O que é spoofing?
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
O spoofing é um método de ciberataque que envolve imitar uma identidade para enganar vítimas, seja e-mails de superiores, números de telefone, endereços de IP, DNS e muitos mais. A tática, também conhecida como “mascarar”, é usada em iniciativas de phishing e engenharia social, convencendo a vítima ou o servidor de que o hacker é um indivíduo confiável.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
Falsificação de identidade não é novidade, claro, mas a diferença aqui é a escala e o uso de ferramentas digitais modernas. Com isso, podem ser roubados dados pessoais e bancários, instalados malwares e muito mais.
Conheça, nesta matéria, os tipos de spoofing conhecidos, o que querem os golpistas e como se proteger da atividade cibercriminosa.
Spoofing de e-mail
No e-mail, o spoofing se baseia em cabeçalhos. Nativamente, o protocolo usado pelos e-mails — Simple Mail Transfer Protocol, ou SMTP — não valida o campo “De:” (From), permitindo que hackers adulterem essa informação com facilidade. O usuário precisa ter atenção e verificar o remetente a fundo, o que é dificultado ao abrir e-mails no celular, por exemplo.
A tática é usada principalmente em ataques de phishing, engenharia social e Business E-mail Compromise (BEC), já que imitar um remetente comum, como o de um superior ou de uma organização conhecida, costuma ter o efeito de legitimidade esperado pelos golpistas.
Spoofing de IP
Nesse tipo, o spoofing envolve forjar um endereço de IP de origem dos pacotes de dados, fingindo ser um ator confiável. Com isso, alguns efeitos são atingidos, como a ocultação da identidade do atacante — cobrindo seus passos, em outras palavras —, e execução de ataques de DDoS, especialmente em casos de amplificação e reflexão, onde a resposta do servidor é direcionada à vítima.
Isso é feito ao modificar o cabeçalho TCP/IP para mascarar o próprio IP, usando um host legítimo no lugar.
Spoofing de DNS
Também chamada de Envenenamento de Cache DNS, essa modalidade envolve “traduzir” nomes de sites para endereços IP. A tática corrompe o cache de um servidor Domain Name System (DNS), fazendo com que ele retorne um endereço de IP malicioso para uma consulta legítima. Em outras palavras, um usuário pensa estar acessando a internet normalmente, mas é redirecionado para um site falso sem que perceba.
Spoofing ARP
Essa modalidade é voltada para as redes locais, ou LANs, e envolve o protocolo ARP (Address Resolution Protocol). Ele é responsável por mapear IPs para endereços MAC, sendo que os hackers enviam mensagens ARP falsificadas para associar o endereço MAC criminoso ao IP de um dispositivo legítimo, como um gateway da rede. Assim, o tráfego da vítima é interceptado, tudo fingindo ser um agente verdadeiro. É a base de ataques man-in-the-middle (MitM).
Spoofing de URL
Um dos tipos mais reconhecíveis, o spoofing de URL ou de websites se baseia em copiar endereços ao último detalhe para que o usuário pense que está acessando o serviço verdadeiro. As técnicas envolvem typosquatting, quando domínios usam erros de digitação comuns (como faceboook), uso de subdomínios (como “banco.login.sitefalso.com”) e homografia, quando são usados caracteres de outros alfabetos para imitar o site original.
Qual é o objetivo do spoofing?
A intenção dos hackers dependerá da campanha maliciosa sendo executada, mas é comum que os objetivos sejam roubo de credenciais e dados sensíveis dos usuários, usando de phishing para a coleta e, posteriormente, explorando as informações para fazer outros ataques de phishing mais direcionados e elaborados para conferir legitimidade máxima ao golpe.
O spoofing também pode ser usado para espalhar malwares em servidores e aparelhos das vítimas, levando spywares, ransomwares e outros tipos de vírus em computadores e celulares.
Outros casos também incluem fraude financeira, convencendo funcionários a fazerem transferências bancárias (BEC), e burlo de controles de acesso, invadindo redes restritas para roubar informações. Há, ainda, ataques DDoS que usam a tática.
Casos reais de spoofing
Alguns incidentes reais podem ajudar a entender a gravidade e impacto do spoofing. Um caso famoso é o da “Fraude do CEO”, em 2015, onde um ataque BEC levou a empresa Ubiquiti, do Vale do Silício, a perder milhões: um funcionário foi enganado, pensando estar passando valores a uma subsidiária, transferindo R$ 250 milhões de uma vez só.
Outro ataque impactou a política dos Estados Unidos em 2016: um e-mail de phishing imitando a página de login do Google fez com que o Comitê Nacional Democrata (DNC) tivesse e-mails vazados.
Mais um caso afetou, especificamente, o Brasil, em 2011, sendo um desvio de tráfego de DNS. Empresas como Google, UOL e Terra, ao terem o site acessado pelos brasileiros, tinham mensagens falsas exibidas, pedindo pela instalação de programas para permitir o acesso: eram malwares, entregues pelo envenenamento de cache DNS nos provedores.
Como evitar cair em spoofing?
Para se proteger do spoofing, a regra de ouro é a desconfiança: sempre verifique o site ou aplicativo do serviço acessado, sem clicar em links de terceiros para entrar no que você deseja. Também verifique cabeçalhos de e-mail em busca de remetentes estranhos e olhe para qual URL você é direcionado ao passar o mouse sobre os links.
Desconfie de qualquer mensagem urgente ou que pareça boa demais para ser verdade: sempre acesse o serviço por conta para ver se a notícia ou notificação é real. Também implemente autenticação de dois ou mais fatores para acessar sites de bancos e outros serviços que contenham dados sensíveis. Por fim, mantenha sempre seus antivírus e outros aplicativos de segurança atualizados.
Às empresas e administradores de sistema, vale definir políticas de Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication (DMARC) e, mais importante, implementá-las. Também configure firewalls e roteadores para que filtrem pacotes e bloqueiem solicitações externas, e também as que chegam de fora da rede com endereços de IP de origem interna.
Também vale usar soluções de segurança de rede que detectem envenenamento de cache e ferramentas de DNS Security Extension (DNSSEC), bem como realizar treinamentos de funcionários, já que o fator humano é crucial para a proteção contra spoofing e outros ataques hackers. A tecnologia é uma defesa poderosa, mas a camada final sempre é um usuário ou funcionário bem-informado e desconfiado.
Leia também:
- Creeper ou Brain: qual foi o primeiro vírus da história dos computadores?
- Criptografia para iniciantes: o que é e por que é importante?
- O que é firewall e como ele funciona?
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts