Spoofing là gì? Cách phát hiện và phòng chống Spoofing

Các hình thức tấn công giả mạo đang ngày càng phổ biến và chúng được phát triển dưới nhiều hình thức, trong đó có Spoofing. Vậy Spoofing là gì? Tìm hiểu về các loại spoofing phổ biến và cách phòng tránh hiệu quả trong bài viết chi tiết này.

trangtran.c98

Published Jun 11 2024

Updated Jul 05 2024

9 min read

Spoofing là gì?

Spoofing là hình thức giả mạo để đánh lừa hệ thống hoặc người dùng, khiến họ tin rằng thông tin đến từ một nguồn đáng tin cậy. Nó là một thuật ngữ phổ biến trong công nghệ thông tin và an ninh mạng.

Spoofing có thể xảy ra dưới nhiều hình thức khác nhau, bao gồm giả mạo địa chỉ IP, email, DNS và nhiều loại khác.

4 hình thức Spoofing phổ biến

Giả mạo địa chỉ IP

IP spoofing là kỹ thuật giả mạo địa chỉ IP để giấu danh tính của kẻ tấn công hoặc làm cho nó trông như các gói tin đến từ một nguồn đáng tin cậy. Đây là một phương pháp phổ biến trong các cuộc tấn công từ chối dịch vụ (DDoS) và tấn công man-in-the-middle.

Nhận diện IP Spoofing:

Kiểm tra log của firewall và router để phát hiện các hoạt động bất thường. Ví dụ, một lượng lớn các gói tin đến từ cùng một địa chỉ IP nhưng từ các vị trí địa lý khác nhau có thể là dấu hiệu của IP Spoofing.
Sử dụng công cụ phát hiện tấn công mạng (IDS/IPS) để nhận diện các gói tin có nguồn gốc giả mạo.
Sử dụng công cụ phân tích log như Splunk hoặc ELK Stack (Elasticsearch, Logstash, Kibana) để phân tích và tìm kiếm các mẫu đáng ngờ trong log mạng.

Bảo vệ trước IP Spoofing:

Kích hoạt RPF trên router để ngăn chặn các gói tin có địa chỉ IP giả mạo. RPF là kỹ thuật mà router kiểm tra xem đường đi ngược của một gói tin có tương ứng với bảng định tuyến của nó hay không. Nếu không, gói tin sẽ bị loại bỏ.
Cập nhật phần mềm và firmware nhằm đảm bảo rằng tất cả các thiết bị mạng, bao gồm router, switch và firewall, luôn được cập nhật với các bản vá bảo mật mới nhất.
Sử dụng các công cụ giám sát mạng như Nagios, Zabbix hoặc SolarWinds để theo dõi lưu lượng mạng và phát hiện các hoạt động bất thường.
Sử dụng ACLs trên router và firewall để lọc và kiểm soát lưu lượng mạng dựa trên địa chỉ IP nguồn và đích.

Ví dụ về cấu hình ACL trên Cisco Router:

access-list 100 deny ip 192.168.1.0 0.0.0.255 any
access-list 100 permit ip any any
interface FastEthernet0/0
ip access-group 100 in

Giả mạo Email

Email spoofing là hành động giả mạo địa chỉ email người gửi nhằm lừa người nhận tin rằng email đó đến từ một nguồn đáng tin cậy. Tin tặc thường sử dụng phương pháp này để gửi các email lừa đảo (phishing), nhằm đánh cắp thông tin cá nhân hoặc cài đặt phần mềm độc hại.

Dấu hiệu nhận biết Email Spoofing:

Kiểm tra kỹ địa chỉ email gửi đến, đặc biệt là tên miền. Ví dụ: thay vì [email protected], họ có thể dùng [email protected].
Một dấu hiệu chắc chắn của email spoofing là khi tên miền không khớp với tổ chức mà email tuyên bố đại diện. Hãy kiểm tra kỹ phần sau dấu @ trong địa chỉ email.
Xác minh nội dung email, tránh nhấp vào liên kết hoặc tải tệp đính kèm từ các email không rõ nguồn gốc. Tránh các email có tiêu đề đáng ngờ như "Bạn đã trúng thưởng!" hoặc "Thông báo quan trọng từ ngân hàng của bạn".
Phần header của email chứa thông tin chi tiết về đường đi của email từ người gửi đến người nhận. Đây là nơi mà những chi tiết “đáng ngờ” thường bị bỏ qua.

Phòng chống Email Spoofing:

Sử dụng bộ lọc email để chặn các email không rõ nguồn gốc.
- MXToolbox: Kiểm tra header của email và cung cấp thông tin chi tiết.
- MailTester: Kiểm tra và phân tích các yếu tố bảo mật của email.
Các công cụ xác thực như SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) và DMARC (Domain-based Message Authentication, Reporting & Conformance) để xác minh tính xác thực của email.

Xem thêm: Làm gì khi bị tấn công phishing trong Crypto?

giả mạo email spoofing — Giả mạo Email Spoofing

Giả mạo DNS

DNS spoofing, hay còn gọi là DNS cache poisoning, là việc giả mạo dữ liệu DNS để chuyển hướng người dùng đến các trang web giả mạo. Kết quả là người dùng có thể bị lừa truy cập vào các trang web độc hại, nơi thông tin cá nhân của họ có thể bị đánh cắp.

mô hình tấn công dns spoofing — Mô hình tấn công DNS Spoofing

Phát hiện DNS Spoofing:

Kiểm tra địa chỉ IP của website trước khi truy cập.
Sử dụng các công cụ kiểm tra DNS: DNSSEC Validator, dnstwist
Sử dụng công cụ giám sát mạng và phân tích lưu lượng DNS
Sử dụng công cụ dòng lệnh (Command Prompt hoặc Terminal): Thực hiện lệnh nslookup hoặc dig”
- Trên Windows: Mở Command Prompt.
- Trên macOS/Linux: Mở Terminal.

