termin „spoofing” może mieć w niektórych kontekstach Komiksowe znaczenie, ale nie jest to żart, jeśli chodzi o bezpieczeństwo informacji. W rzeczywistości jest to temat całego osobnego rozdziału w podręczniku doświadczonego cyberprzestępcy. Składa się z wielu technik mających na celu kamuflowanie złośliwego aktora lub urządzenia jako kogoś lub czegoś innego., Celem jest udawanie zaufania, zdobycie przyczółka w systemie, zdobycie danych, kradzież pieniędzy lub dystrybucja drapieżnego oprogramowania.
Co czarne kapelusze mogą próbować sfałszować, aby ich ataki wypaliły? Mnóstwo rzeczy: adres IP, numer telefonu, Strona internetowa, formularz logowania, Adres e – mail, wiadomość tekstowa, lokalizacja GPS, twarz-nazwij to. Niektóre z tych mistyfikacji opierają się na ludzkiej łatwowierności, podczas gdy inne zarabiają na wykorzystywaniu wad sprzętu lub oprogramowania., Spośród wszystkich nikczemnych scenariuszy, które pasują do formy ataku spoofingowego, następujące typy 11 mają obecnie coraz większy wpływ na enterprise.
-
Spoofing ARP
ten jest częstym źródłem ataków typu man-in-the-middle. Aby go wykonać, cyberprzestępca zalewa sieć lokalną sfałszowanymi pakietami protokołu ARP (falsyfied Address Resolution Protocol)w celu manipulowania normalnym procesem routingu ruchu. Logika tej ingerencji sprowadza się do powiązania adresu MAC przeciwnika z adresem IP domyślnej bramki LAN., W następstwie tej manipulacji cały ruch jest przekierowywany do komputera przestępcy przed osiągnięciem zamierzonego celu. Ponadto atakujący może być w stanie zniekształcić dane przed przekazaniem ich do rzeczywistego odbiorcy lub zatrzymać całą komunikację sieciową. Jakby te negatywne skutki nie wystarczyły, spoofing ARP może również służyć jako launchpad dla ataków DDoS.
-
Mac Spoofing
teoretycznie każda karta sieciowa wbudowana w podłączone urządzenie powinna mieć unikalny adres kontroli dostępu do mediów (Mac), który nie zostanie napotkany gdzie indziej., W praktyce jednak sprytny hack może wywrócić ten stan rzeczy do góry nogami. Atakujący może wykorzystać niedoskonałości niektórych sterowników sprzętowych, aby zmodyfikować lub sfałszować adres MAC. W ten sposób przestępca maskuje swoje urządzenie jako włączone do sieci docelowej, aby ominąć tradycyjne mechanizmy ograniczania dostępu. Stamtąd może udawać zaufanego użytkownika i organizować oszustwa, takie jak biznesowy kompromis w sprawie poczty e-mail (BEC), kradzież danych lub zdeponowanie złośliwego oprogramowania w środowisku cyfrowym.,
-
IP Spoofing
aby wykonać ten atak, przeciwnik wysyła pakiety protokołu internetowego, które mają sfałszowany adres źródłowy. Jest to sposób na zaciemnienie rzeczywistej tożsamości online nadawcy pakietów i tym samym podszywanie się pod inny komputer. Spoofing IP jest często używany do uruchamiania ataków DDoS. Powodem jest to, że trudno jest infrastrukturze cyfrowej filtrować takie nieuczciwe Pakiety, biorąc pod uwagę, że każdy z nich wydaje się pochodzić z innego adresu, a zatem oszuści udają legalny ruch dość przekonująco., Ponadto technika ta może być wykorzystana do obejścia systemów uwierzytelniania, które używają adresu IP urządzenia jako krytycznego identyfikatora.
-
zatrucie pamięci podręcznej DNS (Spoofing DNS)
każdy doświadczony technologicznie użytkownik zna wiki Domain Name Server (DNS): mapuje nazwy domen na określone adresy IP, dzięki czemu ludzie wpisują łatwe do zapamiętania adresy URL w przeglądarce, zamiast wprowadzać podstawowe ciągi IP. Aktorzy zagrożeń mogą być w stanie wyprzeć tę logikę mapowania przez piggybacking na znanych błędach buforowania serwera DNS., W wyniku tej ingerencji ofiara naraża się na ryzyko udania się do złośliwej repliki zamierzonej domeny. Z punktu widzenia cyberprzestępców jest to idealna podstawa dla oszustw phishingowych, które wyglądają naprawdę prawdziwie.
