Nos estudos de redes (Ethernet, Internet etc.), Spoofing, também conhecido como Spoof, é usado para descrever uma variedade de técnicas em que o hardware e software podem ser usados para ludibriar usuários desavisados. A utilização dessa técnica também tem como estratégia imitar outras pessoas, mimetizar websites etc., tudo isso para contornar medidas de segurança.

Explicando melhor: a comunicação via rede muitas vezes se baseia nos princípios de “hosts confiáveis”. Normalmente, esses computadores enviam informações entre si sem a necessidade de verificação constante da autenticidade entre eles. O Spoofing foi o método encontrado para furar os fracos sistemas de segurança que liberam a utilização de certos serviços a um número restrito e autenticado de usuários, que estão em uma “whitelist” para ele. O propósito do Spoof é o de falsificar o remetente dos pacotes de dados que viajam na rede.

Existem vários métodos de utilização do Spoofing:

IP spoofing

Este ataque consiste em mascarar, realizar o “spoof” de pacotes IP utilizando endereços de remetentes falsificados. Alguns sistemas de segurança possuem métodos que ajudam a identificar um usuário pelo seu endereço IP ou pelo range de endereços IP. O atacante realiza o “spoof” do endereço IP para coincidir com os critérios de verificação dos softwares de segurança, conseguindo dessa maneira ultrapassar as suas barreiras. Essa técnica também é usada para enganar páginas web, realizar sondagens ou até mesmo fazer com que outros recursos na Internet pensem que o usuário é alguém autorizado.

Existem 5 maneiras para conseguir se defender deste tipo de ataque:

1. Use autenticações baseadas em troca de chaves entre as máquinas em sua rede; algo como IPsec irá reduzir significativamente o risco de Spoofing;

2. Use uma lista de controle de acesso para negar acesso de endereços IP privados em sua interface de downstream;
3. Implemente a filtragem de tráfego tanto nas portas de entrada quanto de saída;
4. Configure os seus routers e switches, se eles suportarem esse tipo de configuração, para rejeitar pacotes que sejam originados fora de sua rede local, que supostamente estão com endereçamento de sua rede interna;
5. Ative sessões de criptografia no seu roteador para que hosts confiáveis ​​que estão fora da rede possam se comunicar de forma segura com seus hosts locais.

Spoof de Websites

Este ataque utiliza o layout de um site integro para mascarar um site malicioso, tudo isso para enganar os usuários a realizarem ações dentro desse site falso. Websites com Spoof comumente imitam sites de bancos, empresas de e-commerce ou serviços oficiais do governo, muitas vezes a fim de recolher, de forma fraudulenta, informações pessoais, financeiras ou confidenciais dos usuários. Cibercriminosos podem usar métodos extremamente sofisticados para enganar os usuários finais. Métodos como “cloaking” de URL ou encaminhamento de domínio podem esconder algumas pistas para que você verifique se o site é legítimo ou não. O “cloaking” de URL é o ato de esconder o verdadeiro domain name de um site a partir do campo de URL do navegador de um usuário em favor de outro nome.

A melhor solução para evitar esse tipo de fraude, por parte do cliente, é sempre verificar se o site possui SSL/TLS em sua página Web. A indicação HTTPS é um bom demonstrativo de que seu site faz uma transação segura de informações.

Os navegadores atuais indicam que um site é protegido por SSL/TLS, por um pequeno ícone de SSL-status, que fica localizado ou na área de status na parte inferior da página ou, dependendo do caso, ao lado da URL. No entanto, essa indicação não fica muito visível para os desavisados. Usuários ingênuos e desprovidos de conhecimento podem não notar sua ausência ao acessar um website (por exemplo, se você visitar esse site rotineiramente, como no caso do seu banco). Na verdade, quase todas as falsificações na Web estão em locais sem proteção SSL/TLS, mesmo em casos em que os atacantes utilizavam “domain names” que não aparecem relacionados com quaisquer marcas comerciais conhecidas.

Ao proteger todas as suas páginas, usuários irão notar rapidamente a mensagem de aviso em seu browser; quando o usuário recebe uma versão falsificada de uma página web, eles terão a noção de que o site não é seguro para o acesso.

