Что такое спуфинг? Определение спуфинга
Спуфинг, если говорить о кибербезопасности, - это когда кто-то или что-то выдает себя за другого в попытке завоевать наше доверие, получить доступ к нашим системам, украсть данные, деньги или распространить вредоносное ПО. Атаки с использованием поддельных данных могут быть самыми разными, в том числе:
- Подделка электронной почты
- Подмена веб-сайта и/или URL-адреса
- Подмена идентификатора вызывающего абонента
- Подделка текстовых сообщений
- Подмена GPS
- Атаки типа "человек посередине
- Подмена расширений
- IP-спуфинг
- Подмена лица
Как же киберпреступники обманывают нас? Часто достаточно просто сослаться на название крупной, пользующейся доверием организации, чтобы заставить нас выдать информацию или предпринять какие-то действия. Например, поддельное письмо от PayPal или Amazon может спрашивать о покупках, которые вы никогда не совершали. Обеспокоенные состоянием своего счета, вы можете нажать на включенную ссылку.
По этой вредоносной ссылке мошенники отправят вас на веб-страницу с загрузкой вредоносного ПО или на поддельную страницу входа в систему - со знакомым логотипом и поддельным URL-адресом- для сбора данных о вашем имени пользователя и пароле.
Существует множество других способов проведения атаки с использованием подделки. Во всех случаях мошенники рассчитывают на то, что жертва купится на подделку. Если вы никогда не сомневаетесь в легитимности веб-сайта и не подозреваете, что электронное письмо поддельное, то в один прекрасный момент вы можете стать жертвой поддельной атаки.
В связи с этим эта страница посвящена подделкам. Мы расскажем вам о видах подделок, о том, как они работают, как отличить законные электронные письма и веб-сайты от поддельных и как не стать мишенью для мошенников.
"Спуфинг, если говорить о кибербезопасности, - это когда кто-то или что-то выдает себя за кого-то другого в попытке завоевать наше доверие, получить доступ к нашим системам, украсть данные, деньги или распространить вредоносное ПО".
Виды спуфинга
Подделка электронной почты
Подделка электронной почты - это отправка писем с ложными адресами отправителей, обычно в рамках фишинговой атаки, направленной на кражу вашей информации, заражение компьютера вредоносным ПО или просто на получение денег. Типичная полезная нагрузка для вредоносных писем включает в себя программы-вымогатели, рекламное ПО, криптоджекеры, троянские программы (например, Emotet) или вредоносное ПО, порабощающее ваш компьютер в ботнете (см. DDoS).
Но поддельного адреса электронной почты не всегда достаточно, чтобы обмануть обычного человека. Представьте себе, что вы получили фишинговое письмо, в поле отправителя которого указан адрес Facebook, но тело письма написано обычным текстом, без какого-либо оформления или HTML, даже без логотипа. Это не то, что мы привыкли получать от Facebook, и это должно насторожить. Соответственно, фишинговые письма обычно включают в себя комбинацию обманных функций:
- Фальшивый адрес отправителя, создающий впечатление, что письмо пришло от человека, которого вы знаете и которому доверяете - возможно, от друга, коллеги, члена семьи или компании, с которой вы ведете дела.
- В случае с компанией или организацией письмо может содержать знакомый брендинг, например, логотип, цвета, шрифт, кнопку призыва к действию и т. д.
- Фишинговые атаки направлены на отдельного человека или небольшую группу в компании и включают в себя персонализированные формулировки и обращение к получателю по имени.
- Опечатки - их очень много. Как бы они ни старались обмануть нас, мошенники, работающие с электронной почтой, часто не тратят много времени на вычитку своих работ. В поддельных электронных письмах часто встречаются опечатки, или они выглядят так, будто кто-то перевел текст через Google Translate. Опасайтесь необычных конструкций предложений: такие компании, как Facebook или PayPal, вряд ли будут допускать подобные ошибки в своих письмах клиентам.
Подмена электронной почты играет важную роль в мошенничестве с секс-вымогательством. Эти мошенники обманывают нас, заставляя думать, что наши веб-камеры были захвачены шпионским ПО и используются для записи того, как мы смотрим порно. В поддельных письмах будет написано что-то вроде "Я наблюдал за тем, как ты смотришь порно" - невероятно странная фраза. Кто же в этом сценарии настоящий жулик?
Затем мошенники требуют внести определенную сумму биткойнов или другой криптовалюты, иначе они разошлют видео всем вашим знакомым. Чтобы создать впечатление легитимности, в письмах также может содержаться устаревший пароль от предыдущей утечки данных. Подделка вступает в игру, когда мошенники маскируют поле отправителя письма, чтобы оно выглядело так, будто отправлено с вашего якобы взломанного почтового аккаунта. Будьте уверены, на самом деле за вами никто не следит.
Подмена веб-сайта
Подмена веб-сайта - это создание вредоносного сайта под видом легитимного. Поддельный сайт будет выглядеть как страница входа на сайт, который вы часто посещаете, вплоть до брендинга, пользовательского интерфейса и даже поддельного доменного имени, которое на первый взгляд выглядит так же. Киберпреступники используют поддельные сайты, чтобы перехватить ваше имя пользователя и пароль (так называемая подделка логина) или загрузить на ваш компьютер вредоносное ПО ( загрузка с диска). Поддельный веб-сайт обычно используется вместе с поддельным электронным письмом, в котором содержится ссылка на веб-сайт.
Стоит также отметить, что поддельный сайт - это не то же самое, что взломанный сайт. В случае взлома сайта настоящий сайт был взломан и захвачен злоумышленниками - без подделки или имитации. Аналогичным образом, вредоносная реклама - это отдельный вид вредоносного ПО. В этом случае злоумышленники используют законные рекламные каналы для показа вредоносных объявлений на доверенных сайтах. Эти объявления тайно загружают вредоносное ПО на компьютер жертвы.
Подмена идентификатора вызывающего абонента
Подмена определителя номера происходит, когда мошенники обманывают ваш определитель номера, заставляя звонок казаться исходящим оттуда, где его нет. Мошенники поняли, что вы с большей вероятностью ответите на звонок, если на определителе номера указан код города, совпадающий с вашим или близкий к нему. В некоторых случаях мошенники даже подделывают первые несколько цифр вашего телефонного номера в дополнение к коду города, чтобы создать впечатление, что звонок исходит из вашего района (так называемая подмена соседей).
Подделка текстовых сообщений
Подделка текстовых сообщений или подделка SMS - это отправка текстового сообщения с чужим номером телефона или идентификатором отправителя. Если вы когда-нибудь отправляли текстовое сообщение со своего ноутбука, вы подделали свой собственный номер телефона, чтобы отправить сообщение, потому что на самом деле оно пришло не с вашего телефона.
Компании часто подделывают свои номера в целях маркетинга и удобства для потребителей, заменяя длинный номер коротким и легко запоминающимся буквенно-цифровым идентификатором отправителя. Мошенники делают то же самое - скрывают свою истинную личность за буквенно-цифровым идентификатором отправителя, часто выдавая себя за законную компанию или организацию. Поддельные тексты часто содержат ссылки на сайты SMS-фишинга(smishing) или загрузки вредоносных программ.
Мошенники с помощью текстовых сообщений могут воспользоваться рынком труда, выдавая себя за кадровые агентства и рассылая жертвам предложения о работе, которые хороши и правдивы. В одном из примеров вакансия "работа на дому" в Amazon включала "совершенно новую Toyota Corrola". Во-первых, зачем человеку нужен служебный автомобиль, если он работает на дому? Во-вторых, является ли Toyota "Corrola" универсальной версией Toyota Corolla? Хорошая попытка, мошенники.
Подмена GPS
Подмена GPS происходит, когда вы обманываете GPS вашего устройства, заставляя его думать, что вы находитесь в одном месте, в то время как на самом деле вы находитесь в другом. Зачем кому-то нужна GPS-подделка? Два слова: Pokémon GO.
Используя подмену GPS, мошенники в Pokémon GO могут заставить популярную мобильную игру думать, что они находятся поблизости от игрового зала, и захватить его (выиграв игровую валюту). На самом деле мошенники находятся в совершенно другом месте или стране. Аналогичным образом на YouTube можно найти видео, на которых игроки Pokémon GO ловят различных покемонов, не выходя из дома. Хотя подмена GPS может показаться детской забавой, нетрудно представить, что угрожающие лица могут использовать этот трюк для более гнусных действий, чем получение валюты в мобильных играх.
