Что такое спуфинг, чем он опасен и как от него защититься. Объясняем простыми словами
Спуфинг — новый вид мошенничества, при которой злоумышленник выдает себя за кого-то другого. Например, сотрудников организаций (банков, магазинов, государственных организаций) или знакомых (друзей, родственников, коллег). Цели спуфинга — украсть личные данные и деньги или распространить вирусные программы и нарушить работу сети.
© Коллаж: «Секрет фирмы», rawpixel.com/Freepik, muhammad.abdullah/Freepik
Термин происходит от английского «spoof», что означает «обман» или «подделка».
Эксперты статьи:
- Константин Мельников, руководитель сервиса аналитики и оценки цифровых угроз ETHIC компании Infosecurity (ГК Softline).
- Юрий Митин, управляющий партнёр юридической компании «Интеллектуальная защита».
- Вячеслав Новоселов, генеральный директор компании SkyDNS.
Проще говоря, вспомните сказку «Красная шапочка». По сюжету Красная шапочка несёт бабушке гостинцы, по дороге она встречает голодного волка. Девочка наивная, а поэтому без задней мысли выдаёт волку, куда она держит путь.
Волк оказывается в доме у бабушки быстрее девочки. Он съедает бабушку, а затем надевает её одежду, чепчик, прячется под одеяло и ждёт Красную шапочку на десерт. Девочка ничего не заподозрила, не узнала волка в костюме бабушки и поэтому тоже была съедена.
Волк здесь — типичный спуфер: он обманывает и притворяется другим, чтобы достичь своей цели.
Как это работает: примеры спуфинга
Представьте себе такую ситуацию: вы получаете письмо якобы от своего банка. В письме вам сообщают о том, что нужно срочно обновить данные своей учётной записи по ссылке, иначе доступ будет заблокирован. Вы переходите по ссылке на сайт банка. Ничего не подозревая, вы вводите свои логин и пароль, а затем вам говорят, что всё успешно обновлено.
На самом деле это был не настоящий сайт банка, а поддельный, созданный злоумышленниками. Они использовали метод спуфинга, чтобы подделать адрес сайта и сделать его похожим на официальный ресурс. В результате они получили ваши личные данные, которые теперь могут использовать для кражи денег или других мошеннических действий.
Или другой пример. Вам звонит якобы муж. Номер телефона не его, но голос один в один. Он говорит, что попал в ДТП и виновен в этом. Чтобы его прикрыть, нужны деньги. На самом деле с мужем всё в порядке, он сидит в офисе и работает. Мошенники подделали его голос, чтобы обмануть вас и получить деньги.
Здесь уже задействована социальная инженерия. Это психологические манипуляции c целью обмануть человека на деньги или заставить его сделать что-то противозаконное. Один из ключевых инструментов телефонных мошенников.
Такой обман случился с семьёй москвича Андрея Федосеева. Его 11-летняя дочь попала под влияние мошенников. Когда школьница была одна дома, зазвонил стационарный телефон. Она взяла трубку и услышала голос родной бабушки. Взволнованная «пенсионерка» рассказала о том, что стала виновницей ДТП и находится в отделе полиции, а затем передала трубку сотруднику правоохранительных органов.
«Следователь стал говорить о том, что нужно собрать вещи и деньги, которые есть, чтобы передать бабушке. Человек, представившийся следователем, сказал: "Ты знаешь, где у родителей деньги?" Всё, что нашла, она собрала. В общей сложности получилось порядка 300 000 рублей», — поделился подробностями пострадавший Андрей Федосеев.
Примерно также попалась и другая жительница Москвы. Она получила от мужа сестры голосовое сообщение в «Телеграме». Мужчина просил одолжить деньги и перевести их по номеру телефона. Сам номер мужчина прислал в СМС.
Женщина сделала, то что её просил родственник, а через некоторое время связалась с ним. После чего она узнала о том, что телеграм-канал родственника был взломан.
Виды спуфинга
Подделать можно многое. Cамые распространённые типы спуфинга, с которыми может столкнуться каждый, перечислили в МВД.
➤ Телефонный спуфинг. С помощью специальной программы мошенники подделывают телефонные номер, чтобы при звонке его номер отображался у жертвы иначе. Например, человеку поступает звонок якобы от его друга, номер телефона отображается корректно. Человек без тени сомнения поднимет трубку. Но самом деле это звонит мошенник.
➤ SMS-спуфинг. Тип атаки, при которой аферист использует ложные сведения об отправителе сообщения. Как правило, мошенник прячется за номер какой-то известной компании. В сообщении — ссылки на поддельные сайты и вредоносные программы.
