Что такое спуфинг? Определение спуфинга
Спуфинг в области кибербезопасности — это когда кто-то или что-то выдает себя за другого, чтобы завоевать наше доверие, получить доступ к нашим системам, украсть данные, деньги или распространить вредоносное ПО. Атаки спуфинга бывают разных видов, включая:
- Подделка электронной почты
- Спуфинг веб-сайтов и/или URL
- Спуфинг Caller ID
- Спуфинг текстовых сообщений
- Спуфинг GPS
- Атаки «человек посередине»
- Спуфинг расширений
- IP-спуфинг
- Спуфинг лиц
Как киберпреступники обманывают нас? Часто достаточно просто упомянуть название крупной, доверенной организации, чтобы заставить нас раскрыть информацию или предпринять какие-то действия. Например, поддельное письмо от PayPal или Amazon может спросить о покупках, которых вы никогда не совершали. Обеспокоенные состоянием своего аккаунта, вы можете кликнуть на приложенную ссылку.
По этой вредоносной ссылке мошенники переведут вас на веб-страницу с загрузкой вредоносного ПО или подделанной страницей входа в систему — с логотипом и поддельным URL — чтобы собрать ваше имя пользователя и пароль.
Существует множество других способов, которыми может проходить атака спуфинга. Во всех них мошенники рассчитывают на то, что жертвы поверят в подделку. Если вы никогда не ставите под сомнение легитимность веб-сайта и не подозреваете, что электронное письмо может быть подделкой, то вы можете стать жертвой атаки спуфинга в какой-то момент.
Цель этой страницы — все о спуфинге. Мы расскажем вам о разных видах спуфинга, как он работает, как отличать поддельные электронные письма и веб-сайты от настоящих и как не стать мишенью для мошенников.
«Спуфинг в области кибербезопасности — это когда кто-то или что-то выдает себя за другое, чтобы завоевать наше доверие, получить доступ к нашим системам, украсть данные, деньги или распространить вредоносное ПО.»
Виды спуфинга
Подделка электронной почты
Спуфинг электронной почты — это отправка писем с ложными адресами отправителя, обычно в рамках фишинговой атаки, нацеленной на кражу вашей информации, заражение вашего компьютера вредоносным ПО или просто запрос денег. Типичный груз для вредоносных писем включает в себя вымогательское ПО, рекламное ПО, криптоджекеров, троянов (например, Emotet) или вредоносное ПО, которое превращает ваш компьютер в ботнет (см. DDoS).
Но поддельного адреса электронной почты не всегда достаточно, чтобы обмануть обычного человека. Представьте, что вы получили фишинговое письмо с якобы адресом Facebook в поле отправителя, но тело письма написано простым текстом, без дизайна или HTML — даже без логотипа. Мы не привыкли получать такие письма от Facebook, и это должно вызывать подозрения. Соответственно, фишинговые письма обычно содержат ряд обманных черт:
- Ложный адрес отправителя предназначен для того, чтобы он выглядел так, будто оно от кого-то, кого вы знаете и доверяете, — возможно, друга, коллеги, член семьи или компании, с которой вы работаете.
- В случае компании или организации, электронное письмо может содержать знакомый брендинг, например, логотип, цвета, шрифт, кнопку призыва к действию и т. д.
- Атаки с целевым фишингом нацелены на отдельного человека или небольшую группу внутри компании и содержат персонализированный язык, обращаясь к получателю по имени.
- Орфографические ошибки — их много. Как бы мошенники ни старались нас обмануть, они часто не тратят много времени на проверку своих писем на ошибки. В спуфингах электропочты часто встречаются орфографические ошибки, или они выглядят так, словно текст перевели через Google Translate. Будьте осторожны с необычными конструкциями предложений; компании вроде Facebook или PayPal вряд ли допустят такие ошибки в своих письмах клиентам.
Спуфинг электронной почты играет ключевую роль в сексшантаже. Эти мошенничества заставляют нас думать, что наши веб-камеры похищены шпионским ПО и используются, чтобы записать нас в момент просмотра порно. Эти поддельные письма могут заявлять что-то вроде: «Я наблюдал за тем, как вы смотрите порно», что звучит крайне странно. Кто же на самом деле извращенец в этой ситуации?
