IP-spoofing: sådan virker det, og sådan undgår du det
Spoofing er en specifik slags cyberangreb, hvor man bruger en computer, enhed eller netværk til at narre andre computernetværk, ved at udgive sig for at være en legitim enhed. Det er et af de mange værktøjer, hackerne bruger til at skaffe sig adgang til andre computere og kapre følsomme data, forvandle dem til zombier (computere, som overtages til ondsindet brug) eller starte Denial-of-Service (DoS)-angreb. Blandt de mange forskellige typer af spoofing, er IP-spoofingen den mest almindelige.
Hvad er IP-spoofing?
IP-spoofing eller IP-adresse-spoofing betyder oprettelsen af Internet Protocol (IP)-pakker, med en falsk kilde- IP-adresse, som efterligner et andet computersystem. IP-spoofing lader cybersvindlerne udføre ondsindede handlinger, ofte uden at man opdager det. Det kan fx være at stjæle dine data, inficere din enhed med malware eller lægge din server ned.
Sådan virker IP-spoofing
Lad os starte med fundamentet: Data, der overføres over internettet, opdeles først i nogle pakker, som sendes uafhængigt af hinanden og samles igen. Hver pakke bruger en IP-header (Internet Protocol), der rummer oplysninger om pakken, som fxf kildens IP-adresse og destinationens IP-adresse.
Ved IP-spoofing, ændrer hackeren kildeadressen i pakkens header, så det modtagende computersystem tror, at pakken kommer fra en pålidelig kilde, som fx en anden computer på et legitimt netværk, og accepterer den. Det sker på netværksniveau, så der ses ingen ydre tegn på manipulation.
I de systemer, der er afhængige af tillidsforholdet mellem netværkets computere, kan IP-spoofing bruges til at omgå IP-adressegodkendelsen. Et koncept, der nogle gange omtales som ”borg og voldgrav”-forsvar. Det betyder, at alle, som er uden for netværket, betragtes som trusler, og alle, inde på ”slottet,” er venner. Når hackeren bryder ind i netværket og kommer indenfor, er det nemt at udforske systemet. På grund af denne sårbarhed, erstattes brugen af simpel autentificering, som forsvarsstrategi, i stigende grad af mere robuste sikkerhedstilgange, som fx flertrinsgodkendelse.
Mens cyberkriminelle ofte bruger IP-spoofing til at udføre svindel og identitetstyveri, over nettet, eller lukke virksomheders sider og servere ned med, kan der også bruges til helt legitime formål. Organisationer kan fx bruge IP-spoofing, når de tester deres hjemmeside, før de offentliggør dem. Så opretter man tusindvis af virtuelle brugere, der tester siden, så man kan se, om den kan håndtere masser af logins, uden at blive lagt ned. IP-spoofing er ikke ulovligt, når man bruger det på den måde.
Typer af IP-spoofing
De tre mest almindelige former for angreb med IP-spoofing er:
Distributed Denial of Service (DDoS)-angreb
Under et DDoS-angreb bruger hackerne falske IP-adresser til at overvælde serveren med datapakker. Dermed kan de bremse eller lægge en hjemmeside eller et netværk ned, med masser af trafik, mens de skjuler deres identitet.
Maskering af botnet-enheder
IP-spoofing kan bruges til at tilgå computere, ved at maskere botnets. Et botnet er et computernetværk, som hackeren styrer, via en enkelt kilde. Hver computer kører en dedikeret bot, som udfører ondsindet aktivitet for angriberen. IP-spoofing giver angriberen mulighed for at maskere botnettet, fordi hver bot, som er en del af netværket, har en spoofet IP-adresse, der gør det svært at spore svindleren. Det kan forlænge angrebet og maksimere udbyttet.
”Man-in-the-middle”-angreb
En anden ondsindet IP-spoofing bruger et ”man-in-the-middle”-angreb til at afbryde kommunikationen, mellem to computere, skifte pakkerne ud og sende dem videre, uden at den oprindelige afsender eller modtager ved det. Når angriberen forfalsker IP-adressen og får adgang til de personlige kommunikationskonti, kan de spore alt i kommunikationen. Derfra er det muligt at stjæle information, sende brugerne til falske hjemmesider og meget mere. Over tid, samler hackerne masser af fortrolige oplysninger, de bruger eller sælger – som betyder, at de såkaldte man-in-the-midten-angreb kan være væsentligt mere lukrative end andre.
Eksempler på IP-spoofing
Et af de hyppigst nævnte eksempler på IP-spoofing-angreb er GitHubs DDoS-angrebet, i 2018. GitHub er en hosting-platform til koder, og i februar 2018 blev den ramt af det, man mener, er det største DDoS-angreb nogensinde. Angriberne forfalskede GitHubs IP-adresse, i et koordineret angreb, der var så stort, at det lagde tjenesten ned i næsten 20 minutter. GitHub fik kontrollen tilbage, ved at sende trafikken via en mellemliggende partner og rense dataene for at stoppe svindlerne.
Et tidligere eksempel fandt sted i 2015, da Europol slog ned på et man-in-the-middle-angreb, der dækkede hele kontinentet. Angrebet involverede hackere, der opsnappede betalingsanmodninger mellem virksomhederne og deres kunder. Forbryderne brugte IP-spoofingen til at skaffe sig adgang til organisationens e-mailkonti. Så fik de fat i kommunikationen og opsnappede kundernes betalingsanmodninger – så de kunne narre dem til at sende pengene til nogle bankkonti, de kontrollerede.
IP-spoofing er ikke den eneste form for netværkspoofing – der findes også andre typer, som fx mail-spoofing, website-spoofing, ARP-spoofing, sms-spoofing og meget mere. Læs Kasperskys komplette oversigt over de forskellige former for spoofing her.
