欺騙攻擊
信息安全和網絡安全中的欺騙攻擊(spoofing attack)是指人員或是程式用假的數據,成功地讓其他程式誤認自身的身份,以獲取原來身份沒有的不當權限[1]。
網際網路
編輯欺騙和TCP/IP
編輯TCP/IP中的許多協定都沒有針對訊息來源或是目的地的身份驗證機制,若應用程式沒有額外的機制來識別訊息的來源端或是接收端,都可能會被欺騙攻擊。在計算機網絡中,IP位址欺騙和ARP欺騙特別容易用在中間人攻擊中,對主機進行仄擊。利用TCP/IP協定的欺騙攻擊,可以用有深度包檢測的防火牆來防治,另外一個作法是應用程式要驗證識別訊息來源端或是接收端的身份。
域名欺騙
編輯域名欺騙(Domain name spoofing)一般是描述用假的(或是讓人容易誤認的)網際網路域名來進行的釣魚式攻擊[2][3]。目的是讓未提防的使用者進入名稱相近,但網站內容和使用者所認為的不同的網站,或是讓使用者打開其實不是特定電子郵件地址寄出的郵件[4]。網站欺騙和電子郵件欺騙相當常見,而所有以名稱解析為基礎的服務都會受到影響。
HTTP參照位址欺騙
編輯有些網站,特別是色情的付費網站,只允許從特定的核可(登入)頁面存取資料。這是用檢查超文本傳輸協議請求的HTTP參照位址header來達成。不過HTTP參照位址header有可能改變(這稱為是HTTP參照位址欺騙),讓使用者存取免授權的資訊。
檔案分享網絡中毒
編輯欺騙攻擊的手法也可用在反盜版上,例如著作權所有者,刻意的在檔案分享網站中加入無法使用的作品。
電子郵件地址欺騙
編輯電子郵件上的寄件人資訊(From:
欄位)很容易就可以假造。像垃圾電郵就常用這種技巧,隱藏郵件的真實寄件人,造成垃圾電郵退件時,退件到其他郵件地址的backscatter。電子郵件地址欺騙可以配合Telnet進入郵件伺服器實現[5]。
地理位置定位欺騙
編輯地理位置定位(Geolocation)欺騙是指用戶應用科技,讓其設備在網路上顯示的地理位置和其實際的位置不同。[6]最常見的地理位置定位欺騙是透過虛擬私人網路(VPN)或是域名系統代理,讓用戶看似置身在其他的國家、其他州或是其他區域。根據GlobalWebIndex的研究,全世界VPN的用戶中,有49%主要是用VPN來存取該區域受限的娛樂內容[7]。這種地理位置定位欺騙也稱為是geo海盜(geo-piracy),因為其利用地理位置定位欺騙技術來非法存取有版權的資料。另一個地理位置定位欺騙的例子是加州的線上撲克玩家用此一技術和紐澤西州的玩家玩線上撲克,這違反了這兩州的法律[8]。經由鑑識地理定位證據證明了地理定位欺騙,玩家沒收的獎金超過90,000美元。
電信
編輯Caller ID欺騙
編輯電信網路多半會提供caller ID資訊,會包括每一通電話的來電號碼,有時也會包括姓名。不過有些技術(特別是VoIP網路)允許來電者修改Caller ID資訊,因此可以顯示不正確的來電者和來電號碼。若網路之間的網關允許這些修改後的資訊,就會將假的資訊傳出去。欺騙電話可能朲自其他國家,因此收信方的法律可能制裁不到,因此造成法律管理Caller ID欺騙甚至是信任騙局上的限制[9][與來源不符]。
GPS欺騙
編輯GPS欺騙是刻意廣播假的GPS信號,而其結構像是正常的GPS信號,以欺騙GPS接收端。或是廣播其他地方的GPS訊號,或是其他時間收到的GPS訊號。其中的信號可以經過調整,讓GPS接收器估計自己在實際位置以外的位置,或是在一個以前曾經在的位置。
語音欺騙
編輯現今的社會上,資訊科技的角色越來越重要,也有不同的認證方式來限制資訊的存取,其中也包括了語音生物識別。使用說話者識別系統的例子包括有網路銀行系統,電話客服中心的客戶識別,以及利用黑名單的可能罪犯識別[10]
有關合成語音以及為語音建模的技術發展的非常快,已可以生成幾乎類似真人的聲音。這類的服務稱為語音合成(TTS)或風格遷移服務。前者是創造新的人物,後者則是要模仿其他的人,讓語言識別系統誤認。
有許多的科學家正在發展演算法來識別機器合成的人聲以及真實的人聲。另一方面,這種演算法也需要徹底測試,以確定系統的功能正常[11]。
參考資料
編輯- ^ Jindal, K.; Dalal, S.; Sharma, K. K. Analyzing Spoofing Attacks in Wireless Networks. 2014 Fourth International Conference on Advanced Computing Communication Technologies. February 2014: 398–402 [2021-11-24]. ISBN 978-1-4799-4910-6. S2CID 15611849. doi:10.1109/ACCT.2014.46. (原始內容存檔於2021-11-24).