Мошенники требуют определенную сумму в биткойнах или другой криптовалюте, угрожая, что иначе они отправят видео всем вашим контактам. Чтобы создать иллюзию легитимности, письма могут также содержать устаревший пароль от утечки данных. Спуфинг играет роль, когда мошенники маскируют поле отправителя, чтобы оно выглядело так, будто письмо отправлено с вашего якобы взломанного аккаунта. Будьте спокойны, скорее всего вас никто не наблюдает.
Подмена веб-сайта
Спуфинг веб-сайтов заключается в том, чтобы сделать вредоносный сайт похожим на легитимный. Поддельный сайт будет выглядеть как страница входа в систему для часто посещаемого вами сайта — вплоть до брендинга, пользовательского интерфейса и даже поддельного доменного имени, которое на первый взгляд выглядит так же. Киберпреступники используют поддельные сайты, чтобы захватить ваше имя пользователя и пароль (также известное как спуфинг логина) или загрузить на ваш компьютер вредоносное ПО ( скачка на ходу). Спуфинг веб-сайта обычно используется в сочетании с спуфингом электронной почты, в которой содержится ссылка на сайт.
Также стоит отметить, что поддельный сайт не то же самое, что и взломанный сайт. В случае взлома сайт был действительно взломан и захвачен киберпреступниками — здесь нет ни спуфинга, ни подделки. Также вредоносная реклама — это своего рода малварь. В этом случае киберпреступники воспользовались легитимными каналами рекламы, чтобы показывать вредоносные объявления на доверенных веб-сайтах. Эти объявления тайно загружают вредоносное ПО на компьютер жертвы.
Спуфинг Caller ID
Спуфинг номера вызывающего абонента происходит, когда мошенники обманывают ваш номерозначитель, делая так, что звонок кажется исходящим из другого места. Мошенники поняли, что у вас больше шансов взять трубку, если номерозначитель показывает ваш или близкий к вашему код. В некоторых случаях мошенники могут даже подделать первые несколько цифр вашего телефонного номера в дополнение к коду, чтобы создать впечатление, будто звонок исходит из вашего района (так называемый спуфинг соседа).
Спуфинг текстовых сообщений
Спуфинг текстовых сообщений или спуфинг SMS — это отправка текстового сообщения с чужим номером телефона или ID отправителя. Если вы отправляли сообщение с ноутбука, то сами подделали свой номер телефона при отправке, потому что текст фактически не исходил с вашего телефона.
Компании часто подделывают собственные номера в маркетинговых целях и для удобства потребителей, заменяя длинные номера коротким и легко запоминающимся буквенно-цифровым идентификатором отправителя. Мошенники делают то же самое — скрывают свою истинную личность за буквенно-цифровым идентификатором отправителя, часто выдавая себя за законную компанию или организацию. Поддельные сообщения часто будут содержать ссылки на фишинговые сайты, использующие SMS ("smishing"), или загрузку вредоносного ПО.
Мошенники, отправляющие текстовые сообщения, могут воспользоваться рынком труда, притворившись кадровыми агентствами и предлагая жертвам очень выгодные предложения о работе. В одном из примеров предлагалась работа на дому в Amazon с «Новой Toyota Corolla в комплекте». Во-первых, зачем нужен служебный автомобиль, если вы работаете из дома? Во-вторых, что такое Toyota «Corrolla» — дешевая версия Toyota Corolla? Неплохая попытка, мошенники.
Спуфинг GPS
Спуфинг GPS происходит, когда вы обманываете GPS вашего устройства, заставляя его думать, что вы находитесь в одном месте, хотя на самом деле вы находитесь в другом. Зачем кому-то нужно подделывать GPS? Два слова: Pokémon GO.
