Spoofing

Spoofing (ang. spoof – naciąganie, podszywanie) – grupa ataków na systemy teleinformatyczne polegająca na podszywaniu się pod inny element tego samego systemu. Efekt ten osiągany jest poprzez umieszczanie w sieci preparowanych pakietów danych lub niepoprawne używanie protokołów^[1].

Internet

Sieci TCP/IP

Wiele protokołów w modelu TCP/IP nie dostarcza mechanizmów uwierzytelniania źródła lub celu wiadomości. Są one przez to podatne na ataki typu spoofing, o ile aplikacja nie podejmie dodatkowych środków ostrożności w celu weryfikacji tożsamości wysyłającego lub odbierającego hosta. W szczególności IP spoofing lub ARP spoofing mogą zostać użyte, by przeprowadzić atak man in the middle przeciwko hostom w sieci komputerowej. Ryzyko spoofingu TCP/IP może być zminimalizowane poprzez użycie zapory sieciowej zdolnej do głębokiej inspekcji pakietów (DPI) lub poprzez dokładną weryfikację tożsamości osoby wysyłającej czy odbierającej wiadomości^[2]^[3].

Nazwy domenowe

Spoofing domen jest używany ogólnie do opisania jednego lub więcej rodzajów ataków phishingowych^[4], które polegają na fałszowaniu lub błędnym przedstawianiu nazwy domeny internetowej^[5]. Mają one na celu nakłonienie niczego niepodejrzewających użytkowników do odwiedzenia innej witryny internetowej niż zamierzona lub otwarcia wiadomości e-mail, która w rzeczywistości nie pochodzi z podanego adresu (lub pozornie podanego)^[6].

Informacje dzwoniącego

Publiczne sieci telefoniczne często dostarczają z każdym połączeniem informację CLIP zawierającą imię dzwoniącego i numer. Czasem jednak, zwłaszcza w sieciach VoIP, dzwoniący może podrobić tę informację i przedstawić fałszywe dane. Bramki sieciowe w sieciach podatnych na spoofing przekazują taką fałszywą informację dalej. W sytuacji, gdy spoofowane połączenia pochodzą z innych krajów, prawo kraju odbiorcy może nie obejmować wykonującego połączenie. To ogranicza skuteczność prawa przeciwko wykorzystywaniu informacji CLIP do dalszych oszustw^[7].

E-mail

Główny artykuł: E-mail spoofing.

Adres nadawcy wiadomości e-mail może być łatwo sfałszowany. Technika ta jest często stosowana przez spamerów, by ukryć pochodzenie ich wiadomości. Prowadzi to np. do błędnego przekierowania wiadomości po jej niedostarczeniu, co umożliwia atak backscatter^[8].

E-mail spoofing działa na podobnej zasadzie jak pisanie podrabianego powrotnego adresu, korzystając z czasu potrzebnego na dostarczenie wiadomości. Tak długo, jak list pasuje do protokołu (znaczki, kod pocztowy), protokół SMTP wyśle wiadomość. Może być to zrobione przy użyciu serwera mailowego z protokołem telnet^[9].

Zatruwanie sieci wymiany plików

Spoofing może też odwoływać się do posiadaczy praw autorskich umieszczających sfałszowane wersje prac w sieciach wymiany plików^[10]^[11].

Nawigacja satelitarna

Spoofing systemów nawigacji satelitarnej ma na celu oszukać odbiornik GPS poprzez nadawanie sfałszowanego sygnału, który przypomina prawdziwy sygnał systemu nawigacyjnego lub poprzez powtórne nadawanie oryginalnego sygnału zdobytego w innym miejscu czy czasie^[12]. Sfałszowane sygnały mogą być modyfikowane w taki sposób, by odbiorca błędnie oszacował swoją aktualną pozycję lub poprawnie określił swoją pozycję, ale w innym czasie^[13]. Jedna z form tego ataku, nazywana atakiem carry-off, rozpoczyna się od nadawania sygnału GPS zsynchronizowanego z oryginalnym sygnałem obserwowanym przez cel ataku. Siła tego sygnału jest stopniowo zwiększana, a jednocześnie podmienia się go na fałszywy^[12].

Wszystkie systemy nawigacji satelitarnej jak amerykański GPS, europejski Galileo, chiński Beidou i rosyjski GLONASS są podatne na ataki spoofingu^[14]. Jak pośrednie rozwiązanie problemu spoofingu, zalecane jest korzystanie z więcej niż jednego systemu nawigacji satelitarnej^[15].

