O que é Spoofing?
O spoofing é um tipo de ataque no qual um hacker se passa por outro aparelho ou usuário de uma rede com o objetivo de roubar dados, disseminar malware ou contornar controles de acesso. Suas formas mais comuns são spoofing de IP, e-mail e DNS.
Assim como os criminosos e estelionatários do mundo real, os ladrões virtuais podem falsificar informações para roubar dados importantes ou obter acesso a contas bancárias. Essa prática é chamada de spoofing, um termo que engloba a falsificação de endereços IP (enviar mensagens para um computador usando um endereço IP que simula uma fonte confiável), de e-mails (falsificar o cabeçalho de um e-mail para disfarçar sua origem) e de DNS (modificar o servidor de DNS para redirecionar um nome de domínio específico para outro endereço IP).
Por exemplo, hacker podem enviar e-mails se passando por uma pessoa na qual você confia muito para fazer com que você forneça dados confidenciais e/ou sigilosos, como a senha de uma conta bancárias entre outros.
Como funciona?
O hacker utiliza de falhas no protocolo para manipular o que é enviado. Por exemplo: em um spoofing de chamada É alterado o “caller ID”, fazendo com que o número que apareça no telefone da vítima seja diferente do realmente utilizado para realizar a chamada.
Tipos de Spoofing
Spoofing de Email
É o mais comum. O E-mail Spoofing ocorre quando um usuário malicioso consegue alterar o cabeçalho de qualquer endereço de e-mail e modificar o remetente da mensagem original para um outro. Isso permite ao atacante efetuar envios de emails como se fosse de uma determinada conta de e-mail. O serviço de e-mail possui um funcionamento similar ao serviço dos Correios, quando
uma pessoa envia uma carta, ela pode colocar qualquer endereço de remetente - visto
que os Correios não analisam a origem da carta, não tendo como realmente saber se a
carta foi enviada à partir do remetente informado.
No serviço de e-mail não é diferente, não há como impedir que outras pessoas
efetuem envios como se estes fossem efetuados à partir de outras contas de e-mail. O
serviço de e-mail é baseado no domínio, quando enviamos um e-mail, o serviço
entrega a mensagem para o servidor que o domínio aponta, ou seja, para o local em
que o domínio está hospedado.
Como se proteger?
A fim de prevenir esse tipo de ataque, a forma mais eficaz é utilizar um filtro de e-mail com a configuração do tipo “catchall”, que significa filtrar tudo - ele filtra mensagens que chegam nos e-mails que não existem em seu plano, mas que maliciosamente estejam utilizando o seu domínio. Assim as mensagens de retorno de envios não efetuados em sua conta, serão filtradas com esse “catchall”.
Spoofing de IP
Esse tipo tem como objetivo modificar o endereço correto do IP de origem para que o sistema para o qual um pacote é direcionado não consiga identificar corretamente o remetente.
Utilizando o IP Spoofing, um agente malicioso pode:
- Passar despercebido pelos sistemas de detecção de IP (a origem do ataque não poderá ser identificada);
- Evitar alertas dos sistemas baseados em assinaturas de reputação de IP (whitelists, blacklists).
Como se proteger?
Configurando corretamente o firewall. Proteção contra IP Spoofing por Zona de Rede (Zone Protection): Garante que o sistema só aceite pacotes com endereços IP originados da Zona de Rede conhecida; Firewall Autenticado: As políticas que exigem que um usuário esteja autenticado no
firewall para trafegar na rede.
Spoofing de DNS
O envenenamento ou spoofing de DNS (Domain Name Server, servidor de nomes de domínio) é um tipo de ataque virtual que explora vulnerabilidades no servidor de nomes de domínio para desviar o tráfego dos servidores legítimos e direcioná-lo a caminhos falsos.
Como funciona?
O código para envenenamento de cache de DNS é normalmente encontrado em URLs enviadas via e-mails de spam. Esses e-mails tentam assustar usuários para que cliquem na URL fornecida que, por sua vez, infecta seu computador. Anúncios em banners e imagens, tanto em e-mails como em sites não confiáveis, também podem direcionar os usuários para esse código. Uma vez envenenado, o computador de um usuário irá direcioná-los para sites falsos que são mascarados para parecerem reais, expondo-os a riscos como spyware, keyloggers ou worms.
Como se proteger?
Para evitar o envenenamento de DNS, os usuários nunca devem clicar em um link que não reconheçam, e regularmente realizar verificação de malware em seu computador. Sempre faça isso usando um programa local em vez de uma versão hospedada, já que o envenenamento poderia falsificar os resultados com base na Web. O spoofing de Email é possível devido a características do protocolo SMTP, que permitem que campos do cabeçalho, por exemplo, sejam falsificados.
Já o spoofing de DNS é possível quando o usuário é redirecionado a uma página espelho em que o atacante obterá as suas senhas. Esse ataque ocorre nos sites que criptografam a conexão, ou seja, que utilizam protocolo HTTPS.
Dicas de como se proteger do ataque Spoofing:
- Ligue seus filtros de spam: quase todos os serviços de e-mail oferecem filtros de spam e caixas de lixo que direcionam e-mails falsos para o seu lixo eletrônico.
- Aprenda a ler cabeçalhos de mensagens de e-mail e endereços IP de rastreamento: rastrear a origem do spam é uma boa prática.
- Quando você receber um e-mail suspeito, abra o cabeçalho, veja se o endereço IP do remetente corresponde aos de e-mails anteriores da mesma pessoa.
- Nunca clique em links suspeitos ou baixe um anexo sem saber o seu propósito: sempre preste atenção para os e-mails que você recebe e evite clicar em links de e-mail ou download de anexos.
- Vá para o site oficial do seu banco ou outros sites diretamente do seu navegador e acesse a sua conta para encontrar o que eles querem que você veja.
- Desconfie de mensagens que solicitam dados pessoais e especialmente senhas. Não é comum que as empresas realizem solicitações desta natureza por e-mail.
