Spoofing de IP: como ele funciona e como evitá-lo

Spoofing é um tipo específico de ataque cibernético no qual alguém tentar usar um computador, dispositivo ou rede para enganar outras redes de computadores ao se disfarçar como uma entidade legítima. Ele é uma das várias ferramentas que os hackers usam para obter acesso a computadores e minerar dados confidenciais, torná-los zumbis (computadores dominados para uso mal-intencionado), ou iniciar ataques de Negação de Serviço (DoS). Dos diferentes tipos de spoofing, o spoofing de IP é o mais comum.

O que é spoofing de IP?

Spoofing de IP, ou spoofing de endereço IP, diz respeito à criação de pacotes IP com um endereço IP de origem falsa para personificar outro sistema de computadores. Spoofing de IP permite que criminosos cibernéticos executem ações mal-intencionadas, frequentemente sem detecção. Isso pode incluir roubo dos seus dados, infecção do seu dispositivo com malware, ou uma pane no seu servidor.

Como spoofing de IP funciona

Vamos começar com algum contexto: os dados transmitidos pela Internet são inicialmente quebrados em vários pacotes e esses pacotes são enviados de forma independente e remontados no final. Cada pacote tem um cabeçalho IP com informações sobre o pacote, incluindo o endereço IP de origem e o endereço IP de destino.

No spoofing de IP, um hacker usa ferramentas para modificar o endereço de origem no cabeçalho do pacote e fazer com que o computador de destino ache que o pacote é de uma origem confiável, como outro computador em uma rede legítima, e assim o aceite. Isso ocorre no nível da rede. Portanto, não há sinais externos de violação.

Em sistemas que dependem de relacionamentos de confiança entre os computadores em rede, o spoofing de IP pode ser usado para contornar a autenticação de endereços IP. Um conceito às vezes referido como defesa "castelo e fosso", onde os que estão fora da rede são considerados ameaças e os que estão dentro do "castelo" são considerados confiáveis. Uma vez que um hacker viole a rede e entre nela, será fácil explorar o sistema. Devido a essa vulnerabilidade, a autenticação simples como uma estratégia de defesa está sendo progressivamente substituída por abordagens de segurança mais robustas, como autenticação de vários fatores.

Embora os criminosos cibernéticos usem spoofing de IP para executar fraudes online e roubar identidades ou derrubar sites e servidores corporativos, usos legítimos também podem ocorrer. Por exemplo, as organizações podem usar spoofing de IP ao testar sites antes de disponibilizá-los online. Isso poderia envolver a criação de milhares de usuários virtuais para testar o site e ver se ele pode lidar com um grande volume de logins sem ficar sobrecarregado. Spoofing de IP não é ilegal quando usado dessa forma.

Tipos de spoofing de IP

As três formas mais comuns de ataques de spoofing de IP são:

Ataques distribuídos de negação e serviço (DDoS)

Em um ataque DDoS, os hackers usam endereços IP falsificados para sobrecarregar servidores de computadores com pacotes de dados. Isso permite que eles reduzam a velocidade ou derrubem um site ou uma rede com grandes volumes de tráfego da Internet enquanto escondem suas identidades.

Dispositivos botnet de mascaramento

Spoofing de IP pode ser usado para obter acesso a computadores ao mascarar botnets. Uma botnet é uma rede de computadores que o hacker controla de uma origem única. Cada computador executa um bot dedicado, que executa atividade mal-intencionada em nome do perpetrador. Spoofing de IP permite que o perpetrador mascare a botnet porque cada bot na rede tem um endereço IP falsificado, tornando um desafio rastrear o ator mal-intencionado. Isso pode prolongar a duração de um ataque para maximizar o ganho.

Ataques man-in-the-middle

Outro método de spoofing de IP mal-intencionado usa um ataque "man-in-the-middle" para interromper a comunicação entre dois computadores, alterar os pacotes, e transmiti-los sem que o remetente original ou o destinatário saibam. Se os perpetradores falsificarem um endereço IP e obtiverem acesso a contas de comunicação pessoal, eles poderão rastrear qualquer aspecto dessa comunicação. De lá, é possível roubar informações, direcionar usuários para sites falsos, e muito mais. Ao longo do tempo, os hackers coletam uma grande quantidade de informações confidenciais que eles podem usar ou vender – o que significa que ataques man-in-the-middle podem ser mais lucrativos do que outros.

Exemplos de spoofing de IP

Um dos exemplos mais citados de ataque de spoofing de IP é o ataque de DDoS do GitHub em 2018. O GitHub é uma plataforma de hospedagem de código e, em fevereiro de 2018, ele foi atingido pelo que acreditava-se ser o maior ataque de DDoS já existente. Os perpetradores falsificaram o endereço IP do GitHub em uma ataque coordenado tão grande que derrubou o serviço por quase 20 minutos. O GitHub restabeleceu o controle ao redirecionar o tráfego através de um parceiro intermediário e limpar dados para bloquear partes mal-intencionadas.

Um exemplo anterior ocorreu em 2015 quando a Europol foi esmagada por um ataque man-in-the-middle em todo o continente. O ataque envolveu hackers interceptando solicitações de pagamento entre empresas e seus clientes. Os criminosos usaram spoofing de IP para obter acesso fraudulento a contas de email corporativas da organização. Em seguida, eles bisbilhotaram comunicações e interceptaram solicitações de pagamentos dos clientes – assim, eles puderam enganar esses clientes e fazer com que enviassem pagamentos a contas bancárias controladas por eles.