Rosyjski spoofing nawigacji satelitarnej

Ocenia się, że systemy mobilne RB-301B Borisoglebsk-2, Krasucha i R-330Ż Żytiel posiadają zdolności spoofowania sygnału GPS jednak głównie dotyczy to systemów cywilnych^[16].

Rozmowy telefoniczne

Istnieją metody podszywania się pod dowolny numer telefoniczny (ang. CallerID spoofing), które mogą zostać wykorzystane przez atakującego do podszycia się pod konkretną osobę^[17]^[18].

Oprócz tego, postępy w tworzeniu deepfakeów pozwalają na podszywanie się pod daną osobę posiadając małą próbkę głosu osoby podszywanej. Systemy wykrywania podszywania się pod głos są obiektem aktywnych badań naukowych^[19] jednak możliwości wykrywania są ograniczone przez duże możliwości maskowania sygnału^[20].

Zobacz też

Meaconing

Przypisy

↑ Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektroniczną. Komisja Nadzoru Finansowego. s. 8. [dostęp 2014-12-06].
↑ A Security Approach to Prevent ARP Poisoning and Defensive tools [online], researchgate.net, 2015 .
↑ What is an Intrusion Detection System (IDS)? | IBM [online], www.ibm.com, 19 kwietnia 2023 [dostęp 2025-05-20] (ang.).
↑ Canadian banks hit by two-year domain name spoofing scam [online], Finextra Research, 9 stycznia 2020 [dostęp 2025-05-20] (ang.).
↑ Co to jest fałszowanie domeny? - Adpushup [online], www.adpushup.com [dostęp 2025-05-20] (pol.).
↑ Mass Spoofing Campaign Abuses Walmart Brand [online], threatpost.com, 6 sierpnia 2019 [dostęp 2025-05-20] (ang.).
↑ Bruce Schneier, Caller ID Spoofing, 3 March 2006, schneier.com, dostęp 27 stycznia 2014.
↑ Proceedings of the third international conference on security and privacy in communication networks, 2007 Third International Conference on Security and Privacy in Communications Networks and the Workshops - SecureComm 2007, wrzesień 2007, i–i, DOI: 10.1109/SECCOM.2007.4550292 [dostęp 2025-05-20] .
↑ John Gantz, Pirates of the Digital Millennium, 2005, Prentice Hall.
↑ Record industry 'spoofs' net pirates [online], 4 lipca 2002 [dostęp 2025-05-20] (ang.).
↑ SabraS. Chartand SabraS., Patents; A technique to help combat the online piracy of music uses decoy files that deliver noise and 'gotcha' scoldings., „The New York Times”, 17 maja 2004, ISSN 0362-4331 [dostęp 2025-05-20] (ang.).
↑ ^a ^b JeffJ. Coffed JeffJ., The Threat of GPS Jamming The Risk to an Information Utility [online], 2014 .
↑ JulianJ. Spravil JulianJ. i inni, Detecting Maritime GPS Spoofing Attacks Based on NMEA Sentence Integrity Monitoring, „Journal of Marine Science and Engineering”, 11 (5), 2023, s. 928, DOI: 10.3390/jmse11050928, ISSN 2077-1312 [dostęp 2025-05-20] (ang.).
↑ MattM. Burgess MattM., GPS Signals Are Being Disrupted in Russian Cities, „Wired”, ISSN 1059-1028 [dostęp 2025-05-20] (ang.).
↑ AndrejA. Androjna AndrejA. i inni, Assessing Cyber Challenges of Maritime Navigation, „Journal of Marine Science and Engineering”, 8 (10), 2020, s. 776, DOI: 10.3390/jmse8100776, ISSN 2077-1312 [dostęp 2025-05-20] (ang.).
↑ MaksymilianM. Dura MaksymilianM., Rosjanie zakłócają broń precyzyjną. I co z tego? [ANALIZA] [online], defence24.pl, 23 grudnia 2023 [dostęp 2025-05-20] .
↑ Spoofing rozmów telefonicznych [online], NieBezpiecznik.pl [dostęp 2025-05-20] .
↑ Uwaga na fałszywe telefony – Spoofing! – Centrum Usług Informatycznych we Wrocławiu [online] [dostęp 2025-05-20] .
↑ Aleksandr M.A.M. Sinitca Aleksandr M.A.M. i inni, Voice Antispoofing System Vulnerabilities Research, 2020 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus), styczeń 2020, s. 505–508, DOI: 10.1109/EIConRus49466.2020.9039393 [dostęp 2025-05-20] .
↑ ArielA. Cohen ArielA. i inni, A Study On Data Augmentation In Voice Anti-Spoofing, arXiv, 20 października 2021, DOI: 10.48550/arXiv.2110.10491 [dostęp 2025-05-20] .

