O que é Spoofing e como se proteger?

Não é novidade para ninguém que muitos crimes do mundo real têm correspondentes no mundo virtual e uma dessas manifestações mais comuns, é o spoofing.

O spoofing é usado em uma variedade de situações de cometimentos de fraudes e golpes online e, portanto, é essencial saber o que é, quais seus tipos, para que usuários e empresas possam se proteger.

O que é spoofing?

Como a maioria dos termos na área, spoofing vem do inglês, especificamente do verbo “to spoof”, que significa "fingir" ou “imitar” e que quando usado no escopo de informática, genericamente significa falsificação de identidade, com finalidades maliciosas.

Embora pouco conhecido da maioria dos usuários, o spoofing não é novidade na área de TI, por meio de diferentes técnicas e características para diferentes finalidades, sendo que o mais comum são o spoofing de e-mail, spoofing de IP e spoofing de DNS, mas já há outras “variações” da técnica, como por exemplo, o spoofing telefônico e que veremos em mais detalhes logo mais.

A ideia por trás de quem faz uso do spoofing, é se passar por uma pessoa ou por uma empresa conhecida e, portanto, confiável e com isso, induzir a vítima a negligenciar cuidados que normalmente teria ao lidar com desconhecidos. Ao ser bem sucedido no processo, o criminoso digital obtém informações sensíveis ou consegue que a vítima faça algo do seu interesse, sem que desconfie que está sendo enganada.

Nesse ponto, é comum para quem conhece o que é phishing, achar que spoofing seja a mesma coisa, mas não é.

Qual a diferença entre phishing e spoofing?

De fato as diferenças entre as definições de phishing e spoofing são pequenas e sutis, porque em ambos os casos, o objetivo é enganar a vítima e obter alguma vantagem de modo ilícito.

No caso do spoofing, é importante enfatizar que a sua caracterização se dá por meio da falsificação da identidade digital do atacante e no caso do phishing, embora também seja frequente que ocorra, nem sempre é necessário.

Já nos golpes característicos de phishing, o criminoso cibernético pode utilizar técnicas de engenharia social para enganar o usuário, sem necessariamente falsificar sua identidade.

Além disso, o spoofing costuma se apoiar em técnicas mais complexas tecnicamente para produzir a falsificação.

Seja qual for o caso, em ambas as situações, as consequências para a vítima, podem ser severas, razão pela qual é preciso estar bastante atento e cauteloso.

Quais os tipos de spoofing?

Há variações quanto aos métodos de falsificação de identidade, lembrando que no universo digital, há diferentes meios de reconhecermos uma pessoa ou empresa, como por exemplo, o domínio de uma instituição financeira ou de um site de comércio eletrônico, bem como outros serviços associados ao domínio, como é o caso do serviço de e-mail.

Mas não são só nessas situações, como veremos a seguir.

Spoofing de IP

Esse tipo de spoofing consiste de falsificar ou ocultar o endereço IP verdadeiro do cracker (hacker do mal), utilizando uma variedade de técnicas, de acordo com cada situação.

Por exemplo, o invasor tenta obter acesso não autorizado a uma rede de computadores, fazendo-se passar por alguém nessa mesma rede.

Para tanto, os pacotes de dados que trafegam usando os protocolos de internet TCP/IP ou UDP/IP, são enviados com um endereço de remetente falso. O cracker se utiliza de um endereço de um sistema autorizado e confiável, mas que tem alguma falha de segurança e com isso, ele é capaz de injetar seus próprios pacotes no sistema do dispositivo que, de outra forma, seria bloqueado por algum mecanismo de filtragem, como por exemplo, um firewall.

Essa é uma técnica que envolve alguma sofisticação e requer mais conhecimentos técnicos e reforça a importância da segurança cibernética nas empresas.

Spoofing de DNS

Já no caso de spoofing de DNS, a falsificação é realizada por meio de hacking no sistema de DNS.

O DNS é o sistema responsável por traduzir todo domínio em um endereço de IP. Ou seja, para que você não tenha que decorar o IP de cada site que acessa, cada e-mail que envia ou recebe, o DNS cria a correspondência entre um domínio, algo que é mais legível e amigável, e o respectivo endereço IP.

No spoofing de DNS, a questão normalmente está associada às técnicas que são conhecidas como “cache poisoning”, que é em tradução direta “envenenamento de cache” ou realizando um ataque DDoS contra os servidores de DNS usando uma botnet (rede de robots).

Quando um servidor de cache de DNS recebe uma resolução falsa e a armazena para otimização de desempenho, diz-se que foi envenenado e passa a retornar um endereço IP incorreto, desviando o tráfego para um servidor designado pelo invasor, que contém conteúdos nocivos.

Spoofing de site

Como o nome sugere, é quando há falsificação de um site, ou seja, é criado um site falso / fraudulento, que imita um site legítimo e, portanto, tem como alvo os usuários que o acessam.

Geralmente os sites produzidos podem ser visualmente idênticos aos verdadeiros, o que contribui para enganar os usuários. O principal objetivo nesse tipo de spoofing, é obter dados de autenticação (usuário e senha).

As técnicas usadas podem variar, como por exemplo, usando domínios e subdomínios com grafia muito semelhante ao domínio original. Assim, um domínio como app1e.com, pode parecer indistinguível ao verdadeiro apple.com, sendo que no primeiro, foi usado o número “1” no lugar da letra “l”

Spoofing de e-mail

Spoofing de e-mail ou e-mail spoofing é quando a fraude ocorre em mensagens de e-mail enviadas pelo atacante e tal como nos demais tipos, faz uso de um remetente idôneo e conhecido, para dar credibilidade ao golpe online.

Juntamente com o spoofing de site, é do tipo mais comumente usado para tornar o phishing mais convincente, criando diferentes tipos de iscas com a intenção de obter informações que possam ser usadas e/ou que rendam algum retorno financeiro, como por exemplo, dados bancários e/ou dados pessoais, contas de e-mail e respectivas senhas, dados de acesso a sistemas ou sites, entre outros.

Na falsificação de e-mail, o destinatário do e-mail é levado a crer que o remetente é uma empresa conhecida ou um contato de confiança e por essa razão, a falsificação muitas vezes usa nomes de empresas populares. Assim, é comum receber mensagens de correio eletrônico que supostamente são do seu banco ou da operadora de cartão de crédito, pedindo que confirme a senha do seu cartão.

Da mesma forma que a variante de sites, é comum que o cracker utilize domínios com grafias muito semelhantes ao domínio original e que muitos destinatários acabam não distinguindo a diferença.

Mas há outras técnicas mais simples, mas muitas vezes razoavelmente eficientes, como usar o recurso do nome de exibição de muitos clientes de e-mail, o qual é identificável analisando o cabeçalho da mensagem, o que dificilmente alguém faz.

Com as ferramentas certas, um cracker pode até mesmo usar de fato um domínio real para enviar mensagens, fazendo-se passar pelo real detentor do domínio, porém o spoofing de domínio se tornou mais difícil devido à adoção cada vez maior de métodos como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain-based Message Authentication, Reporting & Conformance) por parte dos bons serviços de e-mail, que minimizam o uso não autorizado de nomes de domínio para ataques de falsificação.

Spoofing telefônico

Nessa variante, o criminoso falsifica o número de telefone que aparece no identificador de chamadas da pessoa que está sendo chamada. Alternativamente, o mesmo método é empregado para o outro tipo, que é o spoofing de SMS, que é quando se usa a rede de telefonia para envios de mensagens de SMS falsas.

Normalmente, o número falso pode ser um número de contato da vítima (amigo ou familiar), um número de uma empresa (banco ou uma rede varejista popular), ou apenas um número local, para aumentar a probabilidade de atendimento da chamada.

Para reforçar as chances de sucesso no golpe, o criminoso costuma já possuir alguns dados ou informações que dão mais credibilidade ao discurso usado e frequentemente usando técnicas de engenharia social.