Spoofing de IP não é a única forma de spoofing de rede – há outros tipos, incluindo spoofing de emails, spoofing de sites, spoofing de ARP, spoofing de mensagens de texto e muito mais. Você pode ler o guia completo da Kaspersky para diferentes tipos de spoofing aqui.

Como detectar spoofing de IP

É difícil para os usuários finais detectar spoofing de IP, motivo pelo qual ele é tão perigoso. Isso ocorre porque ataques de spoofing de IP são executados nas camadas de rede – isto é, Camada 3 do modelo de comunicações OSI (Open System Interconnection). Isso não deixa sinais externos de violação – frequentemente, solicitações de conexão falsificadas podem parecer legítimas de fora.

No entanto, as organizações podem usar ferramentas de monitoramento de rede para analisar tráfego em endpoints. A filtragem de pacotes é a maneira mais comum de fazer isso. Sistemas de filtragem de pacotes – que estão frequentemente contidos em roteadores e firewalls – detectam inconsistências entre o endereço IP do pacote e os endereços IP desejados detalhados nas listas de controle de acesso (ACLs). Eles também detectam pacotes fraudulentos.

Os dois principais tipos de filtragem de pacotes são filtragem de entrada e filtragem de saída:

• A filtragem de entrada analisa os pacotes recebidos para verificar se o cabeçalho do IP de origem corresponde a um endereço de origem permitido. Quaisquer pacotes que pareçam suspeitos serão rejeitados.
• A filtragem de saída analisa os pacotes enviados para verificar os endereços IP de origem que não correspondem aos pertencentes à rede da organização. Isso foi projetado para evitar que pessoas internas iniciem ataques de spoofing de IP.

Como se proteger contra spoofing de IP

Ataques de spoofing de IP são projetados para esconder a verdadeira identidade dos perpetradores, dificultando a identificação deles. No entanto, algumas medidas anti-spoofing podem ser tomadas para minimizar o risco. Os usuários finais não podem evitar spoofing de IP, pois as equipes de servidor são responsáveis por prevenir spoofing de IP da melhor forma possível.

Proteção contra spoofing de IP para especialistas de TI:

A maioria das estratégias usadas para evitar spoofing de IP devem ser desenvolvidas e implantadas por especialistas de TI. As opções para proteger contra spoofing de IP incluem:

• Monitoramento de atividades atípicas nas redes.
• Implantação de filtragem de pacotes para detectar inconsistências (como pacotes enviados com endereços IP de origem que não correspondem aos pertencentes à rede da organização).
• Uso de métodos de verificação robustos (até mesmo entre computadores em rede).
• Autenticação de todos os endereços IP e uso de um bloqueador de ataques de rede.
• Instalação de pelo menos uma parte dos recursos computacionais atrás de um firewall. Um firewall ajudará a proteger a sua rede ao filtrar tráfego com endereços IP falsificados, verificar tráfego e bloquear acesso a pessoas externas não autorizadas.

Os desenvolvedores da Web são encorajados a migrar sites para IPv6, o protocolo IP mais recente. Ele dificulta fazer spoofing de IPs incluindo criptografia e etapas de autenticação. Uma grande parte do tráfego da Internet no mundo ainda usa o protocolo anterior, IPv4.

Proteção contra spoofing de IP para usuários finais:

Os usuários finais não podem evitar spoofing de IPs. Dito isso, praticar a higiene cibernética básica ajudará a potencializar sua segurança online. Precauções sensíveis incluem:

Certifique-se de que a sua rede doméstica esteja configurada de forma segura

Isso significa mudar os nomes de usuário e as senhas padrão em seu roteador doméstico e em todos os dispositivos conectados e garantir o uso de senhas fortes. Uma senha forte evita o óbvio e contém pelo menos 12 caracteres e uma mistura de letras maiúsculas e minúsculas, números e símbolos. Você pode ler o guia completo da Kaspersky para configurar uma rede doméstica segura aqui.

Tome cuidado ao usar uma rede Wi-Fi pública

Evite executar transações como compras ou bancárias em redes Wi-Fi públicas não seguras. Se você precisar usar hotspots públicos, maximize a sua segurança usando uma rede privada virtual ou VPN. Uma VPN criptografa a sua conexão de Internet para proteger os dados privados que você envia e recebe.

Certifique-se de que os sites que você visita sejam HTTPS

Alguns sites não criptografam dados. Sites que não têm certificados SSL atualizados são mais vulneráveis a ataques. Sites cujos URLs começam por HTTP em vez de HTTPS não são seguros – o que é um risco para os usuários que compartilham informações sensíveis com esse site. Certifique-se de usar sites HTTPS e procure o ícone de cadeado na barra de endereços do URL.

Fique atento a tentativas de phishing

Tome cuidado com emails de phishing de perpetradores que solicitam que você atualize a sua senha ou outras credenciais de login ou dados de cartões de pagamento. Emails de phishing são criados para parecer oriundos de organizações respeitáveis mas, na verdade, são enviados por golpistas. Evite clicar em links ou abrir anexos em emails de phishing.

Use um antivírus abrangente

A melhor maneira de permanecer seguro online é usando um antivírus de alta qualidade para proteger você contra hackers, vírus, malware e as últimas ameaças online. Também é essencial manter o seu software atualizado para garantir que ele esteja com os últimos recursos de segurança.

Produtos recomendados

• Kaspersky Anti-Virus
• Kaspersky Total Security
• Kaspersky Internet Security
• Kaspersky Password Manager
• Kaspersky Secure Connection

Mais leitura

• Como ocultar seu endereço IP
• O que é spoofing de DNS e como evitá-lo
• O que é spoofing de números de telefone
• O que é a privacidade de dados?