O que é Spoofing e como se proteger

Entenda como funciona a técnica utilizada pelos hackers suspeitos de invadir o celular do ministro Sergio Moro. Em entrevista ao InfoMoney, Boot Santos, pesquisador de segurança da informação da Flipside, explica quais os tipos e como evitar ciladas  

Giovanna Sutto

Publicidade

SÃO PAULO – Já ouviu falar no termo “Spoofing”? Vem do inglês “spoof”, que significa “falsificar”. Virou um jargão tecnológico de conotação negativa: é mais um tipo de golpe que hackers aplicam e você pode estar correndo mais riscos do que imagina. 

Inclusive, Spoofing foi o nome dado para a operação da Polícia Federal deflagrada para prender hackers suspeitos de invadir o celular do ministro Sergio Moro.

Em entrevista ao InfoMoney, Boot Santos, pesquisador de segurança da informação da Flipside, explica que na prática é um termo genérico para quando alguém se passa por outra pessoa, ou um dispositivo se passa por outro.  

Masterclass Gratuita

Rota Liberdade Financeira

Aprenda a investir e construa um patrimônio do zero com o treinamento exclusivo do InfoMoney

E-mail inválido!

Ao informar os dados, você concorda com a nossa Política de Privacidade.

O que é spoofing? 

Santos explicou que é um tipo de ataque que tem como objetivo induzir uma rede ou uma pessoa ao erro. “Podemos comparar esse ataque a uma espécie de  estelionato virtual, quando o criminoso tenta fazer um empréstimo com documentos falsos em uma instituição bancária, por exemplo”, diz. Ou seja, a pessoa pensa que a informação a que está tendo acesso é verdadeira, quando, na verdade, não é. 

Como funciona? 

Como é uma falsificação digital, o ataque funciona da seguinte forma: o hacker utiliza de falhas no protocolo para manipular o que é enviado.

“Por exemplo, em um Spoofing de chamada é alterado o “caller id” fazendo com que o número da chamada que aparece na tela do telefone da vítima seja diferente do usado para realizar a chamada. Eu posso pegar o número do telefone de uma empresa e ligar para um funcionário me passando por alguém da empresa, passando credibilidade que a ligação é real e pedir dados sigilosos”.

Continua depois da publicidade

Ou ainda é possível realizar um spoofing de DNS para tentar fazer com que a rede na qual você está navegando o direcione para sites fraudulentos. 

Tipos de ataques de spoofing 

Esse tipo de falsificação pode acontecer de algumas maneiras e Santos elencou algumas delas. Confira:

Spoofing de e-mail: é o mais comum. Quando o hackers envia um e-mail se passando por uma empresa ou pessoa conhecida da vítima;

Spoofing  de IP: quando o criminoso faz uma requisição se passando por outro endereço de IP, assim o sistema para o qual um usuário é direcionado não consegue identificar corretamente o remetente.

Spoofing de DNS: quando o hacker faz uma manipulação da rede se passando por um site verdadeiro. Exemplo: quando o usuário acessar google.com.br na rede, ir para um site diferente que rouba dados; 

Spoofing de SMS: quando o criminoso envia um SMS se passando por um telefone conhecido, também afim de roubar dados sigilosos; 

Spoofing de chamadas: quando o hacker realiza ligações se passando por um número conhecido da vitima. 

Como reconhecer um ataque desse tipo?

“O spoofing de e-mail é o mais comum e mais simples de ser reconhecido. Os próprios serviços de e-mail já realizam essas verificações. As empresa também podem realizar as configurações de forma correta a fim de evitar esse tipo de ataque”, afirma Santos.

Assim, qualquer e-mail estranho que peça dados sigilosos é duvidoso. Não se esqueça que sites legítimos nunca pedem dados pessoais via e-mail. 

Segundo Santos, SMS de empresas sempre são duvidosos, por isso não dúvida não responda. Em relação aos spoofings de IP e DNS, são tipos mais difíceis de identificar, talvez um usuário comum não perceba que foi vítima desse tipo de ataque.  

Como se proteger desse ataque?

“Na prática, para evitar cair em golpes desse é recomendável evitar acessar links de e-mails suspeitos, não fornecer dados a desconhecidos por telefone mesmo que o número aparente ser de alguém conhecido ou informar dados via SMS independentemente do remetente. Se o número for de alguém conhecido, confirme com essa pessoa, se o número for de alguma empresa o ideal é não informar nada”, diz o especialista.  

Os brasileiros devem ficar atentos. Segundo Santos, há anos tem se tornado uma prática bem comum no meio digital e não é novidade por aqui. 

Invista seu dinheiro com segurança. Abra uma conta na XP – é de graça. 

Giovanna Sutto

Repórter de Finanças do InfoMoney. Escreve matérias finanças pessoais, meios de pagamentos, carreira e economia. Formada pela Cásper Líbero com pós-graduação pelo Ibmec.