Linki zewnętrzne

Techniki hackowania – spoofing. e-ochronainformacji.pl. [zarchiwizowane z tego adresu (2012-02-20)].

[1] Bezpieczeństwo finansowe w bankowości elektronicznej – przestępstwa finansowe związane z bankowością elektroniczną. Komisja Nadzoru Finansowego. s. 8. [dostęp 2014-12-06].

[2] A Security Approach to Prevent ARP Poisoning and Defensive tools [online], researchgate.net, 2015 .

[3] What is an Intrusion Detection System (IDS)? | IBM [online], www.ibm.com, 19 kwietnia 2023 [dostęp 2025-05-20] (ang.).

[4] Canadian banks hit by two-year domain name spoofing scam [online], Finextra Research, 9 stycznia 2020 [dostęp 2025-05-20] (ang.).

[5] Co to jest fałszowanie domeny? - Adpushup [online], www.adpushup.com [dostęp 2025-05-20] (pol.).

[6] Mass Spoofing Campaign Abuses Walmart Brand [online], threatpost.com, 6 sierpnia 2019 [dostęp 2025-05-20] (ang.).

[7] Bruce Schneier, Caller ID Spoofing, 3 March 2006, schneier.com, dostęp 27 stycznia 2014.

[8] Proceedings of the third international conference on security and privacy in communication networks, 2007 Third International Conference on Security and Privacy in Communications Networks and the Workshops - SecureComm 2007, wrzesień 2007, i–i, DOI: 10.1109/SECCOM.2007.4550292 [dostęp 2025-05-20] .

[9] John Gantz, Pirates of the Digital Millennium, 2005, Prentice Hall.

[10] Record industry 'spoofs' net pirates [online], 4 lipca 2002 [dostęp 2025-05-20] (ang.).

[11] SabraS. Chartand SabraS., Patents; A technique to help combat the online piracy of music uses decoy files that deliver noise and 'gotcha' scoldings., „The New York Times”, 17 maja 2004, ISSN 0362-4331 [dostęp 2025-05-20] (ang.).

[:0-12] JeffJ. Coffed JeffJ., The Threat of GPS Jamming The Risk to an Information Utility [online], 2014 .

[13] JulianJ. Spravil JulianJ. i inni, Detecting Maritime GPS Spoofing Attacks Based on NMEA Sentence Integrity Monitoring, „Journal of Marine Science and Engineering”, 11 (5), 2023, s. 928, DOI: 10.3390/jmse11050928, ISSN 2077-1312 [dostęp 2025-05-20] (ang.).

[14] MattM. Burgess MattM., GPS Signals Are Being Disrupted in Russian Cities, „Wired”, ISSN 1059-1028 [dostęp 2025-05-20] (ang.).

[15] AndrejA. Androjna AndrejA. i inni, Assessing Cyber Challenges of Maritime Navigation, „Journal of Marine Science and Engineering”, 8 (10), 2020, s. 776, DOI: 10.3390/jmse8100776, ISSN 2077-1312 [dostęp 2025-05-20] (ang.).

[16] MaksymilianM. Dura MaksymilianM., Rosjanie zakłócają broń precyzyjną. I co z tego? [ANALIZA] [online], defence24.pl, 23 grudnia 2023 [dostęp 2025-05-20] .

[17] Spoofing rozmów telefonicznych [online], NieBezpiecznik.pl [dostęp 2025-05-20] .

[18] Uwaga na fałszywe telefony – Spoofing! – Centrum Usług Informatycznych we Wrocławiu [online] [dostęp 2025-05-20] .

[19] Aleksandr M.A.M. Sinitca Aleksandr M.A.M. i inni, Voice Antispoofing System Vulnerabilities Research, 2020 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus), styczeń 2020, s. 505–508, DOI: 10.1109/EIConRus49466.2020.9039393 [dostęp 2025-05-20] .

[20] ArielA. Cohen ArielA. i inni, A Study On Data Augmentation In Voice Anti-Spoofing, arXiv, 20 października 2021, DOI: 10.48550/arXiv.2110.10491 [dostęp 2025-05-20] .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]