➤ Подмена файла. Человеку на почту могут прислать вредоносный файл, который с виду похож на обычный рабочий документ или архив. Однако при его открытии на телефон или компьютер начнёт выполняться скрытая установка вирусной программы.
➤ Открытка от «родственника». Под видом открытки может скрываться вирус, который нарушит работу смартфона или компьютера. Сюда же относятся и рассылки от якобы маркетплейсов, когда вам хотят подарить подарок. «Откройте ссылку и заберите 1000 бонусов на покупки» — это типичный обман. Ни в коем случае нельзя открывать подобные ссылки.
➤ Спуфинг с подменой сайта Злоумышленник создаёт фальшивый сайт, который практически неотличим от настоящего (например, известного банка или компании). Он использует похожие шрифты, цвета и логотипы, чтобы обычный пользователь не смог распознать подделку. Такие «скопированные» сайты, как правило, имеют примерно такой же адрес сайта, как и исходный оригинальный.
➤ GPS-спуфинг. Атака типа GPS-спуфинг происходит для «обмана» GPS-приёмника, когда передаются поддельные сигналы, которые напоминают настоящие. Мошенники могут использовать такой приём, чтобы, например, взломать GPS в автомобиле и отправить вас по ложному адресу или даже вмешаться в GPS-сигналы кораблей, самолетов и т. д. Любое мобильное приложение, которое полагается на данные о местоположении смартфона, может стать мишенью для такого типа атаки.
➤ DNS-спуфинг. Когда вы вбиваете поисковый запрос в браузере, компьютер обращается к DNS-серверу. Мошенник может перехватывать ваши запросы. Тогда вместо любимого книжного магазина вы попадёте на поддельный сайт. Цели стандартные: украсть деньги, заполучить личные данные или заставить скачать вредоносный файл. Такая ситуация может возникать, если компьютер или смартфон уже заражены вирусом, который перенаправляет ваши запросы.
➤ Подмена голоса и лица. Сделать это можно разными способами: мошенник может украсть биометрию, записать голос своей жертвы, взломать социальные сети и найти ранее отправленные голосовые сообщения. А далее дело за нейросетями. Современные алгоритмы машинного обучения позволяют создавать голос, который будет звучать как голос конкретного человека.
То же самое можно провернуть и с видео. Благодаря нейросетям можно заменить лицо одного человека другим с сохранением мимики и освещения. И если раньше качество таких подделок было низким и обман легко определялся на глаз, то сегодня уже сложно отличить фейковое видео от реальности.
Например, в 2022-м в России появился целый дипфейк-сериал, где главные роли очень убедительно и натурально «сыграли» дипфейки Джейсона Стэйтема, Марго Робби, Киану Ривза и Роберта Паттинсона.
Эксперты о спуфинге
Угроза спуфинга является серьёзной как для обычных пользователей, так и для бизнеса. Обычные пользователи могут стать жертвами атак, когда злоумышленники подделывают электронные письма или веб-сайты, чтобы украсть личные данные. Для бизнеса риск ещё выше, так как атаки могут привести к финансовым потерям, утечке конфиденциальной информации и повреждению репутации.
Спуфинг эволюционирует вместе с развитием технологий. Так, серьёзной угрозой может стать спуфинг голосовых команд через ИИ. Атаки на голосовые ассистенты типа Алисы, Маруси или иностранных Siri и Google Assistant потенциально могут дать доступ злоумышленникам к устройствам или сервисам.
Кстати, нейронки уже сейчас активно используются для анализа стиля общения и поведенческих паттернов сотрудников компании и впоследствии для генерации точных копий писем или сообщений, которые трудно отличить от оригиналов.
Действующее законодательство уже включает нормы, направленные на борьбу со спуфингом и другими видами киберпреступлений, однако оно сталкивается с рядом проблем. Одной из ключевых трудностей является низкая осведомленность населения и ответственных специалистов о таких угрозах. Кроме того, методы спуфинга постоянно совершенствуются, а законодательные инициативы зачастую не успевают за этими изменениями, что усложняет профилактику и противодействие.
Как распознать попытку спуфинга
Распознавание попыток спуфинга может быть сложной задачей, поскольку злоумышленники постоянно совершенствуют свои методы. Важно к различным текстовым сообщениям, звонкам, незнакомым ресурсам, ссылкам, относиться критически и с сомнением.
На что стоит обращать внимание:
🚩 Необычные или незнакомые URL-адреса. Если вы получили ссылку в электронном письме или сообщении, обратите внимание на адрес сайта. Иногда злоумышленники создают сайты, похожие на оригинальные, но с небольшими изменениями в адресе. Например, жулик может заменить английскую ,букву «l» на цифру «1») или букву О на 0. Поэтому важно проверять URL перед переходом по ссылке.
