Kas yra klastojimas? Apgaulės apibrėžimas. Kaip atliekamas IP klastojimas?

Taktiką apsimesti kuo nors, kad būtų galima prieiti prie konfidencialių duomenų ar banko sąskaitų, sėkmingai naudojasi ne tik nusikaltėliai realiame pasaulyje, bet ir jų kolegos virtualioje erdvėje. Ši praktika vadinama klastojimu – kolektyvine kategorija, apimančia IP adresų klastojimą (pranešimų siuntimas į kompiuterius naudojant patikimo šaltinio IP adresą), el. laiškų klastojimą (el. laiškų antraščių klastojimą, siekiant nuslėpti tikrąjį siuntėją) ir DNS klastojimą (DNS keitimą). serverio nustatymus, kad domeno vardas būtų nukreiptas į užpuolikų IP adresą).

Kaip veikia klastojimas?

Apgaulė – tai būdas apsimesti kitu asmeniu, siekiant apgauti tinklą arba konkretų vartotoją, siekiant įteigti pasitikėjimą informacijos šaltinio patikimumu. Pavyzdžiui, įsilaužėliai, klastodami el. paštą, gali suklaidinti vartotoją dėl siuntėjo tapatybės ir gauti prieigą prie konfidencialių duomenų. Arba jie gali bandyti naudoti IP ir DNS užklausų klastojimo metodus, kad suklaidintų naudotojo tinklą ir nukreiptų jį į nesąžiningas svetaines, kurios prisidengia tikromis, todėl vartotojo kompiuteris bus užkrėstas.

Kaip atpažinti klastojimą?

Lengviausias būdas atpažinti el. pašto klastojimą yra tai, kad tiesioginis taikinys yra pats vartotojas. Bet koks el. pašto pranešimas El. laiškas, kuriame vartotojo prašoma asmeninės informacijos, gali būti bandymas suklaidinti, ypač jei prašoma kredencialų. Atminkite, kad jokia patikima privati ar vyriausybinė organizacija neprašo asmens informacijos tokiu būdu. Atkreipkite dėmesį į siuntėjo adresą, kad įsitikintumėte, jog jis teisėtas. Tačiau vartotojas beveik niekada nesužinos, kad tapo IP ar DNS klastojimo auka, nors įprotis daug dėmesio skirti detalėms ir įprastos svetainės elgsenos pokyčiams gali būti itin naudingas. Jei svetainė ar jos elgesys kelia bent menkiausių abejonių, geriau atsisakyti planinės operacijos, kad jūsų duomenys ir lėšos būtų saugūs.

Kaip pašalinti klastojimą?

Suklastojimas apima tikrojo šaltinio užmaskavimą, todėl jį „pašalinti“ nėra taip lengva. Apsisaugoti galite tik vadovaudamiesi sveiku protu ir laikydamiesi pagrindinių saugaus darbo internete taisyklių, pavyzdžiui, jokiu būdu neteikite savo asmens duomenų el. paštu, net jei siuntėjo reputacija nekelia abejonių.

Kaip apsisaugoti nuo klastojimo

Neatsakykite į žinutes, kuriose prašoma atsiųsti savo asmeninę ar prisijungimo informaciją
Atidžiai patikrinkite siuntėjo adresą
Atkreipkite dėmesį į keistą elgesį arba žinomų svetainių detalių skirtumus

Apsaugokite save nuo klastojimo

Viena vertus, apsisaugoti nuo klastojimo gali būti taip paprasta, kaip laikytis pagrindinių saugaus naršymo internete principų. Tačiau jūs galite padaryti daug daugiau, kad užtikrintumėte savo saugumą. Visų pirma, savo kompiuterio ir jame saugomų duomenų apsaugą galite patikėti galingam antivirusiniam sprendimui, pavyzdžiui, sukurtam Avast, kuris patikimai apsaugo nuo nesąžiningų svetainių ir blokuoja virusus, bandančius įsiskverbti į jūsų tinklą.