-
Spoofing poczty e-mail
podstawowe protokoły poczty e-mail nie są nieskazitelne i mogą dawać sporo opcji dla atakującego do fałszywego przedstawienia pewnych atrybutów wiadomości. Jednym z najczęstszych wektorów tego nadużycia jest modyfikacja nagłówka wiadomości e-mail., Rezultatem jest to, że adres nadawcy (pokazany w polu „From”) wydaje się pasować do legalnego, podczas gdy faktycznie pochodzi z zupełnie innego źródła. Atakujący może wykorzystać tę niespójność, aby podszywać się pod zaufaną osobę, taką jak współpracownik, dyrektor wyższego szczebla lub wykonawca. Wspomniane wyżej oszustwa BEC w dużej mierze polegają na tym wyzysku, czyniąc wysiłki inżynierii społecznej pociągającymi za właściwe sznurki, aby ofiara bez zastanowienia dała zielone światło dla oszukańczego przelewu.,
-
fałszowanie stron internetowych
oszust może próbować oszukać pracowników organizacji docelowej, aby odwiedzili „kopię węglową” strony internetowej, z której rutynowo korzystają do pracy. Niestety, czarne kapelusze stają się coraz bardziej biegli w naśladowaniu układu, marki i form logowania legalnych stron internetowych. Sparuj to ze wspomnianą powyżej sztuczką z fałszowaniem DNS – a szkicowe połączenie staje się niezwykle trudne do zidentyfikowania. Jednak udawanie strony internetowej jest taktyką na wpół upieczoną, chyba że jest wspierana przez phishingową wiadomość e-mail, która zwabia odbiorcę do kliknięcia złośliwego łącza., Przestępcy zazwyczaj wykorzystują taki wielopłaszczyznowy strateg, aby wykraść szczegóły uwierzytelniania lub rozpowszechniać złośliwe oprogramowanie, które zapewnia im dostęp do sieci korporacyjnej. Spoofing URL\website może również prowadzić do kradzieży tożsamości.
-
fałszowanie identyfikatorów dzwoniących
mimo, że jest to program starej szkoły, wciąż żyje i kopie w dzisiejszych czasach. Aby to zrobić, źle myślące osoby wykorzystują luki w funkcjonowaniu sprzętu telekomunikacyjnego, aby sfabrykować szczegóły dzwoniącego, które widzisz na ekranie telefonu. Oczywiście przypadki użycia nie są odosobnione do żartów., Atakujący może sfałszować identyfikator rozmówcy, aby podszywać się pod osobę, którą znasz lub jako przedstawiciel firmy, z którą współpracujesz. W niektórych przypadkach szczegóły połączenia przychodzącego wyświetlane na wyświetlaczu smartfona będą zawierać logo renomowanej marki i adres fizyczny, aby zwiększyć szanse na odebranie telefonu. Celem tego typu ataku spoofingowego jest oszukanie cię w ujawnianiu danych osobowych lub płaceniu nieistniejących rachunków.