Spoofing de rede social

Razoavelmente comum também, nesse tipo os criminosos criam perfis falsos de pessoas ou empresas, para enganar ou manipular outros usuários.

O mais frequente, é usar fotos e dados pessoais públicos dos verdadeiros, o que é razoavelmente fácil de obter, em particular nas redes sociais que têm poucos recursos de segurança e verificação de autenticidade da conta.

Como se proteger / evitar o spoofing?

Prevenir-se contra fraudes e golpes online baseados em spoofing, é importante e é possível.

O melhor a se fazer, é combinar treinamento, procedimentos e tecnologias.

O treinamento ou a informação dos usuários, é sua primeira linha de defesa. Alguns ataques de spoofing são extremamente difíceis de identificar, mas a maioria contém padrões facilmente reconhecíveis.

A seguir listamos e comentamos as medidas que minimizam os riscos associados.

1. Informação

Como é no caso da maioria das ameaças cibernéticas, a disseminação da informação é essencial, já que ainda que os usuários disponham de um arsenal de ferramentas de proteção, a depender das características do ataque, ele pode ser bem-sucedido, se o usuário for muito leigo.

No caso das empresas, circulares, artigos e treinamento, ajudam a conscientizar o usuário da sua importância na segurança em TI.

Esse tipo de ação deve fazer parte da política de segurança em TI das empresas.

2. Ferramentas

O uso do arsenal de ferramentas atualmente disponível, também é essencial:

  • Antivírus – as melhores soluções antivírus, são capazes de identificar alguns dos tipos de spoofing e de phishing;

  • Filtros de e-mail – os bons clientes de e-mail e de webmail, possibilitam à equipe de TI implementar regras para filtros de e-mail que pode barrar alguns golpes baseados em spoofing;

  • Firewall – um bom firewall também é um mecanismo que pode conter algumas técnicas menos sofisticadas de ataques;

  • Filtro de DNS – os melhores filtros de DNS contribuem para evitar vários tipos de fraudes virtuais.

3. Análise visual

Certificar-se que o domínio associado ao endereço de e-mail está correto, mas para isso ser eficiente, os usuários precisam de informação / treinamento.

Uma maneira de fazer esta checagem, é usando sites de whois, como o do registro.br para o caso de domínios nacionais.

Copie e cole o domínio no campo de pesquisa de whois, para se certificar de sua exatidão e dos dados da empresa associada ao domínio.

4. Avaliação de cabeçalho

Também requer conscientização e treinamento.

Para verificar se o endereço de e-mail corresponde ao nome de exibição, deve-se chevar o cabeçalho das mensagens suspeitas.

O procedimento para exibição do cabeçalho, varia de acordo com a ferramenta que a empresa / os usuários usam para gerenciar os seus e-mails e assim se deve criar um tutorial simples e ilustrado dos passos necessários. Os bons clientes de e-mail devem ter informações a respeito na ajuda ou na sua documentação.

5. Acesso de sites

Ao acessar quaisquer sites, sempre cheque com atenção o endereço.

Adicionalmente, verifique o cadeado e o certificado SSL, já que as grandes empresas costumam usar certificados mais caros e que dão informações completas e verificadas quanto à identidade.

Os melhores navegadores também emitem alertas para sites suspeitos. Nunca acesse um site se um alerta de segurança for emitido pelo browser.

6. Autenticação

Ativar a autenticação de múltiplos fatores (MFA) ou de dois fatores (2FA), para todos os serviços nos quais esses recursos estiverem disponíveis.

Como esses métodos costumam se basear em verificações de autenticação adicionais e baseadas em outros dispositivos, como por exemplo, biometria, chaves físicas ou outros, ainda que o cracker tenha conseguido usuário e senha, não conseguirá acessar o respectivo serviço.

7. Desconfie sempre

Se não tiver segurança sobre a procedência do e-mail, não o abra.

