Открыть сервис

Web-спуфинг

Web-спуфинг (от англ. spoofing — обман, подделка) — это вид кибератаки, направленный на введение пользователя в заблуждение относительно подлинности веб-ресурса. Целью атакующего является создание иллюзии взаимодействия с легитимным сайтом (например, банка, социальной сети, интернет-магазина) для кражи конфиденциальных данных (логинов, паролей, номеров банковских карт), распространения вредоносного программного обеспечения или проведения других мошеннических действий. Технически web-спуфинг может быть реализован различными способами, включая подделку доменных имён, IP-адресов, сертификатов безопасности и содержимого веб-страниц.

История

Первые упоминания о спуфинге в контексте веба относятся к середине 1990-х годов, когда с ростом популярности интернета и электронной коммерции начали появляться фишинговые сайты. Одним из ранних примеров является атака на пользователей America Online (AOL) в 1995 году, когда мошенники создавали поддельные страницы входа для кражи паролей.

С развитием технологий методы web-спуфинга эволюционировали. В 2000-х годах широкое распространение получили атаки с использованием межсайтового скриптинга (XSS) и подделки HTTP-заголовков. В 2010-х годах, с внедрением протокола HTTPS, злоумышленники начали использовать поддельные SSL/TLS-сертификаты. В 2020-х годах, с ростом популярности облачных сервисов и API, атаки переместились в сторону подделки запросов к серверным интерфейсам.

Классификация

Web-спуфинг классифицируется по техническому методу реализации атаки. Основные виды:

DNS-спуфинг (подмена DNS)

Атака на систему доменных имён (DNS). Злоумышленник внедряет ложную запись в кэш DNS-сервера, в результате чего при вводе пользователем правильного доменного имени (например, example.com) браузер перенаправляется на IP-адрес поддельного сайта. Данный метод также известен как «отравление кэша DNS» (DNS cache poisoning).

ARP-спуфинг (подмена ARP)

Атака на уровне канального уровня модели OSI. Злоумышленник в локальной сети отправляет поддельные ARP-ответы, связывая свой MAC-адрес с IP-адресом легитимного сервера. В результате трафик жертвы направляется на компьютер атакующего, который может перехватывать данные и подменять веб-страницы.

IP-спуфинг (подмена IP-адреса)

Подделка IP-адреса отправителя в пакетах данных. В контексте веба используется для обхода фильтров доступа, подмены источника запроса или проведения DDoS-атак. Однако для полноценного перехвата сессии (человек посередине) требуется комбинация с другими методами.

HTTP-спуфинг (подмена HTTP-заголовков)

Манипуляция с HTTP-заголовками, такими как Referer, User-Agent или Host. Например, атака «Host header injection» позволяет злоумышленнику заставить сервер отдать контент для другого домена. Данный метод часто используется для обхода аутентификации или кражи сессионных cookie.

Фишинг (подделка веб-страниц)

Наиболее распространённый вид web-спуфинга, не требующий глубоких технических знаний. Злоумышленник создаёт точную копию легитимного сайта (обычно страницы входа) и размещает её на подставном домене, похожем на оригинальный (например, g00gle.com вместо google.com). Жертва переходит на сайт по ссылке из письма или рекламы и вводит свои данные.

Clickjacking (перехват кликов)

Техника, при которой прозрачный или полупрозрачный слой с поддельным интерфейсом накладывается поверх легитимной страницы. Пользователь, думая, что кликает по кнопке на видимом сайте, на самом деле взаимодействует с невидимым элементом (например, кнопкой «Нравится» в социальной сети или формой оплаты).

Устройство и механизмы атаки

Техническая реализация web-спуфинга зависит от выбранного метода, но общий сценарий включает несколько этапов:

  1. Разведка: сбор информации о цели (домен, IP-адреса, используемые сертификаты, структура сайта).
  2. Подготовка: создание поддельного ресурса (копия страницы, настройка сервера, регистрация похожего домена).
  3. Доставка: перенаправление жертвы на поддельный сайт (через фишинговое письмо, вредоносную рекламу, подмену DNS/ARP).
  4. Эксплуатация: сбор введённых пользователем данных или выполнение вредоносного кода.
  5. Сокрытие следов: удаление логов, изменение временных меток, перенаправление жертвы на легитимный сайт после атаки.

Для защиты от web-спуфинга используются:

  • HTTPS и HSTS: протокол HTTPS с сертификатами, подписанными доверенным центром, и заголовок HTTP Strict Transport Security (HSTS) принудительно шифруют соединение и предотвращают подмену сертификатов.
  • DNSSEC: расширение протокола DNS, обеспечивающее цифровую подпись DNS-записей для защиты от подмены.
  • SPF, DKIM, DMARC: технологии аутентификации электронной почты, предотвращающие фишинг через поддельные письма.
  • Веб-фильтры и антивирусы: программное обеспечение, проверяющее URL-адреса и содержимое страниц на наличие признаков спуфинга.
  • Двухфакторная аутентификация (2FA): дополнительный уровень защиты, делающий кражу пароля недостаточной для доступа к аккаунту.

Примеры

Атака на банк «Тинькофф» (2020)

В 2020 году была зафиксирована массовая фишинговая кампания, нацеленная на клиентов банка «Тинькофф». Злоумышленники создали поддельный сайт, визуально неотличимый от официального портала банка, и рассылали ссылки на него через SMS-сообщения. Жертвы вводили логин и пароль, после чего мошенники получали доступ к их счетам. По данным Group-IB, ущерб от подобных атак в России в 2020 году составил более 1,5 миллиарда рублей.

Атака на Google и Facebook (продукт Meta, признанной экстремистской и запрещённой в РФ) (2013–2015)

В 2013–2015 годах литовский хакер Эвалдас Римасаускас (Evaldas Rimasauskas) организовал фишинговую атаку на компании Google и Facebook. Он зарегистрировал домен, похожий на домен тайваньского производителя электроники Quanta Computer, и отправил поддельные счета на оплату. В результате мошенничества было похищено более 100 миллионов долларов. Атака была раскрыта в 2017 году, а Римасаускас экстрадирован в США и осуждён.

Атака на «ВКонтакте» (2021)

В 2021 году хакеры использовали DNS-спуфинг для перенаправления пользователей социальной сети «ВКонтакте» на поддельную страницу авторизации. Атака была проведена через уязвимость в DNS-серверах одного из региональных провайдеров. По данным компании, пострадало несколько тысяч пользователей, но критических последствий удалось избежать благодаря оперативному реагированию.

Критика и правовые аспекты

Web-спуфинг является незаконным действием в большинстве стран мира. В Российской Федерации ответственность за подобные деяния предусмотрена Уголовным кодексом РФ:

Критика в адрес методов борьбы с web-спуфингом связана с тем, что некоторые меры защиты (например, блокировка DNS-запросов или фильтрация трафика) могут нарушать принципы нейтральности сети или ограничивать доступ к легитимным ресурсам. Кроме того, фишинговые сайты часто регистрируются в юрисдикциях, где законодательство о кибербезопасности слабо развито, что затрудняет их преследование.

Интересные факты

  • По данным компании Proofpoint, в 2023 году 83% всех кибератак на организации начинались с фишингового письма, содержащего ссылку на поддельный сайт.
  • Самый дорогой фишинговый домен в истории — google.com — был продан на аукционе в 2015 году за 12 миллионов долларов, хотя его владелец утверждал, что это была опечатка.
  • В 2022 году исследователи из Университета Калифорнии в Беркли разработали алгоритм, способный автоматически обнаруживать поддельные веб-страницы с точностью 99,7% на основе анализа структуры HTML-кода.

Источники

  • Уголовный кодекс Российской Федерации, статьи 159, 272, 273.
  • Group-IB. «Фишинг в России: итоги 2020 года» (отчёт).
  • Proofpoint. «2023 State of the Phish Report».
  • E. Rimasauskas v. United States, 2017 (дело о мошенничестве с Google и Facebook).
  • Berkeley University. «Automated Detection of Web Spoofing Attacks» (2022).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →