Что такое атака спуфинга?

Спуфинг — это когда кто-то или что-то выдает себя за другое, чтобы завоевать доверие жертвы, получить доступ к системе, украсть данные или распространить вредоносное ПО.

СКАЧАТЬ MALWAREBYTES БЕСПЛАТНО

Также для Windows, iOS, Android, Chromebook и For Business

Что такое спуфинг? Определение спуфинга

Спуфинг, если говорить о кибербезопасности, - это когда кто-то или что-то выдает себя за другого в попытке завоевать наше доверие, получить доступ к нашим системам, украсть данные, деньги или распространить вредоносное ПО. Атаки с использованием поддельных данных могут быть самыми разными, в том числе:

Подмена электронной почты
Спуфинг веб-сайтов и/или URL
Спуфинг Caller ID
Спуфинг текстовых сообщений
Спуфинг GPS
Атаки «человек посередине»
Спуфинг расширений
IP-спуфинг
Спуфинг лиц

Как киберпреступники обманывают нас? Часто достаточно просто упомянуть название крупной, доверенной организации, чтобы заставить нас раскрыть информацию или предпринять какие-то действия. Например, поддельное письмо от PayPal или Amazon может спросить о покупках, которых вы никогда не совершали. Обеспокоенные состоянием своего аккаунта, вы можете кликнуть на приложенную ссылку.

По этой вредоносной ссылке мошенники переведут вас на веб-страницу с загрузкой вредоносного ПО или подделанной страницей входа в систему — с логотипом и поддельным URL — чтобы собрать ваше имя пользователя и пароль.

Существует множество других способов, которыми может проходить атака спуфинга. Во всех них мошенники рассчитывают на то, что жертвы поверят в подделку. Если вы никогда не ставите под сомнение легитимность веб-сайта и не подозреваете, что электронное письмо может быть подделкой, то вы можете стать жертвой атаки спуфинга в какой-то момент.

Цель этой страницы — все о спуфинге. Мы расскажем вам о разных видах спуфинга, как он работает, как отличать поддельные электронные письма и веб-сайты от настоящих и как не стать мишенью для мошенников.

«Спуфинг в области кибербезопасности — это когда кто-то или что-то выдает себя за другое, чтобы завоевать наше доверие, получить доступ к нашим системам, украсть данные, деньги или распространить вредоносное ПО.»

Виды спуфинга

Подмена электронной почты

Подделка электронной почты - это отправка писем с ложными адресами отправителей, обычно в рамках фишинговой атаки, направленной на кражу вашей информации, заражение компьютера вредоносным ПО или просто на получение денег. Типичная полезная нагрузка для вредоносных писем включает в себя программы-вымогатели, рекламное ПО, криптоджекеры, троянские программы (например, Emotet) или вредоносное ПО, порабощающее ваш компьютер в ботнете (см. DDoS).

Но поддельного адреса электронной почты не всегда достаточно, чтобы обмануть обычного человека. Представьте себе, что вы получили фишинговое письмо, в поле отправителя которого указан адрес Facebook , но тело письма написано обычным текстом, без какого-либо оформления или HTML, даже без логотипа. Это не то, что мы привыкли получать от Facebook, и это должно насторожить. Соответственно, фишинговые письма обычно включают в себя комбинацию обманных функций:

Ложный адрес отправителя предназначен для того, чтобы он выглядел так, будто оно от кого-то, кого вы знаете и доверяете, — возможно, друга, коллеги, член семьи или компании, с которой вы работаете.
В случае компании или организации, электронное письмо может содержать знакомый брендинг, например, логотип, цвета, шрифт, кнопку призыва к действию и т. д.
Атаки с целевым фишингом нацелены на отдельного человека или небольшую группу внутри компании и содержат персонализированный язык, обращаясь к получателю по имени.
Орфографические ошибки — их много. Как бы мошенники ни старались нас обмануть, они часто не тратят много времени на проверку своих писем на ошибки. В спуфингах электропочты часто встречаются орфографические ошибки, или они выглядят так, словно текст перевели через Google Translate. Будьте осторожны с необычными конструкциями предложений; компании вроде Facebook или PayPal вряд ли допустят такие ошибки в своих письмах клиентам.

Спуфинг электронной почты играет ключевую роль в сексшантаже. Эти мошенничества заставляют нас думать, что наши веб-камеры похищены шпионским ПО и используются, чтобы записать нас в момент просмотра порно. Эти поддельные письма могут заявлять что-то вроде: «Я наблюдал за тем, как вы смотрите порно», что звучит крайне странно. Кто же на самом деле извращенец в этой ситуации?

Затем мошенники требуют внести определенную сумму биткойнов или другой криптовалюты, иначе они разошлют видео всем вашим знакомым. Чтобы создать впечатление легитимности, в письмах также может содержаться устаревший пароль от предыдущей утечки данных. Подделка вступает в игру, когда мошенники маскируют поле отправителя письма, чтобы оно выглядело так, будто отправлено с вашего якобы взломанного почтового аккаунта. Будьте уверены, на самом деле за вами никто не следит.

Подмена веб-сайта

Спуфинг веб-сайтов заключается в том, чтобы сделать вредоносный сайт похожим на легитимный. Поддельный сайт будет выглядеть как страница входа в систему для часто посещаемого вами сайта — вплоть до брендинга, пользовательского интерфейса и даже поддельного доменного имени, которое на первый взгляд выглядит так же. Киберпреступники используют поддельные сайты, чтобы захватить ваше имя пользователя и пароль (также известное как спуфинг логина) или загрузить на ваш компьютер вредоносное ПО ( скачка на ходу). Спуфинг веб-сайта обычно используется в сочетании с спуфингом электронной почты, в которой содержится ссылка на сайт.

Также стоит отметить, что поддельный сайт не то же самое, что и взломанный сайт. В случае взлома сайт был действительно взломан и захвачен киберпреступниками — здесь нет ни спуфинга, ни подделки. Также вредоносная реклама — это своего рода малварь. В этом случае киберпреступники воспользовались легитимными каналами рекламы, чтобы показывать вредоносные объявления на доверенных веб-сайтах. Эти объявления тайно загружают вредоносное ПО на компьютер жертвы.

Спуфинг Caller ID

Спуфинг номера вызывающего абонента происходит, когда мошенники обманывают ваш номерозначитель, делая так, что звонок кажется исходящим из другого места. Мошенники поняли, что у вас больше шансов взять трубку, если номерозначитель показывает ваш или близкий к вашему код. В некоторых случаях мошенники могут даже подделать первые несколько цифр вашего телефонного номера в дополнение к коду, чтобы создать впечатление, будто звонок исходит из вашего района (так называемый спуфинг соседа).

Спуфинг текстовых сообщений

Спуфинг текстовых сообщений или спуфинг SMS — это отправка текстового сообщения с чужим номером телефона или ID отправителя. Если вы отправляли сообщение с ноутбука, то сами подделали свой номер телефона при отправке, потому что текст фактически не исходил с вашего телефона.

Компании часто подделывают собственные номера в маркетинговых целях и для удобства потребителей, заменяя длинные номера коротким и легко запоминающимся буквенно-цифровым идентификатором отправителя. Мошенники делают то же самое — скрывают свою истинную личность за буквенно-цифровым идентификатором отправителя, часто выдавая себя за законную компанию или организацию. Поддельные сообщения часто будут содержать ссылки на фишинговые сайты, использующие SMS ("smishing"), или загрузку вредоносного ПО.

Мошенники, отправляющие текстовые сообщения, могут воспользоваться рынком труда, притворившись кадровыми агентствами и предлагая жертвам очень выгодные предложения о работе. В одном из примеров предлагалась работа на дому в Amazon с «Новой Toyota Corolla в комплекте». Во-первых, зачем нужен служебный автомобиль, если вы работаете из дома? Во-вторых, что такое Toyota «Corrolla» — дешевая версия Toyota Corolla? Неплохая попытка, мошенники.

