Nell’era della digitalizzazione e della connettività costante, la sicurezza informatica è diventata una priorità assoluta per proteggere la nostra privacy e le nostre informazioni sensibili.

Tra le minacce più comuni e insidiose nel panorama della cyber-security, troviamo lo “snooping” e lo “spoofing“. Questi due termini, spesso confusi tra loro, rappresentano due tipologie di attacchi informatici che, pur avendo obiettivi e metodi differenti, possono causare gravi danni se non adeguatamente contrastati.

snooping e spoofing

In questo articolo,  esploreremo in dettaglio le peculiarità di ciascuno di questi fenomeni, analizzando le differenze tra snooping e spoofing, al fine di fornire ai lettori una comprensione chiara e approfondita di entrambi, e suggerire strategie per proteggersi da tali minacce.

  1. Cos’è lo Spoofing
  2. Tipologie di attacchi di Spoofing
  3. Cos’è lo Snooping
  4. Tipologie di attacchi di Snooping
  5. Raffronto conclusivo: somiglianze e differenze

Cos’è lo Spoofing

To Spoof è un termine inglese coniato circa un secolo fa, che in italiano significa “inganno”.

In ambito cybersecurity, lo spoofing indica tutti i raggiri in cui il malintenzionato prova a spacciarsi per un’organizzazione o un contatto noto con un utente ignaro al fine di ottenere la sua fiducia. Questo tipo di crimine non viene perpetrato esclusivamente ai danni di singoli ma in alcuni casi anche contro di intere reti.

Anche lo spoofing si basa su delle tecniche di ingegneria sociale, ovvero il malvivente approfitta della paura, dell’ingenuità o di altre caratteristiche umane della vittima per ottenere un guadagno (l’accesso a dati sensibili, il reindirizzamento dannoso, l’installazione di un malware). La sua peculiarità rimane il camuffamento dell’identità dell’aggressore o comunque dell’origine della comunicazione malevola.

Tipologie di attacchi di Spoofing

Come abbiamo già annunciato sotto il termine spoofing sono raggruppati una grande quantità di raggiri diversi nel target, nelle competenze tecniche necessarie a metterli in atto e nei mezzi utilizzati. Andiamo a presentare un catalogo esaustivo di tutte le possibili declinazioni di questo attacco.

Spoofing via e-mail

Quando il vettore di attacco è una e-mail gli hacker possono camuffare più di un parametro per risultare credibili, ad esempio:

  • Il mittente (apparentemente un collega, una banca, una organizzazione rinomata con cui si hanno contatti)
  • L’indirizzo mail di origine
  • L’indirizzo mail che riceverà una eventuale risposta
  • Indirizzo return-path, un’ intestazione che gestisce le email respinte
  • L’indirizzo IP del mittente
  • La firma
  • Loghi o elementi stilistici della mail

L’ esempio più classico è quello della truffa nigeriana, in cui un facoltoso principe chiede aiuto alla vittima per sbloccare una ingente somma di denaro, in cambio di una percentuale. In questo caso parliamo di email spoofing.

Spoofing via sms

Un altro mezzo possono essere i messaggi, che il malvivente può inviare facendo apparire a schermo il numero di telefono di qualcun altro.
Come fa? Si impossessa dell’ID chiamante di un contatto e lo utilizza per adescare la sua vittima con un SMS contente un link malevolo.

Spoofing dei siti web

Un’altra possibilità sfruttata dagli hacker è quella di contraffare dei siti web legittimi a cui un ampio bacino di utenti potrebbe volersi rivolgere (sito bancario, piattaforma di e-commerce,…). L’affidabilità del sito viene fintamente assicurata tramite il  camuffamento dell’URL e dei sottodomini. Inoltre. la pagina sarà una replica uguale anche nei dettagli all’originale. Una buona idea è quella di controllare la barra degli indirizzi perché raramente gli hacker si procurano un certificato SSL per il protocollo sicuro quando mettono in piedi un sito fraudolento. Un altro indizio è il fatto che il vostro password manager non inserisce automaticamente i dati, al momento dell’accesso: potrebbe non aver riconosciuto il sito.

Spoofing dell’ID delle chiamate

I Robocaller e altri truffatori telefonici spesso mascherano il numero di telefono in modo che sembri provenire da un’area geograficamente vicina alla vittima (attraverso un apposito prefisso) oppure lo falsificano perché sembri appartenente ad una organizzazione affidabile. Lo speaker con cui si interfaccia la vittima, continuerà la finzione per farsi dare informazioni sensibili. Spesso Negli attacchi di caller ID viene usato il VoIP, un protocollo internet che permette di creare un numero di telefono e un ID di chiamata fittizio.

Spoofing dell’IP

Parliamo di spoofing dell’IP quando l’autore della truffa cerca di nascondere l’indirizzo IP da cui trasmette. Più in particolare, il vero indirizzo IP è sostituito con uno che il computer interpreta come legittimo, così quando il dato arriva non viene rilevata la minaccia ed è possibile installare un malware. Un’altra possibilità è che lo spoofing IP sia utilizzato per degli attacchi DDoS, per far apparire un’unica richiesta di accesso come se fossero molte o per rendersi anonimi a chi dovesse indagare sull’attacco.

