BetaSPFWise jest w wersji Beta, a wszystkie funkcje są bezpłatne do jej zakończenia. Więcej informacji otrzymasz po rejestracji.
security

Phishing a spoofing: na czym polega różnica?

Spoofing to technika fałszowania tożsamości nadawcy, a phishing to oszustwo, które ona umożliwia. Ten przewodnik wyjaśnia różnicę, punkty wspólne oraz to, jakie zabezpieczenia powstrzymują każde z tych zagrożeń.

5 lip 20268 min czytania

Spoofing i phishing bywają używane tak, jakby znaczyły to samo, ale opisują dwie różne części ataku. Spoofing to technika fałszowania tożsamości nadawcy, tak aby wiadomość wyglądała, jakby pochodziła od kogoś innego, niż w rzeczywistości. Phishing to cel polegający na nakłonieniu człowieka do przekazania danych logowania, zatwierdzenia płatności lub kliknięcia złośliwego odnośnika. Jedno jest przebraniem, drugie oszustwem, a wiedza o tym, z którym zagrożeniem masz do czynienia, mówi ci dokładnie, jakie zabezpieczenia wdrożyć.

Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.

Podstawowe rozróżnienie

Potraktuj spoofing jako fałszerstwo, a phishing jako oszustwo. Sfałszowana wiadomość niesie podrobioną tożsamość nadawcy w jednym lub kilku miejscach: w widocznym nagłówku From, w nadawcy koperty, w nazwie wyświetlanej lub w łudząco podobnej domenie. Spoofing sam w sobie nie wymaga, aby odbiorca dał się zwieść i podjął jakieś działanie. To czysta podszywka na poziomie technicznym.

Phishing to rezultat, o który atakującemu naprawdę chodzi. Wiadomość phishingowa wykorzystuje socjotechnikę, aby skłonić cię do działania wbrew własnemu interesowi: do wpisania hasła na fałszywej stronie logowania, przelania pieniędzy na nowe konto lub otwarcia załącznika instalującego złośliwe oprogramowanie. Phishing może się powieść ze spoofingiem lub bez niego. Atakujący może zarejestrować paypa1-security.com, wysłać wiadomość z w pełni uwierzytelnionej skrzynki w tej domenie i mimo to przeprowadzić przekonującą kampanię, ponieważ oszustwo tkwi w treści wiadomości i w celu docelowym, a nie w sfałszowanym nagłówku.

CechaSpoofingPhishing
Czym jestTechniką fałszowania tożsamości nadawcyCelem: oszustwem opartym na zwiedzeniu
WarstwaTechniczna (nagłówki, domena, IP)Ludzka (socjotechnika)
Czy wymaga działania ofiary?NieTak
Główna obronaUwierzytelnianie poczty (SPF, DKIM, DMARC)Szkolenia, filtrowanie treści, MFA
PrzykładPoczta pozornie od ceo@yourbank.comE-mail nakłaniający do resetu hasła na fałszywej stronie

Gdzie się pokrywają

W praktyce oba zjawiska nieustannie się przenikają, ponieważ spoofing zwiększa skuteczność phishingu. Jeśli atakujący potrafi umieścić w polu From dokładną domenę twojego banku, wiadomość phishingowa dziedziczy zaufanie, jakim już darzysz tę markę. Spoofing domeny to środek dostarczenia, a phishing to ładunek.

Klasyczny atak typu business email compromise łączy oba te elementy. Atakujący fałszuje adres From członka zarządu firmy, a następnie wysyła do pracownika działu finansów pilne żądanie zmiany danych bankowych dostawcy lub zrealizowania przelewu. Spoofing dostarcza wiarygodności, a wiadomość phishingowa dostarcza oszukańczej instrukcji. Krok po kroku scenariusz obrony właśnie dla tej sytuacji znajdziesz w liście kontrolnej dotyczącej business email compromise.

Nie każdy atak phishingowy opiera się jednak na spoofingu. Atakujący coraz częściej wykorzystują domeny bliźniacze (łudząco podobne, takie jak rn zamiast m), przejęte legalne konta lub darmowe adresy poczty internetowej z jedynie sfałszowaną nazwą wyświetlaną. Takie techniki całkowicie omijają uwierzytelnianie na poziomie domeny, ponieważ domena wysyłająca jest technicznie prawdziwa, i właśnie dlatego phishing wymaga szerszej obrony niż spoofing.

Rodzaje spoofingu, z jakimi się spotkasz

Spoofing to nie jedna sztuczka. W poczcie pojawia się kilka różnych fałszerstw:

  • Spoofing dokładnej domeny. Nagłówek From pokazuje twoją prawdziwą domenę, you@yourcompany.com. To właśnie ten rodzaj miało powstrzymywać uwierzytelnianie poczty.
  • Spoofing nazwy wyświetlanej. Pole From brzmi Your CEO <attacker@gmail.com>. Domena nie jest twoja, więc uwierzytelnianie przechodzi pomyślnie dla prawdziwej domeny atakującego, a fałszerstwo tkwi wyłącznie w przyjaznej nazwie, którą większość programów pocztowych wyświetla domyślnie.
  • Domeny bliźniacze lub łudząco podobne. Zarejestrowana domena przypominająca twoją, na przykład yourcompany-support.com lub yourcornpany.com. Uwierzytelnianie przechodzi pomyślnie, ponieważ atakujący kontroluje tę domenę.
  • Spoofing koperty. Ukryty nadawca koperty (MAIL FROM, zwany też Return-Path) różni się od widocznego From. To kontrola dopasowania (alignment) w DMARC wychwytuje tę niezgodność.

Pełniejsze omówienie tego, jak konstruuje się i wykrywa sfałszowane nagłówki, znajdziesz w artykule czym jest email spoofing.

Które zabezpieczenia odpowiadają na które zagrożenie

Tu właśnie rozróżnienie okazuje się przydatne. Ponieważ spoofing jest techniczny, walczysz z nim za pomocą środków technicznych. Ponieważ phishing jest ludzki, walczysz z nim za pomocą środków skierowanych na człowieka i treść. Żaden z tych zestawów nie pokrywa w pełni drugiego.

Zabezpieczenia powstrzymujące spoofing domeny

Uwierzytelnianie poczty to odpowiedź na spoofing dokładnej domeny, której jesteś właścicielem. Wspólnie działają trzy rekordy:

  • SPF publikuje w rekordzie DNS TXT adresy IP i hosty uprawnione do wysyłania w imieniu twojej domeny. Odbiorcy sprawdzają względem niego nadawcę koperty. SPF dopuszcza najwyżej 10 zapytań DNS podczas weryfikacji; jeśli przekroczysz ten limit, kontrola zwraca PermError, który odbiorcy zwykle traktują jak niepowodzenie uwierzytelniania.
  • DKIM dołącza do każdej wiadomości kryptograficzny podpis przy użyciu klucza prywatnego, a odbiorcy weryfikują go względem klucza publicznego (obecnie zalecana siła to 2048 bitów) opublikowanego w selektorze takim jak selector1._domainkey.yourdomain.com. Prawidłowy podpis dowodzi, że podpisane części wiadomości nie zostały zmienione w tranzycie i faktycznie pochodzą z domeny podpisującej.
  • DMARC wiąże obie techniki ze sobą poprzez dopasowanie (alignment). Wymaga, aby domena z widocznego nagłówka From zgadzała się z domeną zweryfikowaną przez SPF lub DKIM, i mówi odbiorcom, co zrobić w razie niepowodzenia, poprzez swoją politykę: p=none (tylko monitorowanie), p=quarantine (wysłanie do spamu) lub p=reject (całkowite zablokowanie). Dopiero egzekwowana polityka quarantine lub reject realnie powstrzymuje pocztę fałszującą twoją domenę w polu From.

Opublikowany i egzekwowany DMARC jest pojedynczo najskuteczniejszym środkiem przeciwko komuś, kto fałszuje twoją dokładną domenę. Nie powstrzymuje domen łudząco podobnych, spoofingu nazwy wyświetlanej z obcych domen ani przejętych legalnych kont, ponieważ w każdym z tych przypadków domena wysyłająca nie jest twoja, a jej własne uwierzytelnianie przechodzi bez zarzutu. To ograniczenie jest na tyle istotne, że omawiamy je szczegółowo w artykule czy DMARC powstrzymuje phishing. Jeśli nie masz jeszcze opublikowanej polityki, zacznij od jak skonfigurować DMARC, a aby zablokować podszywanie się pod twoją własną domenę, przewodnik jak zatrzymać spoofing e-mail twojej domeny prowadzi przez ścieżkę egzekwowania.

