O que é Spoofing? Definição e exemplos

Spoofing é o ato de disfarçar uma comunicação ou ação como algo conhecido e confiável, induzindo o usuário a interagir com uma fonte desconhecida. Pode ocorrer em um nível mais superficial (como em emails e mensagens), ou mais técnico (como spoofing de DNS ou de IP). 

Na prática, o spoofing é usado por hackers para alcançar inúmeros objetivos, como conseguir informações confidenciais do alvo, ganhar acesso a ambientes digitais restritos para lançar ataques complexos (como o ransomware) e muito mais. 

Neste post, você vai entender melhor o que é spoofing, incluindo como ele funciona, seus tipos e como se proteger. 

Como é o ataque spoofing?

É possível cometer diversos tipos de crimes ao usar as informações obtidas por meio de atividades de spoofing. Nelas, um hacker ou cibercriminoso usa diferentes métodos para se passar por uma empresa ou outra pessoa.

Ele pode se apropriar do domínio de um email ou site para abordar uma possível vítima, ou ter acesso a protocolos de internet ou endereços de IP (que funcionam como uma identificação de computadores conectados à rede). Assim é possível ter acesso a aplicativos de uma pessoa, se apossar de seus dados confidenciais (sejam pessoais, sejam bancários) e até mesmo enviar mensagens em nome dela.

Este tipo de golpe não é novo, mas seus métodos e finalidades variam e aumentam a cada dia.

Quais são os perigos de um ataque de spoofing?

Com a posse de dados confidenciais, os criminosos podem realizar uma série de transações financeiras usando o nome da vítima de spoofing. Às vezes, essa transação pode ser feita com os dados vazados do cartão de crédito e, às vezes, eles podem se passar pela vítima para conseguir crédito, dinheiro de pessoas conhecidas ou fazer dívidas em seu nome.

Um spoofer também pode monitorar suas atividades, ter acesso às mensagens enviadas de seu dispositivo e até vender os dados que obtêm para outras empresas. 

Quais são os tipos de spoofing?

Agora que você já sabe o que é spoofing, é importante entender que esse tipo de ataque pode ocorrer de diversas formas, das mais simples às mais complexas. Confira as principais. 

Email spoofing

Provavelmente, o modelo mais famoso ocorre quando um atacante usa um email para enganar o destinatário, fazendo-o pensar que a mensagem veio de uma fonte confiável. Normalmente, isso é feito de duas formas: removendo o campo do remetente (de modo que não seja possível saber quem o enviou), ou disfarçando endereços conhecidos de remetentes desconhecidos. 

Por exemplo, um “l” minúsculo e um “I” maiúsculo, são praticamente impossíveis de identificar no endereço de um remetente. Esse tipo de mensagem também pode ser enviado por SMS (conhecido como “smishing”), mensagens em redes sociais e outros canais. 

Site spoofing 

O spoofing de um site ocorre quando um atacante usa elementos de uma página conhecida para criar uma cópia parecida ou praticamente idêntica, muitas vezes exibida dentro de um contexto que faça sentido. 

A ideia é que a vítima coloque algumas de suas informações no site, de modo que sejam interceptadas pelo atacante. 

IP Spoofing 

O spoofing de IP é um dos ataques mais sofisticados, procurando imitar um ponto mais técnico. Provavelmente é um tipo de ataque que o usuário nem vê, já que o objetivo é enganar o sistema em si. 

Por exemplo, uma rede pode ser configurada para autenticar usuários de acordo com o seu endereço de IP. Se o atacante conseguir disfarçar o IP e enganá-la, o acesso é facilmente liberado. 

DNS Spoofing

A ideia do spoofing de DNS é semelhante ao anterior. Se você não conhece, o DNS (Domain Name Server ou Servidor de Nome de Domínio) é um sistema que ajuda a traduzir endereços de sites em IPs. Com o spoofing de DNS, os atacantes conseguem enganar o sistema e redirecionar o tráfego para um IP controlado por eles. 

Para ficar mais claro, imagine que o DNS são as placas nas ruas, que indicam para onde o motorista precisa ir. Com o spoofing, um criminoso “troca” as placas, com o objetivo de levar os motoristas para onde ele quiser. 

Spoofing Facial

Essa é uma vertente diferente do spoofing, com um princípio semelhante. Cada vez mais, os modelos de reconhecimento facial se popularizam (para destravar smartphones, por exemplo). Para isso, é comum usar fotos ou vídeos da pessoa, com o objetivo de enganar o sistema e fingir que ela está lá. 

Uma inteligência artificial é capaz de identificar se é uma pessoa que está tentando acessar aquele sistema ou não. 

Spoofing em redes sociais

O Telegram, WhatsApp, Instagram e qualquer outro serviço online da mesma categoria também pode ser usado como veículo para a prática de spoofing. 

Nesses casos, a vítima tem sua conta invadida e os cibercriminosos utilizam seu perfil ou conta para entrar em contato com amigos ou familiares. Geralmente, essas pessoas simulam alguma situação de emergência para pedir dinheiro ou fazem publicações anunciando produtos à venda que não existem.