Apgaulė yra gana įdomus atakos būdas, į kurį daugelis kibernetinio saugumo specialistų nepaiso. Bet veltui, labai veltui. Iš šio straipsnio jūs suprasite, kaip gali būti apgaudinėjamas šis įvairus pasaulis. Netikėk savo akimis!

ĮSPĖJIMAS

Visa informacija pateikiama tik informaciniais tikslais. Nei redaktoriai, nei autorius neatsako už bet kokią galimą žalą, padarytą dėl šio straipsnio medžiagos.

Įvadas

Iš savo kolegų dažnai girdžiu, kad apgaulė, kaip atakos vektorius, net neturėtų būti svarstoma. Tačiau galiu užtikrinti, kad jei klastojimo būdai yra kruopščiai apgalvoti, juos galima panaudoti labai labai daugeliui dalykų. Be to, tokių išpuolių mastas ir rezultatai kartais būna katastrofiški. Juk vieną kartą apgaudęs tavo akis, apgausiu ir toliau. Svarbiausias argumentas, patvirtinantis, kad apgaulingos atakos kelia realų pavojų, yra tai, kad nuo jų neapsaugotas nei vienas asmuo, įskaitant profesionalus. Čia reikia pastebėti, kad pats klastojimas nieko nepasiekia: norint įvykdyti tikrai įsilaužėlių ataką, reikia naudoti postexploitation. Daugeliu atvejų posteksploatavimo tikslai yra standartinis kontrolės užgrobimas, privilegijų pakėlimas, masinis kenkėjiškų programų platinimas ir dėl to asmens duomenų bei bankinių sistemų elektroninių skaitmeninių raktų vagystės ir tolesnis pinigų plovimas. Šiame straipsnyje, pirma, noriu pakalbėti apie tai, kokie klastojimo metodai paprastai egzistuoja, ir, antra, išsamiai papasakoti apie kai kuriuos šiuolaikinius metodus. Natūralu, kad visa informacija jums pateikiama tik siekiant padėti apsisaugoti nuo tokio pobūdžio atakų.

Apgaulės praeitis ir dabartis

Iš pradžių terminas „apgaulė“ buvo naudojamas kaip tinklo saugumo terminas, reiškiantis sėkmingą tam tikrų duomenų klastojimą, siekiant gauti neteisėtą prieigą prie konkretaus tinklo resurso. Laikui bėgant šis terminas buvo pradėtas vartoti kitose informacijos saugumo srityse, nors dauguma vadinamųjų senosios mokyklos specialistų ir toliau vartoja žodį „apgaulė“ tik norėdami išsiaiškinti tinklo atakų tipą.

Pirmieji IDN klonai

Išpuolis naudojant IDN homografus pirmą kartą buvo aprašytas 2001 m. Jevgenijus Gabrilovičius ir Aleksas Gontmakheris iš Technion Institute of Technology Izraelyje. Pirmasis žinomas sėkmingos atakos naudojant šį metodą atvejis buvo viešai paskelbtas 2005 m. ShmooCon programišių konferencijoje. Įsilaužėliams pavyko užregistruoti netikrą domeną paypal.com (xn--pypal-4ve.com Punycode), kur pirmoji raidė a yra kirilica. Slashdot.org paskelbtas įrašas atkreipė visuomenės dėmesį į šią problemą, o tiek naršyklės, tiek daugelio aukščiausio lygio domenų administratoriai sukūrė ir įgyvendino atsakomąsias priemones.

Taigi, kai tinklas buvo tik pradiniame etape, dauguma programuotojų ir kūrėjų pastangų daugiausia buvo nukreiptos į tinklo protokolų veikimo algoritmų optimizavimą. Saugumas nebuvo toks svarbus kaip šiandien ir, kaip dažnai būna, buvo skiriamas labai mažai dėmesio. Dėl to gauname banalias ir esmines klaidas tinklo protokoluose, kurios egzistuoja ir šiandien, nepaisant įvairių pataisų (nes joks pataisas negali pataisyti loginio protokolo klaidos). Tam reikia visiškų pokyčių, kurių dabartiniu pavidalu tinklas tiesiog negali išgyventi. Pavyzdžiui, straipsnyje „Atakos prieš DNS: vakar, šiandien, rytoj“ (][ #5 2012) Kalbėjau apie katastrofiškus esminius DNS sistemų pažeidžiamumus – UDP naudojimą (kuris, skirtingai nei TCP/IP, yra nesaugus, nes neturi įmontuoto mechanizmo, kuris apsaugotų nuo klaidinimo) ir vietinės talpyklos.

