Manipulacja tożsamością, zwana też spoofingiem, to sytuacja, w której intruz, wykorzystując techniki maskowania, udaje inną osobę lub system, aby uzyskać dostęp do niejawnych informacji.
Tego rodzaju ataki są realizowane za pomocą różnorodnych kanałów komunikacyjnych, obejmujących połączenia telefoniczne, wiadomości tekstowe, pocztę elektroniczną, strony internetowe, a także adresy IP i serwery. Bardziej zaawansowane techniki podszywania się obejmują manipulację serwerami DNS, adresami IP oraz protokołem ARP.
Głównym celem ataków typu spoofing jest pozyskiwanie danych użytkowników w celu przeprowadzania dalszych ataków, kradzież danych osobowych i firmowych, uzyskiwanie nieautoryzowanego dostępu do sieci, wyłudzanie informacji finansowych lub rozprzestrzenianie złośliwego oprogramowania poprzez zainfekowane załączniki i odnośniki.
Zapraszamy do dalszej lektury, aby dowiedzieć się, jak funkcjonuje podszywanie się, jakie motywacje mają hakerzy stosujący te ataki, jakie są najczęściej stosowane metody oraz jak skutecznie się przed nimi zabezpieczyć.
Na czym polega fałszowanie tożsamości?
Mechanizm spoofingu opiera się na oszukiwaniu użytkowników, tak by ci wierzyli, że komunikują się z osobą lub organizacją, którą znają i której ufają.
Aby ataki te były skuteczne, cyberprzestępcy łączą techniki podszywania się z elementami socjotechniki. Socjotechnika to zbiór metod, za pomocą których oszuści usiłują nakłonić nas do ujawnienia prywatnych danych, kliknięcia w niebezpieczne linki lub otwarcia zainfekowanych załączników.
W ramach ataku typu spoofing, hakerzy wysyłają komunikaty dostosowane do poziomu komfortu potencjalnej ofiary, aby nie wzbudzić jej podejrzeń. Często wprowadzają także element presji czasu, sugerując konieczność natychmiastowego działania.
Przykładowo, e-mail od współpracownika z prośbą o kliknięcie linku do promocji może nie wydać się podejrzany. Jednak zdarzają się także bardziej osobiste prośby, jak chociażby prośby o podanie danych konta bankowego, numeru karty kredytowej czy numeru PESEL.
Jak hakerzy wykorzystują spoofing?
Cyberprzestępcy dysponują szeregiem technik fałszowania tożsamości. Oto kilka z najczęściej stosowanych metod:
#1. Fałszowanie identyfikatora dzwoniącego
Identyfikator dzwoniącego zazwyczaj informuje o numerze i nazwie osoby lub firmy dzwoniącej. Dzięki technologii VoIP hakerzy są w stanie modyfikować te dane, wprowadzając fałszywe nazwy i numery. Połączenie może sprawiać wrażenie, że pochodzi od zaufanej osoby lub firmy, aby nakłonić odbiorcę do odebrania telefonu.
Po odebraniu połączenia, cyberprzestępcy wykorzystują techniki socjotechniczne, aby podtrzymać rozmowę i nakłonić ofiarę do wykonania określonej akcji.
W roku 2009 pewna kobieta z Brooklynu, Kisha Jones, sfałszowała numer gabinetu lekarskiego ciężarnej kochanki swojego męża, Monic Hunter.
Kisha użyła oprogramowania pozwalającego na zmianę identyfikatora dzwoniącego i ukrycie swojego głosu. Zdobyła fałszywą receptę, po czym zadzwoniła do Hunter, podając się za asystentkę lekarza, i nakłoniła ją do zażycia Cytotecu – leku wywołującego poród – co spowodowało przedwczesne narodziny dziecka.
Kisha została skazana na dwa lata pozbawienia wolności.
#2. Fałszowanie wiadomości e-mail
Metoda ta polega na sfałszowaniu nagłówka wiadomości e-mail (pola „Od”), aby odbiorca myślał, że wiadomość pochodzi od zaufanego nadawcy. Wykorzystując zaufanie i naiwność użytkowników, oszuści starają się nakłonić ich do otwierania załączników zawierających złośliwe oprogramowanie, klikania w podejrzane linki, ujawniania poufnych danych, a nawet przelewania środków finansowych firmy.