Spoofing telefônico

As ligações do chamado spoofing telefônico podem acontecer quando alguém se passa por uma empresa ou instituição por telefone. 

Isso geralmente acontece por meio de um serviço chamado VoIP (Voice over Internet Protocol), usado para transmitir chamadas online e falsificar o número ou nome a ser exibido no identificador de chamadas. 

Por isso, desconfie quando o seu celular mostrar uma chamada com um determinado nome, mas perceber que é de outro lugar quando atender.

Qual é a diferença entre spoofing e phishing?

Essa é uma dúvida comum e, muitas vezes, os termos são usados como sinônimos, mas esse não é o caso. A confusão existe porque ambos os ataques são muito usados em conjunto. 

O phishing é uma tática com o objetivo de roubar os seus dados, normalmente informações de login ou dados sensíveis, como bancários. Para isso, os criminosos usam técnicas de spoofing. 

Um exemplo pode ser conferido no email abaixo. 

Este email representa uma tentativa de phishing conciliada ao spoofing, pois o criminoso que o enviou quer se passar por uma fonte oficial e conhecida, levando o usuário a uma página controlada por ele para roubar os seus dados.

Enquanto o spoofing e phishing são classificados como ciberataques diferentes, o phishing sempre depende do spoofing para ser efetivo.

Como detectar um spoofing?

Detectar um spoofing é possível, mas não necessariamente fácil. Contudo, existem alguns sinais que podem ajudar a identificar esse tipo de ataque. 

• Observe erros de português nas mensagens. Podem ser erros gramaticais mais graves, como palavras erradas, ou mais sutis, como certas inconsistências ou estruturas estranhas;
• Adote o hábito de sempre verificar os links que você está clicando ou o endereço de email de remetentes. Procure por qualquer mudança fora do comum, por menor que seja. Olhe principalmente para o domínio. Nos smartphones, você pode colocar o seu dedo no link por alguns segundos, para que seja aberta uma janela de prévia do conteúdo, assim como o link;
• Fique atento se o seu navegador não preenche as suas informações automaticamente, especialmente em um site que você acessa com frequência. Isso é um indício de que você pode nunca ter acessado aquela página;
• Informações confidenciais, como números do cartão de crédito, senhas e CPF (Cadastro de Pessoa Física) devem ser compartilhadas apenas em sites seguros e criptografados usando o HTTPS no início da URL. Ele representa um protocolo de comunicação da Internet que protege os dados entre o computador e o site.
• Mais uma boa dica é fazer uma busca pelo conteúdo do email em si no Google. Se for um golpe já conhecido, você provavelmente irá encontrá-lo. 
• Use o verificador de links do dfndr lab. Essa é uma ferramenta gratuita, que diz em poucos segundos se um link é confiável ou não. 

Como se proteger de um spoofing? 

Mesmo com todas as dicas acima, se proteger não é fácil. O grande problema é que uma pessoa dificilmente conseguirá observar esses detalhes no dia a dia, e é com esta vantagem que os hackers estão contando. 

Imagine alguém que está passando por um dia extremamente cheio, fazendo mil coisas ao mesmo tempo, e recebe um email com essas mudanças sutis. A chance da pessoa parar para olhar e detectar esses erros é muito pequena. Os hackers sabem que é praticamente impossível estar atento 100% do tempo. 

É claro que o ideal é não clicar em links desconhecidos ou em anexos vindos de emails que você não tem certeza de onde vieram. Porém, como já mencionamos ao longo do post, o propósito do spoofing é justamente disfarçar esses ataques em algo confiável. 

Outro grande problema das empresas modernas é subestimar os hackers. Os ataques não são mais feitos por uma única pessoa usando capuz, em um porão escuro. Existe muita organização por trás, resultando em ataques extremamente sofisticados e muito difíceis de identificar, como vimos nos exemplos acima. 

Uma opção é evitar clicar em links diretos. Por exemplo, se você recebe um email, um SMS (Serviço de Mensagens Curtas) ou uma ligação do seu banco, avisando sobre algum problema, evite clicar no link. Acesse o site direto ou o app para confirmar a informação. 

Nos casos que envolvem invasões de redes sociais ou clonagem de linhas telefônicas, é importante se precaver ao optar pela verificação em duas etapas. Diversos aplicativos já disponibilizam esta opção em seu menu para potencializar sua segurança.

Ao criar fases extras para seu login em aplicativos de comunicação, um spoofer não terá acesso ao seu histórico de mensagens (mesmo que tenha acesso ao código de confirmação necessário para fazer o login) e certamente encontrará mais dificuldade para invadir sua conta.

Por fim, é importante usar alguma solução de segurança em seu computador para ter certeza de que as páginas que você acessa são realmente confiáveis. Um software baseado em inteligência artificial terá mais recursos disponíveis para avaliar a segurança da sua rede, bloquear possíveis ameaças e proteger seu dispositivo antes mesmo que possa ser alvo de algum ataque.

Gostou desse post? Agora que você já sabe o que é spoofing e como se proteger dele, aproveite para assinar nossa newsletter. Assim, você pode ter acesso a mais dicas de segurança em primeira mão, diretamente no seu email.