Используя спуфинг GPS, мошенники в Pokémon GO могут заставить популярную мобильную игру думать, что они находятся вблизи внутриигрового зала и захватывают этот зал (получая внутриигровую валюту). На самом деле мошенники находятся в абсолютно другом месте или в другой стране. Аналогично, на YouTube можно найти видео, где игроки Pokémon GO ловят разных покемонов, не выходя из дома. Хотя спуфинг GPS может показаться детской забавой, несложно представить, что злоумышленники могут использовать трюк для более коварных целей, чем получение игровой валюты.
Атака «человек посередине» (MitM)
Атаки «человек посередине» (MitM) могут произойти, когда вы используете бесплатный Wi-Fi в местной кофейне. Вы когда-нибудь задумывались, что произойдет, если киберпреступник взломает Wi-Fi или создаст другую поддельную сеть Wi-Fi в том же месте? В любом случае, у вас есть идеальная обстановка для атаки «человек посередине», так называемой потому, что киберпреступники могут перехватывать веб-трафик между двумя сторонами. Спуфинг появляется, когда преступники изменяют коммуникацию между сторонами, чтобы перенаправить средства или запрашивать конфиденциальную личную информацию, такую как номера кредитных карт или данные для входа.
Стороннее замечание: хотя атаки MitM обычно перехватывают данные в Wi-Fi сети, другая форма атаки MitM перехватывает данные в браузере. Это называется атакой человека в браузере (MitB).
Спуфинг расширений
Спуфинг расширений происходит, когда киберпреступникам нужно замаскировать исполняемые файлы вредоносного ПО. Один из популярных трюков спуфинга расширений, который любят использовать преступники, — это назвать файл чем-то вроде "имяфайла.txt.exe". Преступники знают, что расширения файлов по умолчанию скрыты в Windows, поэтому для обычного пользователя Windows этот исполняемый файл будет казаться "имяфайла.txt".
IP-спуфинг
IP-спуфинг используется, когда кто-то хочет скрыть или замаскировать местоположение, откуда он отправляет или запрашивает данные онлайн. В применении к киберугрозам IP-спуфинг используется в DDoS-атаках для предотвращения фильтрации вредоносного трафика и скрытия местоположения атакующего.
Спуфинг лиц
Спуфинг лиц может быть самым личным видом спуфинга из-за последствий, которые он несет для будущего технологий и нашей личной жизни. На данный момент технологии распознавания лиц довольно ограничены. Мы используем наши лица для разблокировки мобильных устройств и ноутбуков и вот, недавно это всего-то и было. Однако, вскоре мы можем начать осуществлять платежи и подписывать документы с помощью своих лиц. Представьте последствия, если вы сможете открыть кредит с помощью своего лица. Жутковато.
Исследователи продемонстрировали, как 3D-модели лиц, созданные из ваших фотографий в социальных сетях, можно использовать для взлома устройств с идентификацией по лицу. Дополняя это, в Malwarebytes Labs сообщили об использовании технологии дипфейков для создания фейковых новостных видео и поддельных секс-видео с изображением и голосами политиков и знаменитостей соответственно.
Как работает спуфинг?
Мы изучили различные формы спуфинга и поверхностно рассмотрели механику каждой из них. Однако в случае спуфинга электронной почты стоит обсудить немного больше. Есть несколько способов, с помощью которых киберпреступники могут скрыть свою истинную личность в спуфинге электронной почты. Самый надежный вариант — взлом незащищенного почтового сервера. В этом случае письмо действительно исходит от предполагаемого отправителя.
Более простой способ — просто поставить любой адрес в поле "От кого". Единственная проблема, если жертва ответит или письмо не может быть отправлено по какой-то причине, ответ уйдет тому, кто указан в поле "От кого", а не атакующему. Эта техника часто используется спамерами, чтобы использовать легитимные электронные письма для обхода спам-фильтров. Если вы когда-либо получали ответы на письма, которые вы никогда не отправляли, это одна из возможных причин, помимо того, что ваш аккаунт взломан. Это называется обратный спам или коллатеральный спам.
Еще один распространенный способ, которым атакующие подделывают письма, — регистрируют доменное имя, похожее на то, которое они пытаются подделать, что называется гомографической атакой или визуальным спуфингом. Например, "rna1warebytes.com". Обратите внимание на использование цифры "1" вместо буквы "l". Также обратите внимание на использование букв "r" и "n", чтобы подделать букву "m". Это имеет дополнительное преимущество, поскольку дает атакующему домен, который он может использовать для создания поддельного сайта.
Какой бы ни была подделка, недостаточно просто бросить поддельный сайт или электронное письмо в мир и надеяться на лучшее. Успешный спуфинг требует комбинации самой подделки и социальной инженерии. Социальная инженерия — это методы, которые используют киберпреступники, чтобы обмануть нас, заставляя раскрыть личную информацию, кликнуть на вредоносную ссылку или открыть электронное письмо с вредоносным вложением.
В репертуаре социальной инженерии много уловок. Киберпреступники рассчитывают на уязвимости, которые мы все имеем как люди, такие как страх, наивность, жадность и тщеславие, чтобы убедить нас сделать что-то, чего мы на самом деле не должны делать. Например, в случае шантажа через интернет можно отправить мошеннику Bitcoin из страха, что ваша грязная постирушка окажется на всеобщее обозрение.
Человеческие уязвимости не всегда являются плохими. Любопытство и эмпатия обычно считаются хорошими качествами, но мошенники любят пользоваться этими качествами.
Например, мошенничество с застрявшими внуками, когда кто-то из близких якобы в тюрьме или в больнице в другой стране и срочно нужны деньги. В письме или сообщении может быть что-то вроде: "Дедушка Джо, меня арестовали за контрабанду наркотиков в [вставьте название страны]. Пожалуйста, пришли деньги, а, кстати, не говори маме и папе. Ты лучший [три улыбающихся эмодзи с подмигиванием]!" Здесь мошенники рассчитывают на то, что дедушка не знает, где находится его внук в данный момент.
«Успешное подделывание требует комбинации самой подделки и социальной инженерии. Социальная инженерия — это методы, которые используют киберпреступники, чтобы обмануть нас в предоставлении личной информации, клике по вредоносной ссылке или открытии зараженного вложения.»
Как обнаружить спуфинг?
Вот признаки того, что вас обманывают. Если вы видите эти индикаторы, удалите, нажмите кнопку назад, закройте браузер и не вращайтесь вокруг.
Подмена веб-сайта
- Нет значка замка или зеленой полосы. Все защищенные, надежные веб-сайты должны иметь SSL-сертификат, что означает, что третья сторона подтвердила подлинность веб-адреса и его принадлежность к организации. Имейте в виду, SSL-сертификаты теперь бесплатны и просты в получении. Хотя сайт может иметь значок замка, это не значит, что он настоящий. Помните, в Интернете ничто не может быть на 100 процентов безопасным.
- Веб-сайт не использует шифрование файлов. HTTP, или протокол передачи гипертекста, существует с момента появления Интернета и описывает правила обмена файлами в сети. Законные веб-сайты почти всегда используют HTTPS, зашифрованную версию HTTP, при передаче данных. Если вы находитесь на странице входа и видите в строке адреса браузера «http» вместо «https», стоит насторожиться.
- Используйте менеджер паролей. Менеджер паролей, такой как 1Password, автоматически заполнит ваши данные входа на любом законном веб-сайте, сохраненном в вашем сейфе паролей. Однако, если вы попали на поддельный сайт, ваш диспетчер паролей не распознает его и не заполнит поля с именем пользователя и паролем — это хороший знак, что вас пытались обмануть.
Подделка электронной почты
- Дважды проверьте адрес отправителя. Как уже упоминалось, мошенники регистрируют поддельные домены, которые очень похожи на настоящие.
- Поиск в Google содержимого письма. Быстрый поиск может показать, проходит ли по сети известное фишинговое письмо.
- Встроенные ссылки имеют необычные URL-адреса. Проверьте URL, наведя на них курсор, прежде чем нажимать.
- Ошибки, плохая грамматика и необычный синтаксис. Мошенники часто не корректируют свои работы.
- Содержимое письма слишком хорошее, чтобы быть правдой.
- Смоделированные атаки на банковские номера, чтобы грабить жертв.