W kwietniu 2015 roku dyrektor w firmie Mattel, producenta lalki Barbie, padł ofiarą oszustwa i przelał 3 miliony dolarów na konto w Chinach, po otrzymaniu sfałszowanego e-maila. Wiadomość wyglądała tak, jakby została wysłana przez dyrektora generalnego Christophera Sinclaira, z prośbą o dokonanie płatności dla nowego dostawcy z Chin. Kilka godzin później, oszukany dyrektor wspomniał o tej transakcji Sinclairowi, który zaprzeczył, by wysyłał taką prośbę.
#3. Fałszowanie stron internetowych
Ten rodzaj oszustwa polega na tworzeniu fałszywych witryn internetowych, które łudząco przypominają zaufane strony. Celem jest wprowadzenie użytkowników w błąd. Sfałszowana strona często posiada identyczne logo, czcionki, kolorystykę oraz zbliżony adres URL, aby wyglądać jak autentyczna.
Cyberprzestępcy używają fałszywych stron do kradzieży danych kart kredytowych, wyłudzania loginów i haseł, lub instalowania złośliwego oprogramowania na urządzeniach użytkowników.
#4. Fałszowanie adresu IP
Technika ta polega na tworzeniu pakietów IP ze zmodyfikowanym źródłowym adresem IP, aby ukryć tożsamość nadawcy lub podszyć się pod inny system.
Mówiąc prościej, komputery w sieci komunikują się, wysyłając i odbierając pakiety IP. Każdy taki pakiet zawiera nagłówek z istotnymi informacjami, w tym źródłowym i docelowym adresem IP. Podczas ataku spoofingu IP, haker modyfikuje źródłowy adres IP, tak aby urządzenie odbierające uznało, że pakiet pochodzi z zaufanego źródła i go zaakceptowało.
#5. Fałszowanie serwera DNS
Ten rodzaj cyberataku polega na zmianie rekordów DNS, aby przekierować ruch internetowy na serwer kontrolowany przez hakera, zamiast na właściwy serwer. Gdy wpisujesz adres internetowy w przeglądarce, system nazw domen (DNS) wyszukuje pasujący adres IP i kieruje cię do odpowiedniej strony. Hakerzy znaleźli sposób na przełamanie zabezpieczeń tego systemu, przekierowując użytkowników na złośliwe strony internetowe.
Celem fałszowania DNS jest nakłonienie użytkowników do podawania danych osobowych na stronach, które uważają za swoje, a w rzeczywistości są fałszywymi witrynami. W ten sposób cyberprzestępcy przygotowują się do kradzieży danych, przeprowadzania ataków typu phishing lub instalowania złośliwego oprogramowania, które umożliwi im długotrwały dostęp do urządzenia ofiary.
W marcu 2006 roku cyberprzestępcy zaatakowali serwery dostawcy usług internetowych, który obsługiwał strony internetowe trzech banków, umożliwiając im przeprowadzenie ataku fałszowania DNS. Wśród dotkniętych banków znalazły się Premier Bank, Wakulla Bank oraz Capital City Bank – małe, regionalne banki na Florydzie.
Hakerzy stworzyli wierne kopie legalnych stron banków i przekierowywali na nie ruch internetowy. Po wejściu na sfałszowaną stronę użytkownicy byli proszeni o wprowadzenie numerów kart kredytowych, kodów PIN i innych poufnych informacji. Atak ten był skuteczny nawet w przypadku użytkowników, którzy wpisali poprawny adres URL banku.
#6. Fałszowanie ARP
Jest to rodzaj cyberataku, który umożliwia hakerom przechwytywanie komunikacji między urządzeniami. Podczas ataku spoofingu ARP, cyberprzestępcy wysyłają fałszywe wiadomości protokołu ARP w sieci lokalnej (LAN), aby powiązać swój adres MAC z adresem IP legalnego urządzenia lub serwera w sieci. Dzięki temu hakerzy mogą przechwytywać wszystkie dane przeznaczone dla tego adresu IP. Mogą je następnie modyfikować lub blokować, uniemożliwiając dotarcie danych do odbiorcy.
Jak zapobiegać atakom spoofing?
Poniżej przedstawiamy kilka działań, które pozwolą skuteczniej chronić sieć i urządzenia przed atakami typu spoofing.
#1. Korzystanie z oprogramowania antywirusowego
Program antywirusowy zainstalowany na urządzeniach zapewnia ochronę przed zagrożeniami związanymi z podszywaniem się. Oprogramowanie skanuje komputer w poszukiwaniu plików, programów i aplikacji, dopasowując je do znanych rodzajów złośliwego oprogramowania w swojej bazie danych.
Antywirus monitoruje komputer w czasie rzeczywistym pod kątem działań mogących świadczyć o obecności nowych, nieznanych zagrożeń. Jeśli w swojej bazie danych znajdzie kod podobny do znanego złośliwego oprogramowania, podda go kwarantannie lub usunie.
#2. Instalacja zapory sieciowej
Większość programów antywirusowych oferuje zaporę sieciową, która chroni sieć przed niechcianymi intruzami. Zapora monitoruje i filtruje cały ruch wchodzący i wychodzący z komputera lub sieci. Jeśli adres e-mail, strona internetowa lub adres IP zostaną uznane za sfałszowane, zapora zablokuje im dostęp do sieci lub komputera.
#3. Uwierzytelnianie dwuskładnikowe (2FA)
Uwierzytelnianie dwuskładnikowe to dodatkowy środek ochrony kont online przed nieautoryzowanym dostępem. 2FA wykorzystuje kombinację dwóch różnych metod uwierzytelniania, np. czegoś, co posiadasz (telefon, karta bankowa), czegoś, co znasz (hasło, PIN), lub czegoś, czym jesteś (odcisk palca, skan tęczówki, wzór głosu, token).
Nawet jeśli hakerzy uzyskają dostęp do hasła poprzez spoofing, nadal będą musieli użyć drugiej metody uwierzytelniania, by dostać się do konta. Może to być na przykład odcisk palca, do którego nie mają dostępu.
#4. Unikanie wiadomości i połączeń z nieznanych źródeł
Zawsze dokładnie sprawdzaj adres e-mail nadawcy, ponieważ adresy mogą być sfałszowane przez zmianę jednej lub dwóch liter. Uważaj także na wiadomości e-mail, które:
- Zawierają błędy ortograficzne, które często świadczą, że nadawca nie jest tym, za kogo się podaje.
- Posiadają nietypową strukturę zdań.
- Są pisane w naglącym tonie. Jeśli szef wysyła pilną prośbę o zapłatę faktury na nowe konto, od razu sprawdź nagłówek wiadomości. To może być sfałszowany e-mail.
Nie odbieraj połączeń z nieznanych numerów. Jeśli osoba podająca się za przedstawiciela firmy lub instytucji rządowej prosi Cię o zapłatę za usługę, rozłącz się i zadzwoń pod numer podany na stronie internetowej firmy, aby zweryfikować prośbę.
#5. Bezpieczna przeglądarka (lub wzmocnienie przeglądarki)
Korzystaj z bezpiecznej przeglądarki lub rozważ instalację wtyczek zwiększających bezpieczeństwo online. Bezpieczna przeglądarka upewnia się, że adresy URL są przesyłane za pomocą protokołu HTTPS, a nie innych, takich jak HTTP, .exe, file: lub ftp.
Zawsze szukaj symbolu „kłódki” w przeglądarce. Bezpieczna strona ma zamkniętą złotą kłódkę w pasku adresu URL. Uważaj też na spowolnienie prędkości sieci, nietypowe banery reklamowe, zmiany układu strony lub inne kosmetyczne różnice, które mogą sygnalizować, że strona jest fałszywa i wykorzystuje fałszowanie DNS.
#6. Wirtualne sieci prywatne (VPN)
Usługi VPN tworzą szyfrowany tunel dla całego ruchu online oraz dostęp do prywatnych serwerów DNS, które akceptują tylko zaszyfrowane żądania end-to-end.
Poprzez szyfrowanie danych przed ich wysłaniem i uwierzytelnianie podczas odbierania, VPN tworzy bezpieczne protokoły komunikacji. W rezultacie serwery są znacznie bardziej odporne na fałszowanie DNS, a żądania nie będą przerywane.
Podsumowanie 👩🏫
Wraz ze wzrostem naszej zależności od internetu rośnie zagrożenie atakami spoofing. Chroń swój komputer i telefon, nawet jeśli oznacza to wydanie pieniędzy na licencjonowane oprogramowanie antywirusowe. Odrobina dodatkowej ostrożności może uchronić nas przed poważnymi stratami i rozczarowaniem.