Формы спуфинга-атак становятся все более популярными. Так что же такое спуфинг? Узнайте о распространенных типах спуфинга и о том, как эффективно их избежать.

Что такое Спуфинг (Spoofing)?

Спуфинг (Spoofing) — это форма подделки, целью которой является обман системы или пользователей, заставляя их поверить в то, что информация поступает из надежного источника. Это общий термин в информационных технологиях и кибербезопасности.

Спуфинг может происходить в самых разных формах, включая подделку IP-адресов, электронных писем, DNS и многое другое.

4 распространенные формы спуфинга

Подмена IP-адреса

IP-спуфинг — это метод подмены IP-адресов, позволяющий скрыть личность злоумышленника или создать впечатление, что пакеты приходят из надежного источника.

Это распространенный метод атак типа «отказ в обслуживании» (DDoS) и атак «человек посередине».

Как определить IP-спуфинг:

• Проверьте журналы брандмауэра и маршрутизатора на наличие необычной активности. Например, большое количество пакетов, поступающих с одного и того же IP-адреса, но из разных географических мест, может быть признаком подмены IP-адреса.
• Используйте инструменты обнаружения сетевых атак (IDS/IPS) для выявления пакетов поддельного происхождения.
• Используйте инструмент анализа журналов, такой как Splunk или ELK Stack (Elasticsearch, Logstash, Kibana), для анализа и поиска подозрительных шаблонов в сетевых журналах.

Защита от подмены IP:

• Включите RPF на маршрутизаторе, чтобы предотвратить передачу пакетов с поддельными IP-адресами. RPF — это метод, с помощью которого маршрутизатор проверяет, соответствует ли обратный путь пакета его таблице маршрутизации. В противном случае пакет будет отброшен.
• Обновления программного обеспечения и встроенного ПО гарантируют, что все сетевые устройства, включая маршрутизаторы, коммутаторы и межсетевые экраны, всегда будут оснащены новейшими исправлениями безопасности.
• Используйте инструменты мониторинга сети, такие как Nagios, Zabbix или SolarWinds, для мониторинга сетевого трафика и обнаружения необычной активности.
• Используйте списки ACL на маршрутизаторах и брандмауэрах для фильтрации и управления сетевым трафиком на основе IP-адресов источника и назначения.

Пример конфигурации ACL на маршрутизаторе Cisco:

Подмена электронной почты

Подмена электронной почты — это подделка адреса электронной почты отправителя, чтобы заставить получателя поверить в то, что электронное письмо пришло из надежного источника.

Хакеры часто используют этот метод для отправки фишинговых писем, кражи личной информации или установки вредоносного ПО.

Признаки подделки электронной почты:

• Внимательно проверьте входящий адрес электронной почты, особенно имя домена. Например, вместо example@company.com можно использовать example@company.com
• Верным признаком подделки электронной почты является то, что доменное имя не соответствует организации, которую, как утверждается, представляет электронная почта. Внимательно проверьте часть адреса электронной почты после знака @
• Проверяйте содержимое электронной почты, избегайте перехода по ссылкам или загрузки вложений из писем неизвестного происхождения. Избегайте писем с подозрительными темами, например «Вы выиграли!» или «Важное уведомление от вашего банка»
• Заголовок электронного письма содержит подробную информацию о пути электронного письма от отправителя к получателю. Именно здесь часто упускаются из виду «подозрительные» детали

Предотвращение подделки электронной почты:

• Используйте фильтры электронной почты, чтобы блокировать электронные письма неизвестного происхождения. 
• Инструменты аутентификации, такие как SPF (структура политики отправителей), DKIM (идентифицированная почта с помощью ключей домена) и DMARC (аутентификация, отчетность и соответствие сообщений на основе домена), для проверки подлинности электронной почты.

Подмена DNS

Подмена DNS, также известная как отравление кэша DNS, представляет собой подделку данных DNS с целью перенаправления пользователей на поддельные веб-сайты.

В результате пользователи могут быть обманом вынуждены посещать вредоносные веб-сайты, где их личная информация может быть украдена.

Обнаружение подмены DNS:

• Перед доступом проверьте IP-адрес веб-сайта.
• Используйте инструменты проверки DNS: DNSSEC Validator, dnstwist.
• Используйте инструменты мониторинга сети и анализируйте DNS-трафик.
• Используя инструмент командной строки (командная строка или терминал): выполните команду nslookup или dig»
  • В Windows: откройте командную строку.
  • В macOS/Linux: откройте терминал.

Предотвращение подмены DNS:

• Включите DNSSEC (расширения безопасности системы доменных имен) для защиты данных DNS: анализатор DNSSEC, DNSViz.
• Обновите системы DNS и сетевые устройства, чтобы устранить уязвимости безопасности.
• Используйте службы DNS от надежных поставщиков, таких как Google Public DNS, OpenDNS или Cloudflare DNS. Эти провайдеры часто применяют строгие меры безопасности против подмены DNS.
• Проверьте сертификат SSL/TLS веб-сайта. Законные веб-сайты часто используют сертификаты авторитетных центров сертификации.

Подмена номера телефона, отображаемого на устройстве приема звонков (Caller ID Spoofing)

Подмена идентификатора вызывающего абонента — это практика подделки телефонного номера, отображаемого на устройстве получателя вызова, заставляя его поверить, что звонок поступил от доверенного лица или организации.

Злоумышленники часто используют этот метод для фишинговых звонков с просьбой предоставить личную или финансовую информацию.

Обнаружение подмены идентификатора вызывающего абонента:

• Используйте приложение, чтобы заблокировать нежелательные вызовы и подтвердить номера телефонов.
• Прежде чем предоставлять какую-либо личную информацию, проверьте информацию о звонящем.
• Остерегайтесь звонков с просьбой сообщить личную, финансовую информацию или пароль. Законные организации обычно не запрашивают эту информацию по телефону.
• Звонки с просьбой о срочных действиях или угрозами заставить вас расстаться скакой-то информацией или деньгами могут быть признаком подделки идентификатора вызывающего абонента.

Предотвращение подмены идентификатора вызывающего абонента:

• Используйте веб-сайты или онлайн-сервисы, такие как Whitepages, Spokeo или Truecaller, для поиска информации о вызывающем номере телефона.
• Проверьте историю звонков, чтобы узнать, было ли несколько звонков с одного и того же номера телефона за короткий период времени. Это может указывать на спуфинговую активность.
• Будьте осторожны с звонками с международных номеров, которых вы не ожидаете. Злоумышленники часто используют международные телефонные номера для подмены идентификатора вызывающего абонента.

Примеры случаев спуфинга на практике

В последние годы киберпреступники использовали различные методы подделки для получения конфиденциальной информации от отдельных лиц и организаций, нацеливаясь даже на государственные учреждения.

Когда в марте 2020 года началась глобальная пандемия COVID-19, Всемирная организация здравоохранения (ВОЗ) стала объектом спуфинговой атаки.

Злоумышленники активировали вредоносный веб-сайт, копирующий внутреннюю систему электронной почты ВОЗ, чтобы украсть пароли сотрудников ВОЗ и собрать конфиденциальную информацию о пандемии, включая информацию о тестах, вакцинах и методах лечения.

Злоумышленники использовали методы социальной инженерии в отношении сотрудника X и методы подделки, заработав более 100 000 долларов.

Эта атака вызвала дискуссии о собственных мерах безопасности платформы социальных сетей.