, czym nie jest, to jest spoofing.