Spoofing de site - Website spoofing
Spoofing de site é o ato de criar um site , como uma farsa , com a intenção de induzir os leitores a se enganar, dizendo que o site foi criado por outra pessoa ou organização. Normalmente, o site falso adota o design do site de destino e, às vezes, tem um URL semelhante . Um ataque mais sofisticado resulta em um invasor criando uma "cópia de sombra" da World Wide Web, fazendo com que todo o tráfego da vítima passe pela máquina do invasor, fazendo com que o invasor obtenha as informações confidenciais da vítima.
Outra técnica é usar um URL 'encoberto'. Ao usar o encaminhamento de domínio ou inserir caracteres de controle , o URL pode parecer genuíno enquanto oculta o endereço real do site malicioso. Punycode também pode ser usado para esse fim. Ataques baseados em Punycode exploram os caracteres semelhantes em diferentes sistemas de escrita em fontes comuns. Por exemplo, em uma fonte grande, a letra grega tau (τ) é semelhante em aparência à letra latina minúscula t. No entanto, a letra grega tau é representada em punycode como 5xa, enquanto a letra latina minúscula é simplesmente representada como t, uma vez que está presente no sistema ASCII. Em 2017, um pesquisador de segurança conseguiu registrar o domínio xn--80ak6aa92e.com e exibi-lo em vários navegadores convencionais como apple.com. Enquanto os caracteres usados não pertenciam ao script latino, devido à fonte padrão nesses navegadores, o resultado final foram caracteres não latinos que eram indistinguíveis daqueles do script latino.
O objetivo pode ser fraudulento, frequentemente associado a phishing ou falsificação de e-mail , ou para criticar ou zombar da pessoa ou entidade cujo site o site falsificado pretende representar. Como o propósito costuma ser malicioso, "spoof" (uma expressão cujo significado básico é uma paródia inocente) é um termo inadequado para essa atividade, de modo que organizações mais responsáveis, como departamentos governamentais e bancos, tendem a evitá-la, preferindo descritores mais explícitos como " fraudulento "ou" phishing ".
Como exemplo do uso dessa técnica para parodiar uma organização, em novembro de 2006, dois sites falsos, www.msfirefox.com e www.msfirefox.net, foram produzidos alegando que a Microsoft havia comprado o Firefox e lançado o "Microsoft Firefox 2007."
Ferramentas de prevenção
Software anti-phishing
Sites falsificados predominam nos esforços de desenvolvimento de software anti-phishing, embora haja preocupações sobre sua eficácia. A maioria dos esforços está focada no mercado de PC, deixando os dispositivos móveis em falta. Você pode ver na tabela abaixo que poucos estudos de usuários foram executados com as ferramentas atuais do mercado.
Ferramenta | Meios de comunicação | Dispositivo | Tipo de contramedida | Métricas de desempenho | Estudo de usuário realizado? |
Anti-phish | Add-on de site / navegador | PC | Correspondência de perfil / histórico de uso | - | - |
BogusBiter | Add-on de site / navegador | PC | Autenticação cliente-servidor | Atraso no carregamento da página | Não |
Cantina + | Add-on de site / navegador | PC | Aprendizagem / classificação de máquina | TPR ≈ 0,92
FPR ≈ 0,040 |
Não |
Quero | Add-on de site / navegador | PC | Mineração de texto / expressões regulares | - | - |
Itrustpage | Add-on de site / navegador | PC | Correspondência / lista negra de perfis | Precisão = 0,98 | sim |
SpoofGuard | Local na rede Internet | PC | Correspondência / padrão de perfil | TPR≈0,972,
Precisão≈0,67 |
Não |
PhishZoo | Local na rede Internet | PC | Correspondência / padrão de perfil | Precisão 0,96,
FPR≈0,01 |
Não |
B-APT | Local na rede Internet | PC | Aprendizado de máquina /
classificação |
Atraso no carregamento da página
≈ 51,05 ms, TPR≈1, FP≈0,03 |
Não |
PhishTester | Local na rede Internet | PC | Correspondência / padrão de perfil | FNR≈0,03, FPR≈0 | Não |
DOM AntiPhish | Local na rede Internet | PC | Correspondência / layout de perfil | FNR≈0, FPR≈0,16 | Não |
GoldPhish | Local na rede Internet | PC | Motores de busca | TPR≈0,98, FPR≈0,02 | Não |
PhishNet | Local na rede Internet | PC | Correspondência / lista negra de perfis | FNR≈0,05,
FPR≈0,03 |
Não |
PhorceField | Local na rede Internet | PC | Autenticação cliente-servidor | Bits de segurança perdidos por usuário = 0,2 | sim |
PassPet | Local na rede Internet | PC | Correspondência de perfil / histórico de uso | Segurança e Usabilidade | sim |
PhishGuard | Local na rede Internet | PC | Autenticação cliente-servidor | - | - |
PhishAri | Rede social | PC | Aprendizagem / classificação de máquina | Precisão = 0,95,
Recall = 0,92 |
sim |
MobiFish | Móvel | Smartphone | Correspondência / layout de perfil | TPR≈1 | Não |
AZ-proteger | Local na rede Internet | PC | Aprendizagem / classificação de máquina | Precisão = 0,97,
Recall = 0,96 |
Não |
eBay AG | Add-on de site / navegador | PC | Aprendizagem / classificação de máquina | Precisão = 1,
Recall = 0,55 |
Não |
Netcraft | Add-on de site / navegador | PC | Correspondência / lista negra de perfis | Precisão = 0,99,
Recall = 0,86 |
Não |
EarthLink | Add-on de site / navegador | PC | Correspondência / lista negra de perfis | Precisão = 0,99,
Recall = 0,44 |
Não |
Filtro IE | Add-on de site / navegador | PC | Correspondência / lista negra de perfis | Precisão = 1,
Recall = 0,75 |
Não |
FirePhish | Add-on de site / navegador | PC | Correspondência / lista negra de perfis | Precisão = 1,
Recall = 0,77 |
Não |
Sitehound | Add-on de site / navegador | PC | Correspondência / lista negra de perfis | Precisão = 1,
Recall = 0,23 |
Não |
Filtragem DNS
DNS é a camada na qual os botnets controlam os drones. Em 2006, a OpenDNS começou a oferecer um serviço gratuito para evitar que usuários entrem em sites de spoofing. Essencialmente, o OpenDNS reuniu um grande banco de dados de várias organizações anti-phishing e anti-botnet, bem como seus próprios dados para compilar uma lista de infratores conhecidos de falsificação de sites. Quando um usuário tenta acessar um desses sites nocivos, eles são bloqueados no nível do DNS . As estatísticas do APWG mostram que a maioria dos ataques de phishing usa URLs, não nomes de domínio, portanto, haveria uma grande quantidade de spoofing de sites que o OpenDNS não seria capaz de rastrear. No momento do lançamento, o OpenDNS não é capaz de evitar exploits de phishing não identificados que ficam no Yahoo, Google etc.
Veja também
- Spoofing de e-mail - Criação de spam de e-mail ou mensagens de phishing com identidade ou endereço de remetente forjado
- Site de notícias falsas - site que publica deliberadamente hoaxes e desinformação com o objetivo de serem notícias reais
- Fraude de login - técnicas usadas para roubar a senha de um usuário
- Phishing - ato de tentativa de adquirir informações confidenciais fingindo ser uma entidade confiável
- Ataque de spoofing - ataque cibernético em que uma pessoa ou programa se disfarça com sucesso por meio da falsificação de dados
- Falsificação de referenciador - prática em rede HTTP de envio intencional de informações de referenciador incorretas