Vektoriai

Atsižvelgiant į tikslus ir uždavinius, klaidinimo vektorius galima suskirstyti į vietines ir tinklo kryptis. Tai yra tie, kuriuos apžvelgsime šiame straipsnyje. Vietinių vektorinių atakų taikinys dažniausiai yra pati nukentėjusiojo kompiuteryje įdiegta OS, taip pat tam tikros rūšies programos, kurioms, atsižvelgiant į situaciją, dažnai reikia papildomos analizės. Priešingai, tinklo vektorinių atakų tikslai yra abstraktesni. Pagrindiniai yra informacinių sistemų komponentai, atstovaujami tiek vietinių, tiek globalių tinklų. Pažvelkime į pagrindinius klastojimo tipus.

TCP/IP ir UDP klastojimas – atakos transporto lygiu. Dėl esminių klaidų įgyvendinant TCP ir UDP transportavimo protokolus, galimos šių tipų atakos:

IP klaidinimas – idėja yra pakeisti IP adresą pakeičiant šaltinio lauko reikšmę IP paketo turinyje. Jis naudojamas užpuoliko adresui suklaidinti, pavyzdžiui, norint gauti atsakymo paketą norimu adresu;
ARP klastojimas yra atakos metodas Ethernet tinkluose, leidžiantis perimti srautą tarp kompiuterių. Remiantis ARP protokolo naudojimu;
DNS talpyklos apsinuodijimas – serverio DNS talpyklos užnuodijimas;
NetBIOS / NBNS klastojimas pagrįstas vietinių kompiuterių pavadinimų „Microsoft“ tinkluose nustatymo ypatumais.

Referrer spoofing – nukreipiančiojo pakeitimas.

Apsinuodijimas failų dalijimosi tinklais – sukčiavimas failų dalijimosi tinkluose.

Skambintojo ID klastojimas – skambinančio telefono numerio pakeitimas VoIP tinkluose

El. pašto adreso klastojimas – siuntėjo el. pašto adreso pakeitimas.

GPS klaidinimas – paketų pakeitimas iš palydovo, siekiant suklaidinti GPS įrenginį.

Balso pašto klastojimas – balso pašto numerių pakeitimas siekiant sukčiauti aukos slaptažodžius.

SMS klaidinimas yra klastojimo metodas, pagrįstas SMS žinutės siuntėjo numerių pakeitimu.

Naujausi įvykiai klastojimo srityje

Labiausiai paplitę metodai jau gana seni ir nulaužti. Pasaulinis tinklas tiesiogine prasme knibžda informacijos apie galimus jų veikimo ir apsaugos nuo jų skirtumus. Šiandien apžvelgsime kelis naujausius klaidinimo metodus, kurių naudojimas tik įgauna pagreitį – nuo vietinių vektorių iki tinklo. Taigi, viskas tvarkoje.

Flamer ir skandalingas „Microsoft“ sertifikatų klastojimas

„Microsoft“ saugos patarimas (2718704) – neleistini skaitmeniniai sertifikatai gali leisti klastoti. Gana įdomus dalykas buvo rastas liūdnai pagarsėjusio šnipinėjimo roboto „Flamer“ kopijose: remiantis šios kenkėjiškos programos komponentų atvirkštinės inžinerijos rezultatais, buvo aptikta kodo dalis, atsakinga už apgaulingų atakų, tokių kaip sukčiavimas, vykdymą. Imituodamas originalių sertifikatų iš didelių įmonių teikimą, robotas įvykdė MITM ataką, kurios tikslas buvo perimti įmonių tinklo vartotojų asmeninius duomenis ir išsiųsti juos į kūrėjų serverį. Šis klastojimo incidentas gavo saugumo patarimą Nr. 2718704, kurio sunkumo laipsnis buvo aukštas.