Спуфинг GPS

Спуфинг GPS происходит, когда вы обманываете GPS вашего устройства, заставляя его думать, что вы находитесь в одном месте, хотя на самом деле вы находитесь в другом. Зачем кому-то нужно подделывать GPS? Два слова: Pokémon GO.

Используя спуфинг GPS, мошенники в Pokémon GO могут заставить популярную мобильную игру думать, что они находятся вблизи внутриигрового зала и захватывают этот зал (получая внутриигровую валюту). На самом деле мошенники находятся в абсолютно другом месте или в другой стране. Аналогично, на YouTube можно найти видео, где игроки Pokémon GO ловят разных покемонов, не выходя из дома. Хотя спуфинг GPS может показаться детской забавой, несложно представить, что злоумышленники могут использовать трюк для более коварных целей, чем получение игровой валюты.

Атака «человек посередине» (MitM)

Атаки типа "человек посередине" (MitM) могут произойти, когда вы пользуетесь бесплатным Wi-Fi в местной кофейне. Задумывались ли вы о том, что произойдет, если киберпреступник взломает Wi-Fi или создаст другую мошенническую сеть Wi-Fi в том же месте? В любом случае у вас есть идеальные условия для атаки "человек посередине", названной так потому, что злоумышленники могут перехватывать веб-трафик между двумя сторонами. Подделка вступает в игру, когда преступники изменяют связь между сторонами, чтобы перенаправить средства или получить конфиденциальную личную информацию, например номера кредитных карт или логины.

Стороннее замечание: хотя атаки MitM обычно перехватывают данные в Wi-Fi сети, другая форма атаки MitM перехватывает данные в браузере. Это называется атакой человека в браузере (MitB).

Спуфинг расширений

Спуфинг расширений происходит, когда киберпреступникам нужно замаскировать исполняемые файлы вредоносного ПО. Один из популярных трюков спуфинга расширений, который любят использовать преступники, — это назвать файл чем-то вроде "имяфайла.txt.exe". Преступники знают, что расширения файлов по умолчанию скрыты в Windows, поэтому для обычного пользователя Windows этот исполняемый файл будет казаться "имяфайла.txt".

IP-спуфинг

IP-спуфинг используется, когда кто-то хочет скрыть или замаскировать местоположение, откуда он отправляет или запрашивает данные онлайн. В применении к киберугрозам IP-спуфинг используется в DDoS-атаках для предотвращения фильтрации вредоносного трафика и скрытия местоположения атакующего.

Спуфинг лиц

Спуфинг лиц может быть самым личным видом спуфинга из-за последствий, которые он несет для будущего технологий и нашей личной жизни. На данный момент технологии распознавания лиц довольно ограничены. Мы используем наши лица для разблокировки мобильных устройств и ноутбуков и вот, недавно это всего-то и было. Однако, вскоре мы можем начать осуществлять платежи и подписывать документы с помощью своих лиц. Представьте последствия, если вы сможете открыть кредит с помощью своего лица. Жутковато.

Исследователи продемонстрировали, как 3D-модели лиц, созданные из ваших фотографий в социальных сетях, можно использовать для взлома устройств с идентификацией по лицу. Дополняя это, в Malwarebytes Labs сообщили об использовании технологии дипфейков для создания фейковых новостных видео и поддельных секс-видео с изображением и голосами политиков и знаменитостей соответственно.

Как работает спуфинг?

Мы изучили различные формы спуфинга и поверхностно рассмотрели механику каждой из них. Однако в случае спуфинга электронной почты стоит обсудить немного больше. Есть несколько способов, с помощью которых киберпреступники могут скрыть свою истинную личность в спуфинге электронной почты. Самый надежный вариант — взлом незащищенного почтового сервера. В этом случае письмо действительно исходит от предполагаемого отправителя.

Низкотехнологичный вариант - просто указать любой адрес в поле "От". Единственная проблема заключается в том, что если жертва ответит или письмо по какой-то причине не удастся отправить, ответ будет отправлен тому, кто указан в поле "От", а не злоумышленнику. Эта техника обычно используется спамерами, чтобы использовать законные электронные письма для прохождения спам-фильтров. Если вы когда-нибудь получали ответы на письма, которые вы никогда не отправляли, это одна из возможных причин, кроме взлома вашей учетной записи электронной почты. Это называется обратным спамом или побочным спамом.

Еще один распространенный способ, которым атакующие подделывают письма, — регистрируют доменное имя, похожее на то, которое они пытаются подделать, что называется гомографической атакой или визуальным спуфингом. Например, "rna1warebytes.com". Обратите внимание на использование цифры "1" вместо буквы "l". Также обратите внимание на использование букв "r" и "n", чтобы подделать букву "m". Это имеет дополнительное преимущество, поскольку дает атакующему домен, который он может использовать для создания поддельного сайта.

Какой бы ни была подделка, не всегда достаточно просто выпустить в мир фальшивый сайт или электронное письмо и надеяться на лучшее. Для успешной подделки требуется сочетание самой подделки и социальной инженерии. Социальная инженерия - это методы, которые используют злоумышленники, чтобы обманом заставить нас предоставить личную информацию, перейти по вредоносной ссылке или открыть вложение с вредоносным ПО.

В репертуаре социальной инженерии много уловок. Киберпреступники рассчитывают на уязвимости, которые мы все имеем как люди, такие как страх, наивность, жадность и тщеславие, чтобы убедить нас сделать что-то, чего мы на самом деле не должны делать. Например, в случае шантажа через интернет можно отправить мошеннику Bitcoin из страха, что ваша грязная постирушка окажется на всеобщее обозрение.

Человеческие уязвимости не всегда являются плохими. Любопытство и эмпатия обычно считаются хорошими качествами, но мошенники любят пользоваться этими качествами.

Например, мошенничество с застрявшими внуками, когда кто-то из близких якобы в тюрьме или в больнице в другой стране и срочно нужны деньги. В письме или сообщении может быть что-то вроде: "Дедушка Джо, меня арестовали за контрабанду наркотиков в [вставьте название страны]. Пожалуйста, пришли деньги, а, кстати, не говори маме и папе. Ты лучший [три улыбающихся эмодзи с подмигиванием]!" Здесь мошенники рассчитывают на то, что дедушка не знает, где находится его внук в данный момент.

«Успешное подделывание требует комбинации самой подделки и социальной инженерии. Социальная инженерия — это методы, которые используют киберпреступники, чтобы обмануть нас в предоставлении личной информации, клике по вредоносной ссылке или открытии зараженного вложения.»

Как обнаружить спуфинг?

Вот признаки того, что вас обманывают. Если вы видите эти индикаторы, удалите, нажмите кнопку назад, закройте браузер и не вращайтесь вокруг.

Подмена веб-сайта

Нет значка замка или зеленой полосы. Все защищенные, надежные веб-сайты должны иметь SSL-сертификат, что означает, что третья сторона подтвердила подлинность веб-адреса и его принадлежность к организации. Имейте в виду, SSL-сертификаты теперь бесплатны и просты в получении. Хотя сайт может иметь значок замка, это не значит, что он настоящий. Помните, в Интернете ничто не может быть на 100 процентов безопасным.
Веб-сайт не использует шифрование файлов. HTTP, или протокол передачи гипертекста, существует с момента появления Интернета и описывает правила обмена файлами в сети. Законные веб-сайты почти всегда используют HTTPS, зашифрованную версию HTTP, при передаче данных. Если вы находитесь на странице входа и видите в строке адреса браузера «http» вместо «https», стоит насторожиться.
Используйте менеджер паролей. Менеджер паролей, например 1Password, автоматически заполнит ваши учетные данные для входа на любой легитимный сайт, который вы сохраните в своем хранилище паролей. Однако если вы перейдете на поддельный сайт, менеджер паролей не распознает его и не заполнит за вас поля имени пользователя и пароля - верный признак того, что вас подделывают.

Подмена электронной почты

Дважды проверьте адрес отправителя. Как уже упоминалось, мошенники регистрируют поддельные домены, которые очень похожи на настоящие.
Поиск в Google содержимого письма. Быстрый поиск может показать, проходит ли по сети известное фишинговое письмо.
Встроенные ссылки имеют необычные URL-адреса. Проверьте URL, наведя на них курсор, прежде чем нажимать.
Ошибки, плохая грамматика и необычный синтаксис. Мошенники часто не корректируют свои работы.
Содержимое письма слишком хорошее, чтобы быть правдой.
Смоделированные атаки на банковские номера, чтобы грабить жертв.

Спуфинг Caller ID

Определитель номера легко подделать. Печально, что наши стационарные телефоны превратились в рассадник мошеннических звонков. Это особенно тревожно, если учесть, что большинство людей, у которых до сих пор есть стационарные телефоны, - это пожилые люди, наиболее подверженные мошенническим звонкам. Пусть звонки на стационарный телефон от неизвестных абонентов попадают на голосовую почту или автоответчик.

Как защититься от спуфинга?

Прежде всего, узнайте, как распознать подделку. Если вы пропустили раздел «Как обнаружить подделку?», вернитесь и прочтите его.

Включите фильтр спама. Это предотвратит попадание большинства поддельных писем в ваш почтовый ящик.

Не нажимайте ссылки и не открывайте вложения в письмах, если письмо пришло от неизвестного отправителя. Если есть шанс, что письмо подлинное, свяжитесь с отправителем через другой канал и подтвердите содержимое письма.

Войдите через отдельную вкладку или окно. Если вы получаете подозрительное электронное письмо или текстовое сообщение с просьбой войти в свою учетную запись и выполнить какое-либо действие, например, подтвердить вашу информацию, не нажимайте на предложенную ссылку. Вместо этого откройте другую вкладку или окно и перейдите на сайт напрямую. Кроме того, войдите через специальное приложение на вашем телефоне или планшете.

Возьмите трубку. Если вы получили подозрительное электронное письмо, якобы от кого-то, кого вы знаете, не бойтесь позвонить или отправить текстовое сообщение отправителю и подтвердить, что они действительно отправили это письмо. Этот совет особенно актуален, если отправитель делает нехарактерный запрос, например, «Привет, пожалуйста, купите 100 подарочных карт iTunes и отправьте мне их номера. Спасибо, ваш босс».

Показывайте расширения файлов в Windows. Windows по умолчанию не показывает расширения файлов, но вы можете изменить эту настройку, нажав на вкладку «Вид» в Проводнике и поставив галочку отображать расширения файлов. Хотя это не помешает киберпреступникам делать поддельные расширения файлов, по крайней мере, вы сможете увидеть поддельные расширения и избежать открытия этих вредоносных файлов.

Инвестируйте в хорошую антивирусную программу. Если вы нажмете на плохую ссылку или вложение, не волнуйтесь - хорошая антивирусная программа сможет предупредить вас об угрозе, остановить загрузку и не дать вредоносному ПО закрепиться в вашей системе или сети. Например, у Malwarebytes есть антивирусные/антивирусные продукты, которые можно попробовать бесплатно, прежде чем подписаться на них.

Новости о спуфинге

Для дополнительного чтения о подделке и всех последних новостях о киберугрозах посетите блог Malwarebytes Labs.

История спуфинга

В подделывании нет ничего нового. На самом деле, слово «подделка» как форма обмана существует более века. Согласно онлайн-словарю Merriam-Webster, слово «подделка» приписывается английскому комику XIX века Артуру Робертсу, в отношении игры на обман и обман изобретения Робертса. Правила игры утрачены временем. Можно предположить, что игра была не очень интересной или британцы того времени не любили, когда их дразнят. Как бы то ни было, имя сохранилось, хоть игра и нет.

Только в начале XX века, подделка стала синонимом пародии. В течение нескольких десятилетий, когда кто-то упоминал «подделку» или «подделывание», это относилось к чему-то смешному и положительному, например, к последнему фильму-пародии Мела Брукса или комедийному альбому «Weird Al» Янковича.

Сегодня слово «подделка» чаще всего используется при обсуждении киберпреступлений. Когда мошенник или киберугроза притворяются кем-то или чем-то, чем они не являются, это называют подделкой.