-
fałszowanie wiadomości tekstowych
w przeciwieństwie do fałszowania identyfikatorów dzwoniących, technika ta niekoniecznie jest używana do podejrzanych celów., Jednym ze sposobów, w jaki współczesne firmy wchodzą w interakcję ze swoimi klientami, są wiadomości tekstowe, w których podmiot, z którego pochodzą, jest odzwierciedlany jako ciąg alfanumeryczny (taki jak nazwa firmy), a nie numer telefonu. Niestety, oszuści mogą uzbroić tę technologię w mgnieniu oka. Typowy scenariusz ataku na fałszywe wiadomości tekstowe polega na tym, że oszust zastępuje identyfikator nadawcy SMS nazwą marki, której ufa odbiorca. Ta szykana podszywania się może stać się trampoliną do wyłudzania danych, kradzieży danych i coraz bardziej płodnych oszustw związanych z kartami podarunkowymi.,
-
rozszerzenie Spoofing
każdy użytkownik systemu Windows jest świadomy faktu, że system operacyjny domyślnie ukrywa rozszerzenia plików. Podczas gdy odbywa się to ze względu na lepsze wrażenia użytkownika, może to również napędzać nieuczciwe działania i dystrybucję złośliwego oprogramowania. Aby ukryć szkodliwy binarny obiekt jako łagodny, wystarczy użyć podwójnego rozszerzenia. Na przykład element o nazwie Spotkanie.docx.exe będzie wyglądał jak zwykły dokument Word, a nawet będzie miał odpowiednią ikonę. Jest to jednak plik wykonywalny., Dobrą wiadomością jest to, że każde główne rozwiązanie zabezpieczające ostrzega użytkownika za każdym razem, gdy próbuje otworzyć taki plik.
-
Spoofing GPS
ponieważ użytkownicy coraz częściej polegają na usługach geolokalizacji, aby dotrzeć do miejsca docelowego lub uniknąć korków, cyberprzestępcy mogą próbować manipulować odbiornikiem GPS urządzenia docelowego, aby sygnalizować niedokładne miejsce pobytu. Jakie jest uzasadnienie tego? Cóż, państwa narodowe mogą użyć szpiegowania GPS, aby udaremnić zbieranie informacji wywiadowczych, a nawet sabotować obiekty wojskowe innych krajów., To powiedziawszy, enterprise nie stoi na uboczu tego zjawiska. Oto hipotetyczny przykład: sprawca może ingerować w system nawigacji wbudowany w samochód prezesa, który spieszy się na ważne spotkanie z potencjalnym partnerem biznesowym. W rezultacie ofiara skręci w złą stronę, tylko po to, aby utknąć w korku i spóźnić się na spotkanie. Może to podważyć przyszły układ.
-
Facial Spoofing
rozpoznawanie twarzy jest obecnie podstawą wielu systemów uwierzytelniania i szybko rozszerza swój zasięg., Oprócz wykorzystania tej technologii do odblokowywania urządzeń elektronicznych, takich jak smartfony i laptopy, twarz może stać się krytycznym czynnikiem uwierzytelniania przy podpisywaniu dokumentów i zatwierdzaniu przelewów. Cyberprzestępcy nigdy nie przegapią takich pociągów hype, więc na pewno będą szukać i wykorzystywać słabe ogniwa w łańcuchu implementacji face ID. Niestety może to być dość łatwe do zrobienia. Na przykład analitycy bezpieczeństwa pokazali sposób na oszukanie funkcji rozpoznawania twarzy systemu Windows 10 Hello za pomocą zmodyfikowanego wydrukowanego zdjęcia użytkownika., Oszuści z wystarczającą ilością zasobów i czasu na rękach mogą bez wątpienia odkryć i wykorzystać podobne niedoskonałości.
Jak odeprzeć ataki Spoofingowe?
poniższe wskazówki pomogą Twojej organizacji zminimalizować ryzyko padnięcia ofiarą ataku spoofingowego:
- pomyśl o przebudowaniu wykresu organizacji. Dobrze jest, gdy operacje IT raportują do CISO. Architektura, Aplikacje, Zarządzanie i strategia pozostają w dziale IT, ale ich raportowanie do CISO pomaga zapewnić, że ich priorytety pozostają skoncentrowane na bezpieczeństwie.
- skorzystaj z testów penetracyjnych i red teamingu., Trudno jest wymyślić bardziej skuteczny sposób, aby organizacja oceniała swoją postawę bezpieczeństwa od podstaw. Profesjonalny pentester, który myśli i działa jak atakujący, może pomóc w wykrywaniu luk w zabezpieczeniach sieci i dać personelowi IT wgląd w to, co wymaga poprawy i jak nadać priorytet swojej pracy. Jednocześnie ćwiczenia red teaming zapewnią stałą gotowość zespołu ds. bezpieczeństwa do wykrywania i odpierania nowych ataków.