Ngăn chặn DNS Spoofing

Kích hoạt DNSSEC (Domain Name System Security Extensions) để bảo vệ dữ liệu DNS: DNSSEC Analyzer, DNSViz.
Cập nhật hệ thống DNS và các thiết bị mạng để vá các lỗ hổng bảo mật.
Sử dụng các dịch vụ DNS từ các nhà cung cấp uy tín, chẳng hạn như Google Public DNS, OpenDNS, hoặc Cloudflare DNS. Các nhà cung cấp này thường có các biện pháp bảo mật mạnh mẽ chống lại DNS Spoofing.
Kiểm tra chứng chỉ SSL/TLS của trang web. Các trang web hợp pháp thường sử dụng chứng chỉ từ các tổ chức cấp chứng chỉ uy tín.

Giả mạo số điện thoại hiển thị trên thiết bị nhận cuộc gọi (Caller ID Spoofing)

Caller ID spoofing là việc giả mạo số điện thoại hiển thị trên thiết bị của người nhận cuộc gọi, khiến họ tin rằng cuộc gọi đến từ một người hoặc tổ chức đáng tin cậy. Kẻ tấn công thường sử dụng phương pháp này để thực hiện các cuộc gọi lừa đảo, yêu cầu thông tin cá nhân hoặc tài chính.

Phát hiện Caller ID Spoofing:

Sử dụng ứng dụng chặn cuộc gọi không mong muốn và xác minh số điện thoại.
Kiểm tra thông tin người gọi trước khi cung cấp bất kỳ thông tin cá nhân nào.
Cảnh giác với các cuộc gọi yêu cầu cung cấp thông tin cá nhân, tài chính, hoặc mật khẩu. Các tổ chức hợp pháp thường không yêu cầu thông tin này qua điện thoại.
Các cuộc gọi yêu cầu hành động khẩn cấp hoặc đưa ra các lời đe dọa để buộc bạn cung cấp thông tin hoặc tiền bạc có thể là dấu hiệu của Caller ID Spoofing.

Ngăn chặn Caller ID Spoofing:

Sử dụng các trang web hoặc dịch vụ trực tuyến như Whitepages, Spokeo hoặc Truecaller để tra cứu thông tin về số điện thoại gọi đến.
Kiểm tra lịch sử cuộc gọi để xem có nhiều cuộc gọi từ cùng một số điện thoại trong một khoảng thời gian ngắn hay không. Điều này có thể chỉ ra hoạt động Spoofing.
Cẩn thận với các cuộc gọi từ số điện thoại quốc tế mà bạn không mong đợi. Các kẻ tấn công thường sử dụng số điện thoại quốc tế để thực hiện Caller ID Spoofing.

Một số trường hợp Spoofing trong thực tế

Trong những năm gần đây, tội phạm mạng đã sử dụng nhiều phương pháp spoofing khác nhau để lấy thông tin nhạy cảm từ cá nhân và tổ chức, thậm chí nhắm vào các cơ quan chính phủ như GRU và WHO.

Vào năm 2018, cơ quan tình báo quân sự Nga GRU đã thuê bảy đặc vụ Nga để tiến hành các cuộc tấn công Spoofing nhằm vào Tổ chức Cấm Vũ khí Hóa học (OPCW).

Các đặc vụ này đã cố gắng xâm nhập thông tin đăng nhập và thâm nhập vào các tài khoản. Tuy nhiên, trước khi họ kịp thành công, họ đã bị phát hiện sau khi gửi các email spear-phishing và sử dụng máy chủ proxy, phần mềm độc hại cùng các danh tính giả mạo.

Khi đại dịch COVID-19 toàn cầu bắt đầu vào tháng 3/2020, Tổ chức Y tế Thế giới (WHO) cũng trở thành mục tiêu của một cuộc tấn công spoofing.

Những kẻ tấn công đã kích hoạt một trang web độc hại, sao chép hệ thống email nội bộ của WHO, nhằm đánh cắp mật khẩu của nhân viên WHO và thu thập thông tin nhạy cảm về COVID-19, bao gồm thông tin về xét nghiệm, vắc-xin và phương pháp điều trị.

Các tài khoản từ người nổi tiếng bị tội phạm mạng chiếm đoạt và đăng tweet giả mạo

Trong cùng năm đó, một cuộc tấn công lớn vào mạng xã hội X đã cho phép nhiều tội phạm mạng chiếm đoạt tài khoản của những người dùng nổi tiếng để quảng cáo cho các khoản đầu tư vào tiền mã hóa, giả danh các nhân vật nổi tiếng để yêu cầu chuyển Bitcoin.

Những kẻ tấn công đã sử dụng các chiến thuật kỹ thuật xã hội đối với nhân viên X và các phương pháp spoofing, thu về hơn 100,000 USD. Cuộc tấn công này đã khơi dậy các cuộc thảo luận về các biện pháp bảo mật của chính nền tảng mạng xã hội này.

Xem thêm: Tips bảo vệ crypto khỏi tấn công phủi bụi, giả mạo, mã độc.