Атака "человек посередине" (MitM)
Атаки типа "человек посередине" (MitM) могут произойти, когда вы пользуетесь бесплатным Wi-Fi в местной кофейне. Задумывались ли вы о том, что произойдет, если киберпреступник взломает Wi-Fi или создаст другую мошенническую сеть Wi-Fi в том же месте? В любом случае у вас есть идеальные условия для атаки "человек посередине", названной так потому, что злоумышленники могут перехватывать веб-трафик между двумя сторонами. Подделка вступает в игру, когда преступники изменяют связь между сторонами, чтобы перенаправить средства или получить конфиденциальную личную информацию, например номера кредитных карт или логины.
Примечание: Хотя MitM-атаки обычно перехватывают данные в сети Wi-Fi, другая форма MitM-атаки перехватывает данные в браузере. Это называется атакой " человек в браузере " (MitB).
Подмена расширений
Подмена расширений происходит, когда злоумышленникам нужно замаскировать исполняемые файлы вредоносных программ. Один из распространенных приемов подмены расширений, который любят использовать преступники, - назвать файл примерно так: "filename.txt.exe". Преступники знают, что расширения файлов по умолчанию скрыты в Windows , поэтому для обычного пользователя Windows этот исполняемый файл будет выглядеть как "filename.txt".
IP-спуфинг
Подмена IP-адреса используется, когда кто-то хочет скрыть или замаскировать местоположение, из которого он отправляет или запрашивает данные в Интернете. Применительно к киберугрозам подмена IP-адреса используется в распределенных атаках типа "отказ в обслуживании" (DDoS), чтобы предотвратить фильтрацию вредоносного трафика и скрыть местоположение злоумышленника.
Подмена лица
Подделка лица может быть самой личной, потому что она несет в себе последствия для будущего технологий и нашей личной жизни. В настоящее время технология идентификации по лицу довольно ограничена. Мы используем свои лица для разблокировки мобильных устройств и ноутбуков, и не более того. Однако скоро мы сможем совершать платежи и подписывать документы с помощью лица. Представьте себе последствия, когда вы сможете открыть кредитную линию с помощью своего лица. Страшные вещи.
Исследователи продемонстрировали, как 3D-модели лиц, созданные на основе ваших фотографий в социальных сетях, могут быть использованы для взлома устройств, заблокированных с помощью идентификатора лица. Идя дальше, Malwarebytes Labs сообщил о том, что технология deepfake используется для создания фальшивых новостных видео и фальшивых секс-видео, в которых используются голоса и подобия политиков и знаменитостей соответственно.
Как работает спуфинг?
Мы уже рассматривали различные виды подмены и подробно останавливались на механике каждого из них. Однако в случае с подделкой электронной почты стоит рассказать немного больше. Существует несколько способов, с помощью которых злоумышленники могут скрыть свою личность в поддельной электронной почте. Самый надежный вариант - взломать незащищенный почтовый сервер. В этом случае письмо, с технической точки зрения, приходит от предполагаемого отправителя.
Низкотехнологичный вариант - просто указать любой адрес в поле "От". Единственная проблема заключается в том, что если жертва ответит или письмо по какой-то причине не удастся отправить, ответ будет отправлен тому, кто указан в поле "От", а не злоумышленнику. Эта техника обычно используется спамерами, чтобы использовать законные электронные письма для прохождения спам-фильтров. Если вы когда-нибудь получали ответы на письма, которые вы никогда не отправляли, это одна из возможных причин, кроме взлома вашей учетной записи электронной почты. Это называется обратным спамом или побочным спамом.
Еще один распространенный способ подделки электронной почты - регистрация доменного имени, похожего на то, которое пытаются подделать, - так называемая атака с использованием омографов или визуальная подделка. Например, "rna1warebytes.com". Обратите внимание на использование цифры "1" вместо буквы "l". Также обратите внимание на использование букв "r" и "n" для подделки буквы "m". Это дает злоумышленнику дополнительное преимущество - он получает домен, который может использовать для создания поддельного веб-сайта.
