欺骗攻击
信息安全和网络安全中的欺骗攻击(spoofing attack)是指人员或是程式用假的数据,成功地让其他程式误认自身的身份,以获取原来身份没有的不当权限[1]。
互联网
编辑欺骗和TCP/IP
编辑TCP/IP中的许多协定都没有针对讯息来源或是目的地的身份验证机制,若应用程序没有额外的机制来识别讯息的来源端或是接收端,都可能会被欺骗攻击。在计算机网络中,IP地址欺骗和ARP欺骗特别容易用在中间人攻击中,对主机进行仄击。利用TCP/IP协定的欺骗攻击,可以用有深度包检测的防火墙来防治,另外一个作法是应用程序要验证识别讯息来源端或是接收端的身份。
域名欺骗
编辑域名欺骗(Domain name spoofing)一般是描述用假的(或是让人容易误认的)互联网域名来进行的钓鱼式攻击[2][3]。目的是让未提防的使用者进入名称相近,但网站内容和使用者所认为的不同的网站,或是让使用者打开其实不是特定电子邮件地址寄出的邮件[4]。网站欺骗和电子邮件欺骗相当常见,而所有以名称解析为基础的服务都会受到影响。
HTTP参照位址欺骗
编辑有些网站,特别是色情的付费网站,只允许从特定的核可(登入)页面存取资料。这是用检查超文本传输协议请求的HTTP参照位址header来达成。不过HTTP参照位址header有可能改变(这称为是HTTP参照位址欺骗),让使用者存取免授权的资讯。
文件共享网络中毒
编辑欺骗攻击的手法也可用在反盗版上,例如著作权所有者,刻意的在档案分享网站中加入无法使用的作品。
电子邮件地址欺骗
编辑电子邮件上的寄件人资讯(From:
栏位)很容易就可以假造。像垃圾电邮就常用这种技巧,隐藏邮件的真实寄件人,造成垃圾电邮退件时,退件到其他邮件地址的backscatter。电子邮件地址欺骗可以配合Telnet进入邮件服务器实现[5]。
地理位置定位欺骗
编辑地理位置定位(Geolocation)欺骗是指用户应用科技,让其设备在网络上显示的地理位置和其实际的位置不同。[6]最常见的地理位置定位欺骗是透过虚拟私人网络(VPN)或是域名系统代理,让用户看似置身在其他的国家、其他州或是其他区域。根据GlobalWebIndex的研究,全世界VPN的用户中,有49%主要是用VPN来存取该区域受限的娱乐内容[7]。这种地理位置定位欺骗也称为是geo海盗(geo-piracy),因为其利用地理位置定位欺骗技术来非法存取有版权的资料。另一个地理位置定位欺骗的例子是加州的线上扑克玩家用此一技术和新泽西州的玩家玩线上扑克,这违反了这两州的法律[8]。经由鉴识地理定位证据证明了地理定位欺骗,玩家没收的奖金超过90,000美元。
电信
编辑Caller ID欺骗
编辑电信网络多半会提供caller ID资讯,会包括每一通电话的来电号码,有时也会包括姓名。不过有些技术(特别是VoIP网络)允许来电者修改Caller ID资讯,因此可以显示不正确的来电者和来电号码。若网络之间的网关允许这些修改后的资讯,就会将假的资讯传出去。欺骗电话可能朲自其他国家,因此收信方的法律可能制裁不到,因此造成法律管理Caller ID欺骗甚至是信任骗局上的限制[9][与来源不符]。
GPS欺骗
编辑GPS欺骗是刻意广播假的GPS信号,而其结构像是正常的GPS信号,以欺骗GPS接收端。或是广播其他地方的GPS讯号,或是其他时间收到的GPS讯号。其中的信号可以经过调整,让GPS接收器估计自己在实际位置以外的位置,或是在一个以前曾经在的位置。
语音欺骗
编辑现今的社会上,资讯科技的角色越来越重要,也有不同的认证方式来限制资讯的存取,其中也包括了语音生物识别。使用说话者识别系统的例子包括有网络银行系统,电话客服中心的客户识别,以及利用黑名单的可能罪犯识别[10]
有关合成语音以及为语音建模的技术发展的非常快,已可以生成几乎类似真人的声音。这类的服务称为语音合成(TTS)或风格迁移服务。前者是创造新的人物,后者则是要模仿其他的人,让语言识别系统误认。
有许多的科学家正在发展算法来识别机器合成的人声以及真实的人声。另一方面,这种算法也需要彻底测试,以确定系统的功能正常[11]。
参考资料
编辑- ^ Jindal, K.; Dalal, S.; Sharma, K. K. Analyzing Spoofing Attacks in Wireless Networks. 2014 Fourth International Conference on Advanced Computing Communication Technologies. February 2014: 398–402 [2021-11-24]. ISBN 978-1-4799-4910-6. S2CID 15611849. doi:10.1109/ACCT.2014.46. (原始内容存档于2021-11-24).
- ^ Canadian banks hit by two-year domain name spoofing scam. Finextra. 9 January 2020 [2021-11-25]. (原始内容存档于2021-11-06).
- ^ Domain spoofing. Barracuda Networks. [2021-11-25]. (原始内容存档于2021-11-04).
- ^ Tara Seals. Mass Spoofing Campaign Abuses Walmart Brand. threatpost. August 6, 2019 [2021-11-25]. (原始内容存档于2021-11-06).
- ^ Gantz, John; Rochester, Jack B. Pirates of the Digital Millennium. Upper Saddle River, NJ 07458: Prentice Hall. 2005. ISBN 0-13-146315-2.
- ^ Günther, Christoph. A Survey of Spoofing and Counter-Measures: A Survey of Spoofing and Counter-Measures. Navigation. 2014-09, 61 (3) [2022-10-02]. doi:10.1002/navi.65. (原始内容存档于2022-10-06) (英语).
- ^ VPNs Are Primarily Used to Access Entertainment. GlobalWebIndex Blog. 2018-07-06 [2019-04-12]. (原始内容存档于2019-04-12) (英国英语).
- ^ Hintze, Haley. California Online Poker Pro Forfeits Over $90,000 for Geolocation-Evading New Jersey Play. Flushdraw.net. 2019-03-09 [2019-04-12]. (原始内容存档于2019-04-12) (英国英语).
- ^ Schneier, Bruce. Caller ID Spoofing. schneier.com. 3 March 2006 [16 January 2011]. (原始内容存档于2019-07-12).
- ^ Shchemelinin, Vadim; Topchina, Mariia; Simonchik, Konstantin. Ronzhin, Andrey; Potapova, Rodmonga; Delic, Vlado , 编. Vulnerability of Voice Verification Systems to Spoofing Attacks by TTS Voices Based on Automatically Labeled Telephone Speech. Speech and Computer. Lecture Notes in Computer Science (Cham: Springer International Publishing). 2014, 8773: 475–481 [2021-11-25]. ISBN 978-3-319-11581-8. doi:10.1007/978-3-319-11581-8_59. (原始内容存档于2021-07-09) (英语).
- ^ Sinitca, Aleksandr M.; Efimchik, Nikita V.; Shalugin, Evgeniy D.; Toropov, Vladimir A.; Simonchik, Konstantin. Voice Antispoofing System Vulnerabilities Research. 2020 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus) (St. Petersburg and Moscow, Russia: IEEE). January 2020: 505–508 [2021-11-25]. ISBN 978-1-7281-5761-0. S2CID 214595791. doi:10.1109/EIConRus49466.2020.9039393. (原始内容存档于2021-11-25).