ARP Spoofing

ARP (tradução literal seria Protocolo de Resolução de Endereço) opera transmitindo uma mensagem brodcast por meio de uma rede para determinar o endereço MAC de um host com um endereço IP pré-definido. O anfitrião do endereço IP de destino envia um pacote de resposta contendo o seu endereço MAC. Uma vez que a operação ARP inicial está completa, o dispositivo de origem em seguida armazena a resposta ARP, que é utilizada dentro do cabeçalho da camada de enlace de pacotes que são enviados para um endereço de IP específico.

Um ataque ARP Spoofing é o envio de mensagens ARP não solicitadas. Essas mensagens ARP maliciosas contêm o endereço IP de um recurso de rede, como um gateway padrão ou um servidor DNS e substitui o endereço MAC para o recurso de rede correspondente com seu próprio endereço MAC. Os dispositivos de rede, pelo projeto, substituem qualquer informação ARP existente em conjunto com o endereço IP pela nova informação ARP maliciosa. O atacante, em seguida, assume o papel do homem no meio (man-in-the-middle), conseguindo verificar qualquer tráfego destinado para o recurso legítimo enviado por meio do sistema de ataque. Como esse ataque ocorre nos níveis inferiores do modelo OSI (camada de enlace e rede), o usuário final é alheio à ocorrência do ataque.

ARP Spoofing também é capaz de executar ataques de Denial of Service (DoS). O sistema de ataque pode simplesmente soltar os pacotes, fazendo com que os clientes tenham suas requisições de serviço negadas para o recurso de rede atacada.

A defesa contra ARP Spoofing geralmente depende de alguma forma de certificação ou verificação cruzada das respostas ARP. Respostas ARP não certificadas serão bloqueadas.

Essas técnicas podem ser integradas com o servidor de DHCP para que ambos os endereços de IP dinâmicos e estáticos estejam certificados. Essa capacidade pode ser configurada em hosts individuais ou pode ser integrada em computadores Ethernet ou outros equipamentos de rede.

E-mail Spoofing

Este tipo de ataque é o processo de falsificar um remetente de um endereço de e-mail. Essa forma de Spoofing é utilizada para enganar o destinatário do e-mail a pensar que outra pessoa lhe enviou a mensagem. Isso é comumente usado para contornar os filtros de spam ou para enganar o usuário a pensar que o e-mail é seguro, quando na realidade contém um anexo que está infectado com um vírus ou spam.

Geralmente, para um atacante realizar um e-mail Spoofing, ele precisa de:

• Um serviço funcional de SMTP (Simple Mail Transfer Protocol) para enviar e-mail;
• Um software de e-mail.

Um caso recente de e-mail Spoofing foi reportado por uma analista de segurança chamada Yan Zhu. Ela identificou um bug no aplicativo do Gmail para sistemas Android, que permite que qualquer um envie “spoofed” e-mails. Ela realizou um teste enviando um e-mail como sendo da equipe do Gmail e, uma vez recebido, o endereço de e-mail poderia enganar o receptor a acreditar que o e-mail chegou de uma legítima equipe de segurança do Gmail, o que não era o caso.

Se você quiser se proteger contra spoofed e-mails, você pode seguir algumas dicas abaixo:

• Ligue seus filtros de spam: ​​quase todos os serviços de e-mail oferecem filtros de spam e caixas de lixo que direcionam e-mails falsos para o seu lixo eletrônico.
• Aprenda a ler cabeçalhos de mensagens de e-mail e endereços IP de rastreamento: rastrear a origem do spam é uma boa prática. Quando você receber um e-mail suspeito, abra o cabeçalho, veja se o endereço IP do remetente corresponde aos de e-mails anteriores da mesma pessoa.
• Nunca clique em links suspeitos ou baixe um anexo sem saber o seu propósito: sempre preste atenção para os e-mails que você recebe e evite clicar em links de e-mail ou download de anexos. Vá para o site oficial do seu banco ou outros sites diretamente do seu navegador e acesse a sua conta para encontrar o que eles querem que você veja.

Referências:

• http://hakipedia.com/index.php/ARP_Poisoning
• http://www.htmlgoodies.com/beyond/security/article.php/3473221/Identifying-Spoofed-Websites.html
• http://www.computerworld.com/article/2546050/network-security/the-top-five-ways-to-prevent-ip-spoofing.html
• http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-4/104_ip-spoofing.html
• http://searchsecurity.techtarget.com/definition/email-spoofing
• http://thehackernews.com/2015/11/gmail-spoofing.html

***

Artigo feito junto com Marcos Ferreira.