Какой бы ни была подделка, не всегда достаточно просто выпустить в мир фальшивый сайт или электронное письмо и надеяться на лучшее. Для успешной подделки требуется сочетание самой подделки и социальной инженерии. Социальная инженерия - это методы, которые используют злоумышленники, чтобы обманом заставить нас предоставить личную информацию, перейти по вредоносной ссылке или открыть вложение с вредоносным ПО.
В учебнике социальной инженерии есть много пьес. Киберпреступники рассчитывают на уязвимые места, присущие всем нам как людям, такие как страх, наивность, жадность и тщеславие, чтобы убедить нас сделать то, что мы действительно не должны делать. Например, в случае с секс-аферой вы можете отправить мошеннику биткойны, потому что боитесь, что ваше пресловутое грязное белье будет выставлено на всеобщее обозрение.
Человеческая уязвимость - это не всегда плохо. Любопытство и сочувствие - в целом хорошие качества, но преступники любят нападать на людей, которые их проявляют.
В качестве примера можно привести аферу с "застрявшими внуками", когда близкий человек якобы находится в тюрьме или в больнице в другой стране и ему срочно нужны деньги. В электронном письме или смс может быть написано: "Дедушка Джо, меня арестовали за контрабанду наркотиков в [укажите название страны]. Пожалуйста, пришлите деньги, и, кстати, не говорите маме и папе. Ты самый лучший [три счастливых подмигивающих эмодзи]!" Здесь мошенники рассчитывают на общую неосведомленность бабушки и дедушки о том, где в данный момент находится их внук.
"Для успешной подделки требуется сочетание самой подделки и социальной инженерии. Социальная инженерия - это методы, которые используют злоумышленники, чтобы обманом заставить нас предоставить личную информацию, перейти по вредоносной ссылке или открыть вложение, содержащее вредоносное ПО".
Как обнаружить спуфинг?
Вот признаки того, что вас подделывают. Если вы видите эти признаки, нажмите кнопку "Удалить", нажмите кнопку "Назад", закройте браузер, не проходите мимо.
Подмена веб-сайта
- Без символа замка или зеленой полоски. Все безопасные сайты с хорошей репутацией должны иметь SSL-сертификат, который означает, что сторонний центр сертификации подтвердил, что веб-адрес действительно принадлежит проверяемой организации. Не стоит забывать, что SSL-сертификаты теперь можно получить бесплатно и легко. Хотя на сайте может быть висячий замок, это еще не значит, что он настоящий. Помните, что в Интернете нет ничего на 100 процентов безопасного.
- На сайте не используется шифрование файлов. HTTP, или протокол передачи гипертекста, так же стар, как и Интернет, и обозначает правила, используемые при обмене файлами в сети. Легальные сайты почти всегда используют HTTPS, зашифрованную версию HTTP, при передаче данных туда и обратно. Если вы находитесь на странице входа в систему и видите в адресной строке браузера "http", а не "https", вам следует насторожиться.
- Используйте менеджер паролей. Менеджер паролей, например 1Password, автоматически заполнит ваши учетные данные для входа на любой легитимный сайт, который вы сохраните в хранилище паролей. Однако если вы перейдете на поддельный сайт, менеджер паролей не распознает его и не заполнит за вас поля имени пользователя и пароля - верный признак того, что вас подделывают.
Подделка электронной почты
- Дважды проверьте адрес отправителя. Как уже говорилось, мошенники регистрируют поддельные домены, внешне очень похожие на законные.
- Погуглите содержимое письма. Быстрый поиск может показать вам, не распространяются ли в сети известные фишинговые письма.
- Встроенные ссылки имеют необычные URL-адреса. Проверяйте URL-адреса перед нажатием, наведя на них курсор.
- Опечатки, плохая грамматика и необычный синтаксис. Мошенники часто не вычитывают свои работы.
- Содержание письма слишком хорошо, чтобы быть правдой.
- Есть вложения. Опасайтесь вложений, особенно если они приходят от неизвестного отправителя.