🚩 Плохое качество контента. Обращайте внимание на ошибки в тексте, грамматику, странные формулировки. Такие огрехи могут указывать на то, что письмо или сообщение было создано злоумышленником. Настоящие компании обычно тщательно проверяют свои сообщения.
🚩 Чрезмерная срочность. Сообщения, содержащие призывы к немедленным действиям (например, «Сроо обновите свой пароль, иначе ваш аккаунт будет заблокирован!»), считают признаком спуфинга. Реальные компании редко требуют мгновенной реакции.
🚩 Нежелательные вложения. Файлы, присланные вам незнакомыми (и даже якобы знакомыми) людьми, могут содержать вирусы или вредоносное ПО. Никогда не открывайте вложения, если вы не уверены в их происхождении. Лучше позвонить человеку и уточнить, что за файл он отправил и безопасно ли его открывать.
🚩 Подозрительные телефонные звонки. Если кто-то звонит вам, представляясь сотрудником банка или другой организации, и просит предоставить личные данные, это может быть попыткой голосового спуфинга. Настоящие сотрудники компаний никогда не запрашивают такую информацию по телефону.
Тоже самое с людьми. Если вам позвонил родственник и попросил перевести крупную сумму денег на карту, то это может быть обман. Перезвоните сами и всё уточните.
По возможности вообще не отвечайте на незнакомые телефонные номера.
Как защититься от спуфинга
Чтобы защититься от спуфинга, МВД России советует придерживаться правил сетевой безопасности:
- проверять адресную строку в браузере, когда заходите на важные сайты;
- осмотрительно относиться к любым телефонным звонкам;
- внимательно изучить адрес отправителя сообщения;
- быть осторожными с почтовыми вложениями;
- не разглашать в Сети личные данные.
Также можно:
- Включить фильтр спама. Это предотвратит попадание большинства поддельных писем в ваш почтовый ящик. Они сразу же будут уходить в папку «спам».
- Установить хороший антивирус. Если вы всё же нажмёте на плохую ссылку или вложение, то хороший антивирус сможет вас предупредить о угрозе, остановить загрузку и предотвратить попадание вредоносного ПО в вашу систему или сеть.
Что делать, если вы стали жертвой спуфинга
Если вы подозреваете, что стали жертвой спуфинга, важно действовать быстро, чтобы минимизировать возможные последствия. Вот что нужно сделать:
📌 Прекратите взаимодействие с подозрительным источником. Если вы поняли, что вас пытаются обмануть, сразу же прекратите любые действия с этим источником. Закройте сайт, завершите разговор по телефону, удалите подозрительное сообщение.
📌 Измените пароли. Если вы успели ввести какие-либо пароли или другие важные данные на лжесайте, то сразу же смените эти пароли на всех связанных аккаунтах. Измените его на сложный уникальный пароль и обязательно включите двухфакторную аутентификацию везде, где это возможно сделать.
📌 Просканируйте устройства на наличие вирусов.Установите антивирусное программное обеспечение и выполните полное сканирование вашего компьютера или мобильного устройства. Некоторые виды спуфинга могут сопровождаться установкой вредоносного ПО.
📌 Сообщите о мошенничестве. Незамедлительно свяжитесь со своим банком или другой финансовой организацией, если были введены финансовые данные. Сообщите им о возможном мошенничестве и попросите проверить ваши счета на предмет подозрительных транзакций.
📌 Следите за финансовой активностью. Регулярно проверяйте выписки по счетам и кредитным картам на предмет необычных операций. При обнаружении подозрительной активности незамедлительно свяжитесь с вашим банком для блокировки счетов и расследования инцидента.
История спуфинга
Можно сказать, что спуфинг появился задолго до цифровой эпохи, хотя сам термин стал широко известен именно благодаря развитию технологий.
В древние времена спуфингом являлись ситуации, когда люди использовали различные способы маскировки своей личности или намерений для достижения своих целей. Шпионы часто использовали маски, костюмы и другие средства для того, чтобы проникнуть в лагерь противника или получить доступ к секретной информации.
Один из самых известных примеров такого рода обманов — Троянский конь, где греческие войска спрятались внутри огромного деревянного коня, чтобы обмануть троянцев и захватить их город.
Считается, что спуфинг как вид мошенничества появился с развитием IP-телефонии. В 2004 году компания Star38.com запустила первый массовый сервис с веб-интерфейсом для подмены информации о вызывающем абоненте. Уже в следующем году появилось много подобных сайтов.
Эта статья — одна из тысяч в «Энциклопедии "Секрета фирмы"». В этом проекте мы простыми словами рассказываем о сложных терминах и явлениях. Посмотрите другие статьи «Энциклопедии», чтобы лучше понимать мир, в котором мы живём.