- ^ Canadian banks hit by two-year domain name spoofing scam. Finextra. 9 January 2020 [2021-11-25]. (原始內容存檔於2021-11-06).
- ^ Domain spoofing. Barracuda Networks. [2021-11-25]. (原始內容存檔於2021-11-04).
- ^ Tara Seals. Mass Spoofing Campaign Abuses Walmart Brand. threatpost. August 6, 2019 [2021-11-25]. (原始內容存檔於2021-11-06).
- ^ Gantz, John; Rochester, Jack B. Pirates of the Digital Millennium. Upper Saddle River, NJ 07458: Prentice Hall. 2005. ISBN 0-13-146315-2.
- ^ Günther, Christoph. A Survey of Spoofing and Counter-Measures: A Survey of Spoofing and Counter-Measures. Navigation. 2014-09, 61 (3) [2022-10-02]. doi:10.1002/navi.65. (原始內容存檔於2022-10-06) (英語).
- ^ VPNs Are Primarily Used to Access Entertainment. GlobalWebIndex Blog. 2018-07-06 [2019-04-12]. (原始內容存檔於2019-04-12) (英國英語).
- ^ Hintze, Haley. California Online Poker Pro Forfeits Over $90,000 for Geolocation-Evading New Jersey Play. Flushdraw.net. 2019-03-09 [2019-04-12]. (原始內容存檔於2019-04-12) (英國英語).
- ^ Schneier, Bruce. Caller ID Spoofing. schneier.com. 3 March 2006 [16 January 2011]. (原始內容存檔於2019-07-12).
- ^ Shchemelinin, Vadim; Topchina, Mariia; Simonchik, Konstantin. Ronzhin, Andrey; Potapova, Rodmonga; Delic, Vlado , 編. Vulnerability of Voice Verification Systems to Spoofing Attacks by TTS Voices Based on Automatically Labeled Telephone Speech. Speech and Computer. Lecture Notes in Computer Science (Cham: Springer International Publishing). 2014, 8773: 475–481 [2021-11-25]. ISBN 978-3-319-11581-8. doi:10.1007/978-3-319-11581-8_59. (原始內容存檔於2021-07-09) (英語).
- ^ Sinitca, Aleksandr M.; Efimchik, Nikita V.; Shalugin, Evgeniy D.; Toropov, Vladimir A.; Simonchik, Konstantin. Voice Antispoofing System Vulnerabilities Research. 2020 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus) (St. Petersburg and Moscow, Russia: IEEE). January 2020: 505–508 [2021-11-25]. ISBN 978-1-7281-5761-0. S2CID 214595791. doi:10.1109/EIConRus49466.2020.9039393. (原始內容存檔於2021-11-25).