Подмена идентификатора вызывающего абонента
- Определитель номера легко подделать. Печально, что наши стационарные телефоны превратились в рассадник мошеннических звонков. Это особенно тревожно, если учесть, что большинство людей, у которых до сих пор есть стационарные телефоны, - это пожилые люди, наиболее подверженные мошенническим звонкам. Пусть звонки на стационарный телефон от неизвестных абонентов попадают на голосовую почту или автоответчик.
Как защититься от спуфинга?
Прежде всего, вы должны научиться определять спуфинг-атаки. Если вы пропустили раздел "Как обнаружить спуфинг?", вернитесь и прочитайте его сейчас.
Включите фильтр спама. Это не позволит большинству поддельных писем попасть в ваш почтовый ящик.
Не переходите по ссылкам и не открывайте вложения в электронных письмах, если письмо пришло от неизвестного отправителя. Если есть вероятность, что письмо законно, свяжитесь с отправителем по другому каналу и подтвердите содержание письма.
Войдите в систему через отдельную вкладку или окно. Если вы получили подозрительное электронное или текстовое сообщение с просьбой войти в свой аккаунт и выполнить какое-то действие, например, проверить информацию, не переходите по ссылке. Вместо этого откройте другую вкладку или окно и перейдите на сайт напрямую. Кроме того, войдите в систему через специальное приложение на телефоне или планшете.
Возьмите трубку. Если вы получили подозрительное письмо, предположительно от знакомого вам человека, не бойтесь позвонить или написать отправителю и подтвердить, что он действительно отправил это письмо. Этот совет особенно актуален, если отправитель обращается с просьбой, не свойственной ему, например, "Эй, не могли бы вы купить 100 подарочных карт iTunes и прислать мне номера карт по электронной почте? Спасибо, ваш босс".
Показывать расширения файлов в Windows. Windows по умолчанию не показывает расширения файлов, но вы можете изменить эту настройку, перейдя на вкладку "Вид" в File Explorer и установив флажок "Показывать расширения файлов". Хотя это не помешает злоумышленникам подделывать расширения файлов, по крайней мере, вы сможете увидеть поддельные расширения и избежать открытия этих вредоносных файлов.
Инвестируйте в хорошую антивирусную программу. Если вы нажмете на плохую ссылку или вложение, не волнуйтесь - хорошая антивирусная программа сможет предупредить вас об угрозе, остановить загрузку и не дать вредоносному ПО закрепиться в вашей системе или сети. Malwarebytes Например, у компании , есть продукты для защиты от вирусов и вредоносного ПО, которые можно попробовать бесплатно, прежде чем подписаться на них.
Новости о спуфинге
- Мошенники подделывают телефонные номера банков, чтобы ограбить жертв
- Фишеры подделывают надежную компанию по обучению кибербезопасности, чтобы получить клики
- Поддельные адреса и анонимные рассылки: новые ошибки в Gmail позволяют легко расправиться с ними
- Когда трое - это не толпа: Атаки типа "человек посередине" (MitM): объяснение
- Менее известные приемы подмены расширений
Чтобы узнать больше о спуфинге и последних новостях о киберугрозах, посетите блогMalwarebytes Labs .
История спуфинга
В подделках нет ничего нового. На самом деле, слово "спуф" как форма трюкачества появилось более века назад. Согласно онлайн-словарю Merriam-Webster, слово "spoof" приписывается английскому комику XIX века Артуру Робертсу в связи с игрой в трюки и обман, созданной Робертсом. Правила игры были утеряны со временем. Остается только догадываться, что игра была не очень веселой, или же британцам того времени не нравилось, когда их разыгрывали. Как бы то ни было, название прижилось, а игра - нет.
Только в начале XX века слово "spoof" стало синонимом слова "пародия". В течение нескольких десятилетий, когда кто-то упоминал "спуф" или "спуфинг", это относилось к чему-то смешному и позитивному - например, к последнему фильму-спуфу от Мела Брукса или комедийному альбому от "Weird Al" Yankovic.
Сегодня спуфинг чаще всего используется при обсуждении киберпреступлений. Когда мошенник или киберугроза выдает себя за кого-то или что-то, кем он не является, это и есть спуфинг.