A maior parte dos clientes de e-mail permitem selecionar a mensagem e exibir o seu código-fonte e desta forma é possível visualizar o conteúdo do e-mail sem que se execute eventuais conteúdos maliciosos nele existentes.

Não sabendo interpretar o conteúdo, peça ajuda a um especialista ou o suporte de TI.

Além disso, outros aspectos podem indicar uma ameaça em potencial:

  • Desconfie de mensagens que solicitam dados pessoais e especialmente senhas. Não é comum que as empresas realizem solicitações dessa natureza por e-mail;

  • Campos assunto podem também dar pistas sobre o conteúdo. Avalie se o contato de fato utilizaria aquele assunto para lhe endereçar uma mensagem;

  • Evite clicar em links contidos no corpo da mensagem. A maior parte dos programas de e-mail exibe o real endereço associado aos links no rodapé do programa ou em caixa de texto sobre o corpo da mensagem apenas posicionando o cursor do mouse sobre o link. Se não for possível a visualização, clique com o botão direito do mouse sobre o link e utilize a opção “copiar endereço do link”. Cole-o no bloco de notas para avaliação;

  • Existem ferramentas de segurança que fazem a verificação de e-mails quanto a vários aspectos de segurança. Se puder contar com uma ferramenta como essa, não hesite;

  • Verifique se o serviço de e-mail onde está hospedada a sua conta, faz a verificação de SPF, DKIM e DMARC para recebimento e envio de mensagens e se não o faz, se é possível habilitar estes recursos;

  • Em caso de dúvida quanto à procedência de uma determinada mensagem e sendo possível, contate o remetente e confirme que o envio partiu dele;

  • Atenção a erros ortográficos ou gramaticais e qualquer sinal que indique um site incompatível com a empresa. Por exemplo, sites falsos não costumam ter todas as páginas funcionais e com conteúdo, como por exemplo, a política de privacidade ou os termos de uso do site.

8. Spoofing telefônico

No caso de spoofing telefônico, é altamente recomendável os seguintes comportamentos:

  • Ativar o identificador de chamadas, para saber se a chamada é de um contato cadastrado;

  • Se sua operadora de telefonia possui um serviço que identifique e bloqueie chamadas de SPAM, ative-o;

  • Usuários das versões mais recentes do Android, já contam com um serviço que identifica e bloqueia SPAM, além de permitir bloquear números que eventualmente passem pelos filtros;

  • Evite atender ligações de números desconhecidos, pois há serviços que visam apenas verificar os números ativos e de pessoas que são vítimas em potencial;

  • Empresas idôneas não costumam solicitar informações sensíveis, como senhas. Caso isso aconteça, não forneça e encerre a chamada;

  • Nunca clique em links de "redefinição de senha" em mensagens de SMS. É altamente provável que sejam fraude e é um dos principais métodos para obter acesso do serviço cuja senha foi solicitada;

  • Atenção especial para “promoções boas demais”, “prêmios e vantagens incríveis”. Geralmente é engenharia social aplicada, baseando-se na empolgação e descuido produzidos na vítima.

9. Redes sociais

No uso das redes sociais, revise suas configurações de privacidade online, restringindo ao máximo quem pode ter acesso a dados pessoais.

Tenha especial cuidado com quem você segue e permite que siga você.

Caso identifique um comportamento suspeito, clicou em spam ou foi enganado online, entre em contato com o suporte da rede e faça uma denúncia, bem como alerte seus contatos.

Evite divulgar informações que possam comprometer sua segurança, como hábitos pessoais e informações relativas ao seu status.

Conclusão

O spoofing é base para uma série de fraudes online, nas quais o hacker consegue fraudar sua real identidade e cometer uma variedade de crimes cibernéticos.

Artigos relacionados

segurança cibernética
O que é spear phishing e como evitar essa ameaça digital?
MFA
O que é MFA? Como funciona e por que é importante?
WordPress
Os 5 melhores plugins de segurança para WordPress

Comentários ({{totalComentarios}})