Spoofing je obecný název pro situaci, kdy se útočník technicky „převlékne“ za někoho jiného – banku, kolegu, webovou stránku nebo dokonce jiný počítač v síti. Cílem je vzbudit důvěru, obejít zabezpečení a donutit oběť udělat něco, co by za normálních okolností neudělala – kliknout, zadat heslo, potvrdit platbu.

Co je spoofing obecně

V kyberbezpečnosti se pod pojmem spoofing skrývá řada technik, při nichž útočník falšuje identitu – může podvrhnout telefonní číslo, e-mailovou adresu, webovou doménu nebo třeba IP adresu v síti. Společným jmenovatelem je snaha tvářit se jako důvěryhodný subjekt a tím obejít jak technické ochrany, tak přirozenou opatrnost uživatelů.

Spoofing se objevuje v souvislosti s phishingem, vishingem (podvodné telefonáty), smishingem (podvodné SMS), ale i s technickými útoky typu man-in-the-middle nebo DDoS. Ve velké části případů je spoofing jen „první krok“ – prostředek, jak se dostat blíž k oběti.

Hlavní oblasti, kde se spoofing používá

1. Telefonní spoofing – podvržení volajícího čísla

Nejviditelnější je spoofing u telefonních hovorů. Na displeji se zobrazí číslo banky, policie nebo vašeho operátora, ale na druhém konci je úplně jiný člověk.

Útočník upraví volající číslo (CLI), často prostřednictvím VoIP ústředny, a síť ho – pokud není nastavené ověřování – předá dál tak, jak je.
Právě takto fungují podvodné telefonáty, kdy se volající vydává za bankéře a snaží se z oběti vylákat autorizační kódy nebo ji přesvědčit k převodu peněz na „bezpečný účet“.

Detailně tomuto tématu se věnuje například pozice Europolu k Caller ID spoofingu, která popisuje, jak masivně tyto útoky přispívají k finanční kriminalitě napříč EU.

2. SMS spoofing – falešné zprávy „od banky“

U SMS spoofingu útočník nepodvrhuje jen číslo, ale často i jméno odesílatele. Místo běžného čísla se na telefonu zobrazí textový identifikátor, třeba „BankaXYZ“.

Pokud vaše banka používá stejný identifikátor, falešná zpráva se v telefonu klidně zařadí do stejného vlákna jako skutečné SMS od banky.
Výsledkem je velmi přesvědčivá podvodná zpráva, která přichází „od banky“, odkazuje na „bezpečnostní kontrolu“ a obsahuje odkaz na falešný web nebo číslo na „infolinku“.

Takové zprávy typicky pracují s naléhavostí – údajná blokace účtu, neuhrazená platba, problém s doručením zásilky.

3. E-mailový spoofing – podvržení adresy odesílatele

E-mailový spoofing se týká pole „From:“ – e-mail může vypadat, že dorazil z adresy vaší banky, kolegy nebo nadřízeného, ve skutečnosti ho ale poslal někdo úplně jiný.

Proto bezpečnostní experti opakují, že „adresu odesílatele v e-mailu nelze bez dalšího považovat za důvěryhodný údaj“.

Útočníci tento typ spoofingu využívají u phishingu – pošlou e-mail, který vypadá jako z účtárny („zaplaťte prosím přiloženou fakturu“), od IT („okamžitě si změňte heslo“) nebo z banky („ověřte svoji kartu“) a přimějí oběť kliknout na odkaz nebo otevřít přílohu.

Technicky stačí poslat e-mail přes server, který dovolí nastavit libovolnou adresu odesílatele, případně zneužít špatně zabezpečené domény.

Proti e-mail spoofingu se dnes používají mechanismy SPF, DKIM a DMARC, které umožňují ověřit, zda daná doména opravdu autorizovala konkrétní servery k odesílání pošty a zda se zpráva po cestě nezměnila.

Více vysvětluje například přehled na stránkách Cloudflare o SPF, DKIM a DMARC. Případně v češtině jsem se tomuto tématu SPF, DKIM a DMARC a zabezpečení emailů věnoval v článku o newsletterech.

4. Webový a doménový spoofing – falešné stránky a adresy

V této oblasti spoofing znamená především tvorbu webů a domén, které se velmi podobají originálu – například „paypai.com“ místo „paypal.com“, falešný přihlašovací formulář na sociální síti nebo internetovém bankovnictví, který graficky kopíruje originál. Oběť má pocit, že je na správném webu, zadá přihlašovací údaje – a ty okamžitě končí v rukou útočníka.

Webový spoofing se často kombinuje s jinými formami útoků – odkaz na falešnou stránku přijde e-mailem, SMS nebo se objeví v chatu.

Technicky může být doplněn i o útoky na úrovni DNS, kdy je oběť přesměrována na podvržený server, i když do prohlížeče zadala správnou adresu.