Sådan registrerer du IP-spoofing
Det er svært for slutbrugerne at registrere IP-spoofing, hvilket gør det ekstremt farligt. Det er fordi, at IP-spoof-angreb udføres i netværkslagene – dvs. det 3. lag i Open System Interconnections kommunikationsmodel. Det viser ikke nogen ydre tegn på manipulation – og ofte virker de forfalskede forbindelsesanmodninger helt legitime udefra.
Virksomhederne kan dog bruge netværkets overvågningsværktøjer til at analysere trafikken, ved slutpunkterne. Pakkefiltrering er den mest almindelige måde at gøre det på. Pakkefiltreringssystemer – som ofte er integeret i routere og firewalls – registrerer uoverensstemmelser mellem pakkens IP-adresse og den ønskede IP-adresser, der er angivet på adgangens kontrollister (ACL’er). De opdager også falske pakker.
De to hovedtyper pakkefiltrering er indgangs- og udgangsfiltrering:
- Indgangsfiltrering tjekker de indgående pakker og vurderer, om kildens IP-header matcher en tilladt kildeadresse. Alle pakker, der ser mistænkelige ud, bliver afvist.
- Udgangsfiltrering tjekker udgående pakker og kontrollerer kildens IP-adresser, der ikke matcher organisationens netværk. Det er designet til at forhindre insidere i at lancere IP-spoofing-angreb.
Sådan beskytter du dig mod IP-spoofing
Angreb med IP-spoofing-er designet til at skjule angribernes identitet, og gør dem svære at finde. Man kan dog gøre noget, mod spoofingen, som minimere risikoen. Slutbrugerne kan ikke forhindre IP-spoofingen, da det er personalet på serversiden, der skal stoppe IP-spoofing, så godt som muligt.
Beskyttelse mod IP-spoofing for IT-specialister
De fleste af de strategier, man bruges til at undgå IP-spoofing med, skal udvikles og implementeres af IT-specialister. Mulighederne for at sikre sig mod IP-spoofing omfatter:
- Netværksovervågning mht. atypisk aktivitet.
- Implementering af pakkefiltrering, som registerer uoverensstemmelser (som fx udgående pakker med kilde IP-adresser, der ikke matcher organisationens netværk).
- Brug af robuste verifikationsmetoder (også blandt netværkscomputerne).
- Godkendelse af alle IP-adresser og blokering af netværksangreb.
- At placere mindst en del af computerressourcerne bag en firewall. Firewallen beskytte netværket, ved at frafiltrere trafik med forfalskede IP-adresser, verificere trafik og blokere adgangen for uautoriserede eksterne parter.
Webdesignere opfordres til at migrere hjemmesider til IPv6, som er den nyeste internetprotokol. Det gør IP-spoofing sværere, ved at integere kryptering og godkendelsestrin. Meget af verdens internettrafik bruger stadig den gamle protokol, IPv4.
Beskyttelse mod IP-spoofing for slutbrugere:
Slutbrugere kan ikke forhindre IP-spoofing. Når det er sagt, hjælper god cyberhygiejne med at maksimere sikkerheden på nettet. Fornuftige forholdsregler omfatter:
Sørg for, at dit hjemmenetværk er sat sikkert op
Det betyder, at du skal ændre de typiske brugernavne og adgangskoder på hjemmets router og alle de tilsluttede enheder og sikre dig, at du bruger stærke adgangskoder. En stærk adgangskode undgår det åbenlyse og indeholder mindst 12 tegn samt en blanding af store og små bogstaver, tal og symboler. Læs Kasperskys komplette guide til opsætning af et sikkert hjemmenetværk her.
Vær forsigtig, når du bruger offentligt Wi-Fi
Undgå at udføre transaktioner, som fx shopping eller bankvirksomhed på usikre, offentlige Wi-Fi’s. Hvis du virkelig skal bruge offentlige hotspots, så maksimer sikkerheden ved at bruge et virtuelt privat netværk eller VPN. VPN’et krypterer din internetforbindelse og beskytter de private data, du sender og modtager.
Sørg for, at de sider, du besøger, er HTTPS
Nogle sider krypterer ikke data. Hvis siden ikke bruger et opdateret SSL-certifikat, er den mere sårbare over for angreb. Hjemmesider, hvis URL starter med HTTP, i stedet for HTTPS, er ikke sikre – og udgør en risiko for brugere, der deler følsomme oplysninger på den givne side. Sørg for, at du bruger HTTPS-sider, og kig efter hængelåse-ikonet i URL’ens adresselinje.
Vær opmærksom, når det gælder phishing-forsøg
Vær på vagt over for phishing-mails fra angribere, der beder dig om at opdatere din adgangskode, dine loginoplysninger eller betalingskortets data. Phishing-mails er designet, så de ligner dem, fra velrenommerede organisationer, men i virkeligheden har svindlerne sendt dem. Undgå at klikke på links eller åbne vedhæftede filer i phishing-mails.
Brug et godt antivirusprogram
Den bedste måde at sikre sig på nettet på, er at bruge et godt antivirusprogram, der beskytter dig mod hackere, vira, malware og de seneste onlinetrusler. Det er også vigtigt at holde programmet opdateret, så de altid har de nyeste sikkerhedsfunktioner.
Anbefalede produkter
- Kaspersky Anti-Virus
- Kaspersky Total Security
- Kaspersky Internet Security
- Kaspersky Password Manager
- Kaspersky Secure Connection
Læs mere her
IP-spoofing: sådan virker det, og sådan undgår du det
Kaspersky