- uzyskaj widoczność na wszystkich platformach. Obecnie istnieje szeroki zakres danych pochodzących z aplikacji, usług w chmurze itp., Rosnąca liczba źródeł może mieć wpływ na widoczność CISO. Aby rozwiązać wszelkie problemy związane z bezpieczeństwem, powinieneś być w stanie monitorować serwery chmurowe, mobilne i lokalne oraz mieć natychmiastowy dostęp do wszystkich z nich, aby zawsze być czujnym na ewentualne incydenty i skorelować wszystkie działania.
- powiedz „NIE”, aby ufać związkom. Wiele organizacji sprowadza uwierzytelnianie urządzeń do samych adresów IP. Takie podejście jest znane jako relacje zaufania i oczywiście może być pasożytowane przez oszustów poprzez atak spoofing IP.
- umożliwia filtrowanie pakietów., Mechanizm ten jest używany do obszernej analizy pakietów ruchu podczas roamingu w sieci. Jest to świetny środek przeciwdziałania atakom typu spoofing IP, ponieważ identyfikuje i blokuje pakiety z nieprawidłowymi danymi adresu źródłowego. Innymi słowy, jeśli pakiet jest wysyłany spoza sieci, ale ma wewnętrzny adres źródłowy, jest on automatycznie filtrowany.
- używaj oprogramowania zapobiegającego spoofingowi. Na szczęście istnieją różne rozwiązania, które wykrywają typowe typy ataków typu spoofing, w tym ARP i IP spoofing., Oprócz identyfikacji takich prób, oprogramowanie zapobiegające spoofingowi zatrzyma je w ich śladach.
dodatkowe środki ostrożności dla personelu
należy pamiętać, że bezpieczeństwo sieci jest tak silne, jak jej najsłabsze ogniwo. Nie pozwól, aby czynnik ludzki był tym ogniwem. Inwestowanie w program szkoleniowy dotyczący świadomości bezpieczeństwa jest zdecydowanie warte wydanych zasobów. Pomoże to każdemu pracownikowi zrozumieć jego rolę w cyfrowym samopoczuciu organizacji., Upewnij się, że Twoi pracownicy znają oznaki ataku spoofingu i przestrzegają następujących zaleceń:
- sprawdzaj wiadomości e-mail pod kątem literówek i błędów gramatycznych. Te nieścisłości w temacie i treści wiadomości e-mail mogą być prezentem w scenariuszu phishingu.
- poszukaj ikony kłódki obok adresu URL. Każda godna zaufania strona internetowa ma ważny certyfikat SSL, co oznacza, że tożsamość właściciela została zweryfikowana przez zewnętrzny organ certyfikujący. Jeśli brakuje symbolu kłódki, najprawdopodobniej oznacza to, że strona jest fałszywa i powinieneś natychmiast przejść., Drugą stroną jest to, że istnieją obejścia umożliwiające przestępcom uzyskanie nieuczciwych certyfikatów bezpieczeństwa, więc lepiej wykonywać dodatkowe kontrole w razie wątpliwości.
- powstrzymaj się od klikania linków w e-mailach i mediach społecznościowych. Wiadomość e-mail z instrukcją kliknięcia osadzonego łącza jest potencjalnie złośliwa. Jeśli otrzymasz jeden, upewnij się, że zapoznałeś się z resztą treści i dwukrotnie sprawdź imię i nazwisko nadawcy oraz adres., Ponadto wyszukaj kilka fraz z wiadomości w wyszukiwarce-są szanse, że jest to część trwającej kampanii phishingowej, która została zgłoszona przez innych użytkowników.
- Potwierdź podejrzane żądania osobiście. Jeśli otrzymałeś wiadomość e-mail, rzekomo od swojego szefa lub kolegi, z prośbą o pilne sfinalizowanie transakcji płatniczej, nie wahaj się zadzwonić do tej osoby i potwierdzić, że żądanie jest prawdziwe.
- sprawia, że rozszerzenia plików są widoczne. Windows zaciemnia rozszerzenia, chyba że skonfigurowano inaczej., Aby uniknąć podwójnego rozszerzenia, kliknij kartę ” Widok „w Eksploratorze plików i zaznacz pole” rozszerzenia nazw plików”.