5. Technický spoofing v sítích – IP, DNS, ARP a spol.

Méně viditelnou, ale velmi důležitou kategorií je technický spoofing na síťové úrovni.
Tady nejde o psychologickou manipulaci uživatele, ale o oklamání jiných zařízení v síti:

• IP spoofing – útočník falšuje IP adresu odesílatele, aby zakryl svůj původ nebo se vydával za důvěryhodný server. Často se používá u DDoS útoků nebo jako součást složitějších scénářů.
• DNS spoofing (cache poisoning) – útočník zmanipuluje DNS záznamy tak, aby dotaz na legitimní doménu (např. vaše banka) ve skutečnosti přesměroval uživatele na škodlivý web. Přehledně to popisuje například rozbor DNS spoofingu od Impervy.
• ARP spoofing – v lokální síti útočník předstírá, že jeho zařízení má IP adresu jiného počítače. Tím si může přesměrovat provoz přes sebe a odposlouchávat nebo upravovat data (typický základ pro man-in-the-middle útok).

Pro správce sítí jsou tyto techniky zásadním tématem – nejde jen o krádež dat, ale i o možnost obejít přístupy, firewall nebo interní segmentaci sítě.

Proč je spoofing tak nebezpečný

Na spoofingu je zrádné hlavně to, že útočník nestojí „před dveřmi“, ale tváří se, že už je dávno uvnitř – jako vaše banka, kolega z práce, interní server nebo důvěryhodný web.

Lidé i systémy mají tendenci přikládat větší důvěru komunikaci, která vypadá známě a „od nás“:

• uživatelé méně přemýšlejí, když jim volá „jejich“ banka nebo píše „jejich“ šéf,
• aplikace a servery často důvěřují provozu z interních IP adres nebo „známých“ domén,
• bez spoofingu by řada phishingových a sociálně-inženýrských útoků byla podstatně méně účinná.

I proto třeba FBI u svých materiálů o spoofingu a phishingu opakovaně zdůrazňuje, že zobrazené číslo, jméno odesílatele ani vzhled webu nelze bez dalšího považovat za důkaz identity.

Jak se bránit jako běžný uživatel

1. Nedůvěřovat jen tomu, co vidíte na obrazovce

Číslo volajícího, jméno odesílatele e-mailu, název SMS vlákna ani vzhled stránky nejsou samy o sobě zárukou, že komunikace je legitimní.
Vždy přemýšlejte, co po vás druhá strana chce – peníze, kódy, hesla, přístup do počítače?

2. Nikdy neposílat kódy a hesla

• banky nechtějí po telefonu autorizační SMS kódy ani celé přihlašovací údaje,
• IT podpora nepotřebuje vaše přihlašovací jméno a ani heslo – maximálně vám pomůže si to heslo k účtu změnit,
• nikdo legitimní vás nebude nutit, abyste si instalovali „bezpečnostní“ nástroj a zároveň se přihlašovali do internetového bankovnictví.

3. Vždy ověřit jiným kanálem

Máte pochybnosti o hovoru nebo e-mailu?

• hovor ukončete a zavolejte zpět na číslo, které si sami najdete na oficiálním webu,
• na odkaz v e-mailu neklikejte – raději ručně napište adresu do prohlížeče nebo použijte uloženou záložku,
• u podezřelých SMS ověřte informaci přímo v aplikaci banky nebo přes internetové bankovnictví.

4. Aktualizace a základní technická hygiena

I když spoofing často cílí na lidskou stránku, technická opatření mají smysl:

• aktuální systém a prohlížeč lépe odhalí škodlivé weby a certifikáty,
• antivir a bezpečnostní aplikace umí varovat před známými phishingovými stránkami,
• u e-mailu používejte poskytovatele, kteří podporují DMARC, DKIM a SPF a filtrují phishing.

Co mohou udělat pro lepší ochranu svého jména firmy

Technická ochrana

• zavést a správně nastavit SPF, DKIM a DMARC pro firemní domény – sníží riziko, že někdo bude posílat e-maily „vaším jménem“,
• spolupracovat s telekomunikačními operátory na blokování „nemožných“ hovorů, ověřování CLI a dalších anti-spoofing opatřeních,
• monitorovat, jestli nejsou zneužívána firemní čísla, domény nebo brand – při zjištění zneužití rychle reagovat.

Školení zaměstnanců a komunikace se zákazníky

• vzdělávat zaměstnance v rozpoznávání spoofingu a sociálního inženýrství,
• jasně komunikovat, jak firma po telefonu a e-mailem postupuje (co nikdy nechce, jaké údaje nikdy nevyžaduje),
• při výskytu nové vlny podvodů aktivně informovat zákazníky a nabídnout jim návod, jak reagovat.

Spoofing, phishing, vishing, smishing – jak to spolu souvisí

Spoofing je technický základ, na kterém často stojí další typy útoků:

• phishing – podvodné e-maily, které se tváří jako zprávy od důvěryhodné organizace,
• vishing – podvodné telefonní hovory, obvykle se spoofovaným číslem,
• smishing – podvodné SMS, často s podvrženým jménem odesílatele.

Bez spoofingu by většina těchto útoků byla mnohem méně přesvědčivá. S ním ale útočník dokáže napodobit kanály, kterým lidé běžně věří –
což je důvod, proč je kolem spoofingu dnes tolik regulace, technických iniciativ i varování bezpečnostních složek.