Zabezpieczenia szeroko odpowiadające na phishing

Ponieważ phishing może dotrzeć bez jakiegokolwiek spoofingu domeny, potrzebujesz warstw, które badają intencję i zachowanie, a nie tylko tożsamość:

  1. Szkolenie świadomości użytkowników. Ludzie potrafiący rozpoznać sygnały pilności, niepasujące odnośniki i nietypowe żądania płatności wychwytują phishing, którego uwierzytelnianie nigdy nie zauważy. To główna obrona przed atakami na nazwę wyświetlaną i domeny bliźniacze.
  2. Filtrowanie treści i adresów URL. Bezpieczne bramy pocztowe skanują odnośniki, załączniki i wzorce wiadomości, przepisując lub izolując w piaskownicy podejrzane adresy URL niezależnie od tego, czy nadawca się uwierzytelnił.
  3. Uwierzytelnianie wieloskładnikowe. Nawet gdy phishing skutecznie wykradnie hasło, MFA blokuje atakującemu jego użycie, przerywając najczęstszy skutek phishingu danych logowania.
  4. Kontrole weryfikacji płatności. Potwierdzenie poza kanałem (out-of-band) dla każdej zmiany danych bankowych udaremnia odmianę business email compromise, nawet gdy wiadomość wygląda nienagannie.

Uwierzytelnianie i obrona skierowana na człowieka są komplementarne, a nie zamienne. DMARC eliminuje najłatwiejszą i najbardziej przekonującą formę podszywania się, co zawęża opcje atakującego i zmusza go do słabszych, łatwiejszych do wykrycia taktyk. Wszystko poza tym należy do szkoleń, filtrowania i procesów.

Szybki przewodnik decyzyjny

  • Jeśli ktoś fałszuje twoją dokładną domenę, opublikuj i egzekwuj DMARC. Najpierw zweryfikuj SPF, DKIM i dopasowanie.
  • Jeśli ktoś używa domeny łudząco podobnej lub bliźniaczej, rozważ zarejestrowanie popularnych wariantów i monitoruj nowe rejestracje. DMARC na twojej własnej domenie tu nie pomoże.
  • Jeśli atak polega wyłącznie na nazwie wyświetlanej z obcej domeny, polegaj na regułach bramy i szkoleniu użytkowników.
  • Jeśli celem jest oszukańcza płatność, dodaj weryfikację poza kanałem oraz MFA, niezależnie od tego, jak poczta się uwierzytelniła.

Wiedza o tym, czy masz do czynienia z problemem spoofingu, czy phishingu, mówi ci, którą dźwignię pociągnąć. Większość rzeczywistych incydentów obejmuje oba, więc dojrzałe programy prowadzą uwierzytelnianie i obronę skierowaną na człowieka równolegle, zamiast traktować którekolwiek z nich jako wystarczające samo w sobie.

Najczęściej zadawane pytania

Czy spoofing to rodzaj phishingu?

Nie, ale często występują razem. Spoofing to technika fałszowania tożsamości nadawcy, natomiast phishing to oszukańczy cel polegający na zwiedzeniu odbiorcy. Atakujący często fałszują zaufaną domenę, aby wiadomość phishingowa była bardziej wiarygodna, ale każde z tych zjawisk może wystąpić bez drugiego.

Czy DMARC powstrzymuje phishing?

DMARC powstrzymuje spoofing dokładnej domeny, którą kontrolujesz, co eliminuje jeden potężny wektor phishingu. Nie powstrzymuje phishingu wykorzystującego domeny łudząco podobne, samego fałszerstwa nazwy wyświetlanej z obcych domen ani przejętych legalnych kont, dlatego musi być połączony ze szkoleniem użytkowników i filtrowaniem.

Czy e-mail może przejść SPF i DKIM i nadal być phishingiem?

Tak. Jeśli atakujący wysyła wiadomość z domeny, którą legalnie kontroluje, na przykład ze świeżo zarejestrowanej domeny bliźniaczej, jego własne rekordy SPF i DKIM przechodzą pomyślnie. Uwierzytelnianie dowodzi, że wiadomość pochodzi z tej domeny; nie dowodzi, że nadawca jest uczciwy, i właśnie dlatego obrona na poziomie treści pozostaje niezbędna.

Jaka jest różnica między spoofingiem a podszywaniem się?

Spoofing to podzbiór podszywania się realizowany w warstwie technicznej, na przykład poprzez fałszowanie nagłówka From lub nadawcy koperty. Szersze podszywanie się obejmuje również taktyki nietechniczne, takie jak sztuczki z nazwą wyświetlaną czy domeny bliźniacze, które nie fałszują żadnego uwierzytelnionego pola.

Chcesz wiedzieć, czy twoja własna domena może zostać sfałszowana już teraz? Uruchom darmowy skan SPFWise, aby sprawdzić rekordy SPF, DKIM i DMARC, potwierdzić dopasowanie i zobaczyć, czy twoja polityka jest faktycznie egzekwowana, czy nadal tkwi na p=none.

Sprawdź własną domenę

Uruchom darmowe skanowanie i uzyskaj swoją ocenę wraz z dokładnymi rekordami do poprawienia.

Skanuj domenę

Powiązane poradniki