Spoofing in OS 1. Extension Spoofing – failo plėtinio klastojimas

Technika, kuri dienos šviesą išvydo Kinijos tyrėjo informacijos saugumo srityje Zhitao Zhou pasiekimų dėka. Šios technikos esmė – failo pavadinime naudoti valdymo simbolį 0x202E (RLO), kuris leidžia keisti simbolių tvarką rodant failo pavadinimą „Windows Explorer“ (explorer.exe). Štai šios paprastos technikos naudojimo pavyzdys:

Super muzika įkelta 15 val. SCR

3pm.SCR failas yra ne kas kita, kaip vykdomasis failas, įgyvendinantis tam tikras funkcijas (Trojos programa – Redaktoriaus pastaba). Jei failo pavadinimo „3pm.SRC“ pradžioje įterpiate valdymo simbolį 0x202E (žr. 1 pav.), simbolių tvarka pasikeičia ir failo pavadinimas „Windows Explorer“ rodomas kitaip:

Super muzika, kurią įkėlė RCS.mp3

Norėdami pakeisti failo piktogramą, turėtumėte naudoti bet kurį išteklių redaktorių (Restorator, Resource Hacker). Ši technika skirta neatsargiam vartotojui, kuris gali supainioti šį failą su daina ir atidaryti jį dukart spustelėdamas, taip paleisdamas kenkėjišką programą. Deja, ši technika neveiks programose, panašiose į „Explorer“, kurios palaiko „Unicode“. Žemiau yra C# kodas, kuris pakeičia failo pavadinimą pridėdamas valdymo simbolį 0x202E:

Public Sub U_202E(failas kaip eilutė, plėtinys kaip eilutė) Dim d Kaip sveikas skaičius = failas. Ilgis - 4 Dim u Kaip Char = ChrW(823) Dim t Kaip Char() = plėtinys.ToCharArray() Array.Reverse(t) Dim dest As String = file.Substring(0, d) & u & New String(t) & file.Substring(d) System.IO.File.Move(failas, pask.) Pabaigos poskyrį

2. File Name Spoofing – failo pavadinimo klonavimas

Šią techniką Saugumo-Momiji konferencijoje pristatė japonų tyrinėtojas Yosuke Hasegawa. Jis pagrįstas nulinio ilgio simbolių (ZERO WIDTH Characters) naudojimu, kurie jokiu būdu neturi įtakos failo pavadinimo atvaizdavimui (žr. 2 pav.). Žemiau yra visi šios kategorijos veikėjai:

U+200B (NULIO PLOTIO TARPUS) – U+200C (NULIO PLOTIO NEJUNGTAS) – U+200D (NULIO PLOTIO JUNGTIS) – U+FEFF (NULIO PLOTIO TARPUS) – U+202A (IŠ KAIRĖS Į DEŠINĘ) ĮDĖJIMAS)

Be to, galima naudoti UTF kodavimą esamų failų pavadinimams suklastoti. Šią techniką dažnai naudoja šiuolaikinė kenkėjiška programa. Radau kenkėjiškų programų, kurios įvykdė tokio tipo atakas, pavyzdžius. Pavyzdžiui, kenkėjiška programa TrojanDropper:Win32/Vundo.L (naudojama sukčiaujant svetaines vk.com, vkontakte.ru, *odnoklassniki.ru) naudoja būtent šią techniką.

Failas %SystemRoot%\system32\drivers\etc\hosts buvo nukopijuotas į „clone“ hosts failą su UTF „o“ simboliu (0x043E), po kurio pradiniam hosts failui buvo suteiktas paslėpto failo ir jo turinio atributas. buvo perrašyti, pridėjus šiuos įrašus:

92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru