Спуфинг
Спуфинг (от англ. spoofing — подделка, мистификация) — это вид кибератак или мошеннических действий, при котором злоумышленник маскируется под доверенное лицо, устройство, программу или сетевой ресурс с целью получения несанкционированного доступа к данным, обхода систем безопасности или введения жертвы в заблуждение. Спуфинг основан на подмене идентификационной информации (например, IP-адреса, MAC-адреса, электронного адреса отправителя, номера телефона или DNS-записи) и может применяться как на сетевом уровне, так и на уровне человеческого восприятия (социальная инженерия).
Типы спуфинга
Спуфинг классифицируется по объекту подделки и используемым технологиям. Наиболее распространённые виды включают:
IP-спуфинг
IP-спуфинг — это подмена IP-адреса отправителя в заголовках пакетов данных. Злоумышленник отправляет пакеты с фальшивым IP-адресом, чтобы скрыть своё местоположение, выдать себя за другую систему или обойти фильтрацию. Данный метод часто используется в DDoS-атаках (распределённые атаки типа «отказ в обслуживании»), когда атакующий маскирует источник трафика, чтобы затруднить его блокировку. IP-спуфинг также может применяться для обхода списков контроля доступа (ACL) или для атак типа «человек посередине» (Man-in-the-Middle, MITM).
DNS-спуфинг (отравление кэша DNS)
DNS-спуфинг — это атака, при которой злоумышленник внедряет ложные записи в кэш DNS-сервера. В результате пользователь, вводящий легитимный домен (например, сайт банка), перенаправляется на поддельный ресурс, контролируемый атакующим. Целью может быть кража логинов, паролей, данных банковских карт или распространение вредоносного ПО. Атака может быть проведена как на стороне DNS-сервера провайдера, так и на стороне локального устройства жертвы.
ARP-спуфинг
ARP-спуфинг (или ARP-отравление) — это атака на протокол разрешения адресов (ARP) в локальных сетях Ethernet. Злоумышленник отправляет ложные ARP-ответы, связывая свой MAC-адрес с IP-адресом другого устройства (например, шлюза). В результате трафик, предназначенный для легитимного узла, перенаправляется на атакующее устройство. Это позволяет перехватывать данные, модифицировать их или проводить атаки MITM. ARP-спуфинг особенно опасен в незащищённых Wi-Fi-сетях.
Email-спуфинг (подделка электронной почты)
Email-спуфинг — это подмена поля «От» (From) в заголовке письма. Злоумышленник отправляет сообщение, которое выглядит как письмо от известного отправителя (например, коллеги, банка, государственного учреждения). Целью обычно является фишинг — получение конфиденциальных данных, распространение вредоносных вложений или социальная инженерия. Для защиты от email-спуфинга используются технологии SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting & Conformance).
Caller ID-спуфинг (подмена номера телефона)
Caller ID-спуфинг — это подмена номера, отображаемого на экране телефона получателя. Злоумышленник может выдать себя за сотрудника банка, службы поддержки или государственного органа. Данный метод широко используется в телефонном мошенничестве (вишинг) для получения доступа к банковским счетам, кодам подтверждения или личной информации. В России и многих других странах использование подмены номера с мошенническими целями является уголовно наказуемым.
GPS-спуфинг
GPS-спуфинг — это подмена сигналов глобальной навигационной спутниковой системы (GNSS). Злоумышленник передаёт ложные сигналы, имитирующие спутниковые, что заставляет приёмник (например, в автомобиле, дроне или смартфоне) вычислять неверные координаты. GPS-спуфинг может использоваться для угона транспортных средств, нарушения работы систем автоматического управления, а также для сокрытия реального местоположения объекта.
Web-спуфинг (подмена веб-сайта)
Web-спуфинг — это создание поддельной копии легитимного веб-сайта (обычно банка, интернет-магазина, социальной сети). Жертва переходит на поддельный сайт по ссылке из фишингового письма или через перенаправление после DNS-спуфинга. Внешне сайт может быть неотличим от оригинала, но все введённые данные (логины, пароли, номера карт) попадают к злоумышленнику. Для защиты рекомендуется проверять SSL-сертификат и URL-адрес в адресной строке браузера.
Методы защиты от спуфинга
Защита от спуфинга требует комплексного подхода, включающего технические меры и повышение осведомлённости пользователей.
Сетевой уровень
- Фильтрация пакетов (Ingress/Egress filtering): настройка маршрутизаторов и межсетевых экранов для блокировки пакетов с IP-адресами, не соответствующими ожидаемому диапазону сети.
- Использование протоколов аутентификации: применение DNSSEC (DNS Security Extensions) для защиты от DNS-спуфинга, IPsec для шифрования и аутентификации IP-пакетов.
- Статические ARP-записи: в критически важных сетях может использоваться ручное задание ARP-таблиц для предотвращения ARP-отравления.
Прикладной уровень
- Аутентификация электронной почты: внедрение SPF, DKIM и DMARC для проверки подлинности отправителя.
- Многофакторная аутентификация (MFA): снижает риск кражи учётных данных даже при успешном фишинге или спуфинге.
- SSL/TLS-сертификаты: обеспечивают шифрование и аутентификацию веб-сайтов, что затрудняет web-спуфинг.
Пользовательский уровень
- Внимательность к деталям: проверка URL-адресов, грамматических ошибок в письмах, необычных запросов от «знакомых» отправителей.
- Использование антивирусного ПО и брандмауэров: современные решения могут блокировать подозрительные DNS-запросы и ARP-атаки.
- Регулярное обновление ПО: исправление уязвимостей в сетевых протоколах и приложениях.
Примеры инцидентов
- Атака на DNS-серверы Dyn (2016 год): крупная DDoS-атака с использованием IP-спуфинга и ботнета Mirai, которая привела к недоступности многих популярных сайтов (Twitter, Netflix, Reddit) на восточном побережье США.
- Фишинговая кампания с подменой домена (2020 год): злоумышленники использовали DNS-спуфинг для перенаправления пользователей криптовалютной биржи на поддельный сайт, что привело к краже средств.
- Телефонное мошенничество с подменой номера банка (Россия, 2022–2023 годы): массовые случаи, когда злоумышленники, используя Caller ID-спуфинг, представлялись сотрудниками Центрального банка РФ или крупных коммерческих банков, убеждая жертв перевести деньги на «безопасные счета».
Правовое регулирование в России
В Российской Федерации спуфинг, используемый в мошеннических целях, подпадает под действие Уголовного кодекса РФ. Статья 159 (мошенничество) и статья 272 (неправомерный доступ к компьютерной информации) могут применяться к лицам, осуществляющим спуфинг-атаки. Кроме того, Федеральный закон «О связи» и подзаконные акты обязывают операторов связи принимать меры по борьбе с подменой номеров (Caller ID-спуфинг). С 2023 года в России действуют требования по блокировке вызовов с подменных номеров на уровне операторов, а также усилен контроль за использованием технологии «Антифрод» для верификации звонков.
См. также
- Фишинг
- Атака «человек посередине»
- DDoS-атака
- Социальная инженерия
- Кибербезопасность
Источники
- Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ (ред. от 04.08.2023).
- Уголовный кодекс Российской Федерации (ст. 159, 272).
- RFC 2827 (Network Ingress Filtering), IETF.
- RFC 3833 (Threat Analysis of the Domain Name System), IETF.
- Материалы «Лаборатории Касперского» по теме киберугроз (2020–2024).
- Отчёты Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) при Роскомнадзоре (2023).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →