Il termine “spoofing” potrebbe avere un fumetto implicazione in alcuni contesti, ma non è uno scherzo quando si tratta di sicurezza informatica. In realtà, questo è un argomento di un intero capitolo separato nel manuale di un criminale informatico esperto. Esso comprende una moltitudine di tecniche volte a camuffare un attore dannoso o dispositivo come qualcuno o qualcos’altro., L’obiettivo è quello di fingere fiducia, ottenere un punto d’appoggio in un sistema, entrare in possesso di dati, rubare denaro, o distribuire software predatori.
Cosa possono i cappelli neri cercare di forgiare per far svanire i loro attacchi? Un sacco di cose: un indirizzo IP, un numero di telefono, una pagina web, un modulo di login, un indirizzo email, un messaggio di testo, posizione GPS, il proprio volto – è il nome. Alcune di queste bufale piggyback sulla credulità umana, mentre altri incassare sfruttando difetti hardware o software., Di tutti gli scenari nefasti che si adattano allo stampo di un attacco di spoofing, i seguenti 11 tipi sono di crescente impatto per l’azienda in questi giorni.
-
ARP Spoofing
Questo è una fonte comune di attacchi man-in-the-middle. Per eseguirlo, un criminale informatico inonda una rete locale con pacchetti ARP (Falsified Address Resolution Protocol) al fine di manomettere il normale processo di instradamento del traffico. La logica di questa interferenza si riduce a legare l’indirizzo MAC dell’avversario con l’indirizzo IP del gateway LAN predefinito del bersaglio., In seguito a questa manipolazione, tutto il traffico viene reindirizzato al computer del malfattore prima di raggiungere la destinazione prevista. Per finire, l’utente malintenzionato potrebbe essere in grado di distorcere i dati prima di inoltrarli al destinatario reale o interrompere tutte le comunicazioni di rete. Come se questi effetti negativi non fossero sufficienti, ARP spoofing può anche servire come un launchpad per gli attacchi DDoS.
-
MAC Spoofing
In teoria, ogni scheda di rete integrata in un dispositivo collegato dovrebbe avere un indirizzo MAC (Media Access Control) univoco che non verrà riscontrato altrove., In pratica, però, un trucco intelligente può trasformare questo stato di cose a testa in giù. Un utente malintenzionato può sfruttare le imperfezioni di alcuni driver hardware per modificare o falsificare l’indirizzo MAC. In questo modo, il criminale maschera il suo dispositivo come uno iscritto in una rete di destinazione per bypassare i tradizionali meccanismi di restrizione dell’accesso. Da lì, può spacciarsi per un utente fidato e orchestrare frodi come business email compromise (BEC), rubare dati o depositare malware nell’ambiente digitale.,
-
IP Spoofing
Per eseguire questo attacco, l’avversario invia pacchetti di protocollo Internet che hanno un indirizzo sorgente falsificato. Questo è un modo per offuscare l’effettiva identità online del mittente del pacchetto e quindi impersonare un altro computer. Lo spoofing IP viene spesso utilizzato per impostare attacchi DDoS in movimento. Il motivo è che è difficile per l’infrastruttura digitale filtrare tali pacchetti canaglia, dato che ognuno sembra provenire da un indirizzo diverso e quindi i truffatori fingono traffico legittimo in modo abbastanza persuasivo., Inoltre, questa tecnica può essere sfruttata per aggirare i sistemi di autenticazione che utilizzano l’indirizzo IP di un dispositivo come identificatore critico.
-
DNS Cache Poisoning (DNS Spoofing)
Ogni utente esperto di tecnologia conosce il wiki del Domain Name Server (DNS): associa i nomi di dominio a specifici indirizzi IP in modo che le persone digitino URL facili da ricordare nel browser piuttosto che inserire le stringhe IP sottostanti. Gli attori delle minacce possono essere in grado di contorcere questa logica di mappatura eseguendo il piggybacking su noti difetti di caching del server DNS., Come risultato di questa interferenza, la vittima corre il rischio di andare a una replica dannosa del dominio previsto. Dal punto di vista di un criminale informatico, che è una base perfetta per le bufale di phishing che sembrano davvero true-to-life.
-
Email Spoofing
I protocolli email di base non sono immacolati e potrebbero fornire alcune opzioni per un utente malintenzionato per travisare determinati attributi del messaggio. Uno dei vettori comuni di questo abuso si riduce alla modifica dell’intestazione dell’e-mail., Il risultato è che l’indirizzo del mittente (mostrato nel campo “Da”) sembra corrispondere a uno legittimo mentre proviene da una fonte completamente diversa. L’attaccante può incassare questa incoerenza per impersonare una persona di fiducia come un collega, un dirigente senior o un appaltatore. Le truffe BEC di cui sopra si basano pesantemente su questo sfruttamento, facendo sforzi di ingegneria sociale tirare le corde giuste in modo che la vittima dà il via libera a un bonifico fraudolento senza un secondo pensiero.,
-
Website Spoofing
Un truffatore può tentare di ingannare i dipendenti di un’organizzazione target a visitare una “copia carbone” di un sito web che utilizzano abitualmente per il loro lavoro. Sfortunatamente, i cappelli neri stanno diventando sempre più abili a imitare il layout, il branding e le forme di accesso delle pagine Web legittime. Coppia che con il trucco spoofing DNS di cui sopra-e la combo abbozzato diventa estremamente difficile da identificare. Tuttavia, fingere un sito Web è una tattica mezza cotta a meno che non sia supportata da un’e-mail di phishing che attira il destinatario a fare clic su un link dannoso., I criminali in genere sfruttano un tale stratagemma su più fronti per rubare i dettagli di autenticazione o distribuire malware che fornisce loro l’accesso backdoor a una rete aziendale. URL \ sito web spoofing può anche portare al furto di identità.
-
ID chiamante Spoofing
Anche se questo è uno schema di vecchia scuola, è ancora vivo e vegeto in questi giorni. Per tirarlo fuori, individui malintenzionati sfruttano scappatoie nel funzionamento degli attrezzi di telecomunicazioni per fabbricare i dettagli del chiamante che vedete sullo schermo del telefono. Ovviamente, i casi d’uso non sono isolati per le chiamate scherzo., L’utente malintenzionato può falsificare un ID chiamante per farsi passare come una persona che conosci o come rappresentante di una società con cui fai affari. In alcuni casi, i dettagli delle chiamate in arrivo visualizzati sul display di uno smartphone includeranno il logo e l’indirizzo fisico di un marchio affidabile per aumentare le probabilità di rispondere al telefono. Lo scopo di questo tipo di attacco spoofing è quello di ingannare l’utente a rivelare informazioni personali o pagare bollette inesistenti.
-
Text Message Spoofing
Al contrario di ID chiamante spoofing, questa tecnica non è necessariamente utilizzato per scopi loschi., Uno dei modi in cui le aziende moderne interagiscono con i loro clienti è attraverso messaggi di testo in cui l’entità originaria viene riflessa come una stringa alfanumerica (come il nome della società) piuttosto che un numero di telefono. Sfortunatamente, i truffatori possono armare questa tecnologia in un attimo. Uno scenario tipico di un messaggio di testo spoofing attacco è dove un truffatore sostituisce l’ID del mittente SMS con un marchio il destinatario si fida. Questo imbroglio di rappresentazione può diventare un trampolino di lancio per spear phishing, furto di dati e truffe di carte regalo sempre più prolifiche che azzerano le organizzazioni.,
-
Extension Spoofing
Ogni utente Windows è consapevole del fatto che il sistema operativo mantiene le estensioni dei file fuori dalla vista per impostazione predefinita. Mentre questo viene fatto per il bene di una migliore esperienza utente, può anche alimentare attività fraudolente e la distribuzione di malware. Per mascherare un binario dannoso come un oggetto benigno, basta usare una doppia estensione. Ad esempio, un elemento denominato Meeting.docx.exe sarà simile a un normale documento di Word e avrà anche l’icona giusta. In realtà è un eseguibile però., La buona notizia è che qualsiasi soluzione di sicurezza mainstream avviserà l’utente ogni volta che tenta di aprire un file del genere.
-
GPS Spoofing
Con gli utenti che si affidano sempre più ai servizi di geolocalizzazione per raggiungere una destinazione o evitare ingorghi, i criminali informatici possono tentare di manipolare il ricevitore GPS di un dispositivo di destinazione per segnalare luoghi imprecisi. Qual è la logica dietro a fare questo? Bene, gli stati nazionali possono utilizzare lo spoofing GPS per contrastare la raccolta di informazioni e persino sabotare le strutture militari di altri paesi., Detto questo, l’impresa non è davvero ai margini di questo fenomeno. Ecco un esempio ipotetico: un perpetratore può interferire con il sistema di navigazione integrato nel veicolo di un CEO che ha fretta per un incontro importante con un potenziale partner commerciale. Di conseguenza, la vittima prenderà una svolta sbagliata, solo per rimanere bloccata nel traffico e essere in ritardo per la riunione. Questo potrebbe minare l’accordo futuro.
-
Facial Spoofing
Il riconoscimento facciale è al centro di numerosi sistemi di autenticazione al giorno d’oggi e sta rapidamente estendendo la sua portata., A parte l’uso di questa tecnologia per sbloccare dispositivi elettronici come smartphone e laptop, il proprio volto potrebbe diventare un fattore di autenticazione critico per la firma di documenti e l’approvazione di bonifici in avanti. I criminali informatici non perdono mai i treni hype del genere, quindi cercheranno e sfrutteranno sicuramente gli anelli deboli nella catena di implementazione di face ID. Sfortunatamente, questo può essere abbastanza facile da fare. Ad esempio, gli analisti della sicurezza hanno dimostrato un modo per ingannare la funzionalità di riconoscimento facciale di Windows 10 Hello mediante una foto stampata modificata dell’utente., I truffatori con abbastanza risorse e tempo a disposizione possono senza dubbio dissotterrare e utilizzare imperfezioni simili.