Спуфинг Caller ID
- Определение звонящего легко обмануть. Это прискорбное положение дел, когда наши стационарные телефоны стали рассадником мошеннических звонков. Особенно тревожно, если учитывать, что большинство оставшихся владельцев стационарных телефонов — это пожилые люди, наиболее подверженные мошенничеству. Пусть звонки на стационарный телефон от неизвестных абонентов попадают на голосовую почту или автоответчик.
Как защититься от спуфинга?
Прежде всего, узнайте, как распознать подделку. Если вы пропустили раздел «Как обнаружить подделку?», вернитесь и прочтите его.
Включите фильтр спама. Это предотвратит попадание большинства поддельных писем в ваш почтовый ящик.
Не нажимайте ссылки и не открывайте вложения в письмах, если письмо пришло от неизвестного отправителя. Если есть шанс, что письмо подлинное, свяжитесь с отправителем через другой канал и подтвердите содержимое письма.
Войдите через отдельную вкладку или окно. Если вы получаете подозрительное электронное письмо или текстовое сообщение с просьбой войти в свою учетную запись и выполнить какое-либо действие, например, подтвердить вашу информацию, не нажимайте на предложенную ссылку. Вместо этого откройте другую вкладку или окно и перейдите на сайт напрямую. Кроме того, войдите через специальное приложение на вашем телефоне или планшете.
Возьмите трубку. Если вы получили подозрительное электронное письмо, якобы от кого-то, кого вы знаете, не бойтесь позвонить или отправить текстовое сообщение отправителю и подтвердить, что они действительно отправили это письмо. Этот совет особенно актуален, если отправитель делает нехарактерный запрос, например, «Привет, пожалуйста, купите 100 подарочных карт iTunes и отправьте мне их номера. Спасибо, ваш босс».
Показывайте расширения файлов в Windows. Windows по умолчанию не показывает расширения файлов, но вы можете изменить эту настройку, нажав на вкладку «Вид» в Проводнике и поставив галочку отображать расширения файлов. Хотя это не помешает киберпреступникам делать поддельные расширения файлов, по крайней мере, вы сможете увидеть поддельные расширения и избежать открытия этих вредоносных файлов.
Инвестируйте в хороший антивирус. Если вы все же нажмете на плохую ссылку или вложение, не волнуйтесь, хороший антивирус сможет вас предупредить о угрозе, остановить загрузку и предотвратить попадание вредоносного ПО в вашу систему или сеть. Malwarebytes, например, имеет антивирусные / антивредоносные продукты, которые вы можете попробовать бесплатно перед подпиской.
Новости о спуфинге
- Мошенники подделывают номера телефонов банков, чтобы грабить жертв.
- Фишеры подделывают надежную компанию по обучению кибербезопасности, чтобы получить клики.
- Спуфированные адреса и анонимная отправка: новые ошибки Gmail облегчают задачу мошенникам.
- Когда трое не толпа: объяснение атак типа «Человек посередине» (MitM).
- Менее известные трюки с подделками расширений.
Для дополнительного чтения о подделке и всех последних новостях о киберугрозах посетите блог Malwarebytes Labs.
История спуфинга
В подделывании нет ничего нового. На самом деле, слово «подделка» как форма обмана существует более века. Согласно онлайн-словарю Merriam-Webster, слово «подделка» приписывается английскому комику XIX века Артуру Робертсу, в отношении игры на обман и обман изобретения Робертса. Правила игры утрачены временем. Можно предположить, что игра была не очень интересной или британцы того времени не любили, когда их дразнят. Как бы то ни было, имя сохранилось, хоть игра и нет.
Только в начале XX века, подделка стала синонимом пародии. В течение нескольких десятилетий, когда кто-то упоминал «подделку» или «подделывание», это относилось к чему-то смешному и положительному, например, к последнему фильму-пародии Мела Брукса или комедийному альбому «Weird Al» Янковича.
Сегодня слово «подделка» чаще всего используется при обсуждении киберпреступлений. Когда мошенник или киберугроза притворяются кем-то или чем-то, чем они не являются, это называют подделкой.