Spoofing

Podszywanie się pod zaufane źródło przez fałszowanie danych identyfikacyjnych, np. adresu nadawcy e-maila, adresu IP czy numeru telefonu, by oszukać ofiarę lub system.

Spoofing to technika ataku polegająca na podszywaniu się pod zaufane źródło przez sfałszowanie danych identyfikacyjnych — adresu nadawcy e-maila, adresu IP, numeru telefonu, adresu MAC czy nazwy domeny. Cel jest zawsze ten sam: przekonać ofiarę (albo system), że rozmawia z kimś, komu można ufać, choć po drugiej stronie siedzi atakujący. Sama nazwa pochodzi od angielskiego spoof — „nabierać”, „robić w konia”.

Spoofing działa, bo wiele protokołów sieciowych projektowano dawno temu, kiedy internet był małym klubem ludzi, którzy sobie ufali. Klasyczny SMTP nie weryfikuje, czy nadawca jest tym, za kogo się podaje — pole From możesz wpisać dowolne. Podobnie nagłówek IP w pakiecie nie jest podpisany kryptograficznie, więc da się sfałszować adres źródłowy. Atakujący wykorzystuje tę naiwność, żeby ominąć filtry, podszyć się pod bank w phishingu albo skierować ruch tam, gdzie chce.

Rodzaje, które spotkasz najczęściej

Najpopularniejsze warianty to e-mail spoofing (fałszywy nadawca w phishingu), IP spoofing (podmiana adresu źródłowego, często w atakach DDoS i reflection), ARP spoofing (podszycie się pod bramę w sieci lokalnej, klasyczny wstęp do Man-in-the-Middle), DNS spoofing (zatruwanie odpowiedzi DNS) oraz caller ID spoofing (fałszywy numer telefonu).

Przykład z praktyki

E-mail spoofing przetestujesz w kontrolowanym labie jednym poleceniem przez swaks:

swaks --to [email protected] --from [email protected] --server localhost

Jeśli wiadomość dojdzie z adresem szefa, choć nigdy go nie wysyłał — masz dowód, że domena nie jest chroniona. Lekarstwem są trzy mechanizmy: SPF (lista serwerów, które mogą wysyłać w imieniu domeny), DKIM (podpis kryptograficzny wiadomości) i DMARC (polityka, co zrobić, gdy SPF/DKIM zawiodą). Bez nich sfałszowanie nadawcy to formalność.

Częste błędy i mity

Mit pierwszy: „mam SPF, jestem bezpieczny”. SPF sprawdza tylko kopertę (Return-Path), a użytkownik widzi nagłówek From — dlatego potrzebujesz jeszcze DMARC, żeby je powiązać. Mit drugi: spoofing to to samo co phishing. Nie — spoofing to technika fałszowania tożsamości, phishing to cel, który często tę technikę wykorzystuje. I jeszcze jedno: zielona kłódka HTTPS nie chroni przed DNS spoofingiem, jeśli atakujący ma własny ważny certyfikat dla podstawionej domeny.

Pojęcia powiązane: phishing, Man-in-the-Middle, ARP poisoning, DNS cache poisoning, SPF, DKIM, DMARC, spoofing GPS, social engineering.