Come respingere gli attacchi di spoofing?
I seguenti suggerimenti aiuteranno la tua organizzazione a ridurre al minimo il rischio di cadere vittima di un attacco di spoofing:
- Pensa a ricostruire il tuo grafico org. È buono quando le operazioni IT riportano a CISO. L’architettura, le applicazioni, la gestione e la strategia rimangono di competenza del reparto IT, ma farli riferire a CISO aiuta a garantire che le loro priorità rimangano incentrate sulla sicurezza.
- Beneficiare di test di penetrazione e red teaming., È difficile pensare a un modo più efficace per un’organizzazione di valutare la propria posizione di sicurezza da zero. Un pentester professionista che pensa e agisce come un utente malintenzionato può aiutare a scoprire le vulnerabilità della rete e dare al personale IT informazioni utili su ciò che deve essere migliorato e su come dare priorità al proprio lavoro. Allo stesso tempo, gli esercizi di red teaming garantiranno una preparazione continua del team di sicurezza per rilevare e resistere a nuovi attacchi.
- Ottieni visibilità su tutte le piattaforme. Oggi, c’è un’ampia diffusione di dati provenienti da applicazioni, servizi cloud, ecc., Il crescente numero di fonti può influire sulla visibilità del CISO. Per risolvere eventuali problemi di sicurezza, dovresti essere in grado di monitorare i server cloud, mobili e on-premise e avere accesso immediato a tutti loro in modo da essere sempre alla ricerca di possibili incidenti e correlare tutte le attività.
- Dire ” No ” alle relazioni di fiducia. Molte organizzazioni bollono la loro autenticazione del dispositivo verso il basso per gli indirizzi IP da solo. Questo approccio è noto come relazioni di fiducia e, ovviamente, può essere parassitato dai truffatori attraverso un attacco di spoofing IP.
- Sfrutta il filtraggio dei pacchetti., Questo meccanismo viene utilizzato per analizzare estesamente i pacchetti di traffico mentre vagano attraverso una rete. È una grande contromisura per gli attacchi di spoofing IP perché identifica e blocca i pacchetti con dettagli di indirizzo di origine non validi. In altre parole, se un pacchetto viene inviato dall’esterno della rete ma ha un indirizzo di origine interno, viene automaticamente filtrato.
- Utilizzare il software anti-spoofing. Per fortuna, ci sono diverse soluzioni che rilevano i tipi comuni di attacchi spoofing, tra cui ARP e IP spoofing., Oltre a identificare tali tentativi, il software anti-spoofing li fermerà nelle loro tracce.
Precauzioni extra per il personale
Tieni presente che la sicurezza di una rete è forte quanto il suo anello più debole. Non lasciare che il fattore umano sia quel legame. Investire in un programma di formazione di sensibilizzazione alla sicurezza è sicuramente vale la pena le risorse spese. Aiuterà ogni dipendente a capire il proprio ruolo nel benessere digitale dell’organizzazione., Assicurati che i tuoi dipendenti conoscano i segni rivelatori di un attacco di spoofing e aderisci ai seguenti consigli:
- Esamina le email per errori di battitura e di grammatica. Queste inesattezze in un oggetto e-mail e il corpo può essere un giveaway in uno scenario di phishing.
- Cerca l’icona di un lucchetto accanto a un URL. Ogni sito web affidabile ha un certificato SSL valido, il che significa che l’identità del proprietario è stata verificata da un’autorità di certificazione di terze parti. Se manca il simbolo del lucchetto, molto probabilmente indica che il sito è falsificato e dovresti immediatamente allontanarti., Il rovescio della medaglia è che ci sono soluzioni alternative che consentono ai malfattori di ottenere certificati di sicurezza canaglia, quindi è meglio eseguire alcuni controlli extra in caso di dubbio.
- Astenersi dal fare clic sui link nelle e-mail e nei social media. Un’e-mail che indica di fare clic su un collegamento incorporato è potenzialmente dannoso. Se ne ricevi uno, assicurati di esaminare il resto dei contenuti e ricontrolla il nome e l’indirizzo del mittente., Inoltre, cerca alcune frasi dal messaggio in un motore di ricerca: è probabile che faccia parte di una campagna di phishing in corso che è stata segnalata da altri utenti.
- Conferma le richieste sospette di persona. Se hai ricevuto un’e-mail, presumibilmente dal tuo capo o collega, che ti chiede di completare urgentemente una transazione di pagamento, non esitare a dare a quella persona una telefonata e confermare che la richiesta è reale.
- Rendi visibili le estensioni dei file. Windows offusca le estensioni se non diversamente configurato., Per evitare il trucco doppia estensione, fare clic sulla scheda ” Visualizza “in Esplora file e selezionare la casella” Estensioni nome file”.