Spoofing del server DNS

E’ una tipologia di reindirizzamento dannoso, noto anche sotto il nome di cache poisoning. In questo caso il criminale sostituisce nell’elenco degli indirizzi IP che si trovano sul server DNS con altri falsi, in questo modo il computer credendo di scambiare traffico con dei siti legittimi avrà a che fare con siti contraffatti.

Spoofing ARP

Nell’ARP Spoofing, l’acronimo ARP sta per Address Resolution Protocol. In questa modalità di attacco, il malintenzionato sfrutta la mancanza di autenticazione dell’ARP per associare un indirizzo MAC all’IP del suo computer. Così facendo, potrà dirottare il traffico di dati e intercettare informazioni utili ad un ulteriore attacco.

Spoofing GPS

Anche i geolocalizzatori sono soggetti a questo tipo di attacco. Gli hacker infatti possono fingere di trovarsi in una località diversa rispetto a quella in cui si trovano. Questa tattica è utilizzata spesso contro le auto ma anche contro le navi o gli aerei.

Spoofing dell’estensione

Anche l’estensione di un file può essere truccata. Spesso è quello che succede per i malware, si scarica quello che sembra un file txt ma in realtà ci si trova dentro un eseguibile dannoso. Basta rinominare un file da “file.exe” a “file.txt.exe”, gli utenti spesso sono distratti e non notano la differenza, in più frequentemente viene mostrato a schermo solo il nome del file per cui notare la discrepanza è difficile.

Man in the middle

Anche il famigerato attacco Man in -the middle è riconducibile al termine generico di spoofing, infatti il criminale si finge un utente legittimo (o una rete legittima) per intrufolarsi nel traffico dati che avviene tra due dispositivi diversi.

Cos’è lo Snooping

Lo snooping d’altro canto è una sorta di spionaggio elettronico. Infatti in un attacco di questo tipo, un utente non autorizzato accede illegalmente ai dati di un’altra persona o di un’ altra società.
Per essere puntigliosi anche il collega impiccione che sbircia le vostre email o il vicino di posto che in treno sente involontariamente parte di una vostra conversazione telefonica sarebbe imputabile di snooping, ma per lo più con questa parola si indicano attacchi informatici finalizzati e decisamente più sofisticati.

Ad esempio, l’uso di software di monitoraggio sulle attività o sul traffico di un dispositivo.

Tipologie di attacchi di Snooping

Lo snooping in principio non è necessariamente una pratica scorretta, sotto questo termine sono infatti raggruppati tutti i tipi di monitoraggio, tra cui:

  • Registratori di tasti
  • Monitoraggi delle reti e del traffico dati
  • Sniffer
  • Intercettazioni audio
  • Videosorveglianza

Ed evidentemente tutti queste pratiche possono essere portate avanti legittimamente, ad esempio, nelle aziende potrebbe esserci un monitoraggio del traffico dati per impedire ai dipendenti l’uso dei dispositivi aziendali per motivi privati. Qui di seguito riportiamo un esempio positivo e uno negativo di uso di snooping in ambito di cybersecurity.

Keylogger

Questi malware sono in grado di registrare i tasti premuti su una tastiera. Non riescono ad accedere allo schermo ma sono comunque in grado di capire molto delle attività che compie quel dispositivo. In molti casi, rivelano ai malintenzionati codici e password che possono poi essere ulteriormente sfruttati, per furti, accessi non autorizzati, furti di identità. I supporti più comuni per questi software malevoli sono PC, tablet e smartphone.

Snooping DHCP

Lo snooping DHCP è un protocollo che controlla tutte le informazioni in entrata permettendo l’accesso al client solo ai pacchetti provenienti da server fidati. Questo protocollo serve ad irrobustire le difese intorno ad uno dei punti più critici per la sicurezza informatica, ovvero l’accesso delle informazioni dal web. In aggiunta, questo strumento riduce anche le fonti di errore dovute all’uso inappropriato di router aggiuntivi. Specialmente nelle aziende, contribuisce a limitare gli errori di connessione, che potrebbero sopraggiungere qualora i dipendenti collegassero dispositivi personali alle reti della compagnia.

Raffronto conclusivo: Somiglianze e differenze

Sebbene snooping e spoofing siano due termini molto simili, indicano in realtà concetti diversi e utilizzarli come fossero sinonimi è un errore che può contribuire a diffondere la confusione.

Lo snooping è un sistema di intercettazione che mira ad estorcere silenziosamente informazioni che il proprietario vorrebbe far rimanere riservate. Lo spoofing, al contrario, è una tattica, con la quale i malviventi nascondono alcune informazioni sul loro conto in modo da impersonare qualcuno di affidabile.

Entrambe condividono lo scopo ma non il modus operandi. La confusione si crea comunemente nel caso degli attacchi man in the middle.

Si tratta di Snooping o Spoofing?

Nel caso dell’MiTM, il malintenzionato cerca di convincere il client a concedergli l’accesso a delle informazioni. Per farlo prova a persuaderlo di essere una fonte affidabile pur non essendolo. Parliamo quindi di Spoofing. D’altra parte, però, il protocollo snooping DHCP cerca di scovare ogni falsario per impedire le connessioni pericolose.

In un unico attacco, dunque, si presentano entrambi i fenomeni ma con ruoli ben diversi. Il termine spoofing infatti non può mai assumere una connotazione positiva, al contrario dello snooping che in molti casi è legittimo e utile.