Spoofing

Varför oss?

Lär dig vad som menas med spoofing inom cybersäkerhet. Vi ger dig en fullständig definition, förklarar de olika typerna och hjälper dig att skydda dig mot denna typ av nätbedrägeri. Du kommer även att lära dig hur spoofing skiljer sig från phishing (nätfiske) och få svar på de vanligaste frågorna.

Vad är spoofing?

Definitionen av spoofing är en typ av bedrägeri där en hackare förfalskar sin identitet för att imitera ett legitimt företag eller en pålitlig källa. I en spoofing-bedrägeri försöker cyberbrottslingen lura offret att lämna ut personlig information, till exempel konto- eller betalningsuppgifter, så att de kan stjäla den för att begå cyberbrott.

Hotaktörer kan dölja sin identitet på flera olika sätt, bland annat genom att förfalska sin e-post, webbplats, IP-adress, nummerpresentation eller GPS-position.

Illustration av en person vid en dator med en varningsikon på skärmen med förklaring av vad spoofing är.

Viktiga slutsatser om spoofing

  • Spoofing är en typ av bedrägeri som bygger på att lura användaren att missta sig på hackerns identitet.
  • Phishing och spoofing är lika men olika.
  • Hackare använder ofta spoofing för att förbättra phishing och social ingenjörskonst (social engineering) bedrägerier.
  • Att upptäcka spoofing är lättare sagt än gjort.
  • Du kan skydda dig genom att ignorera samtal och e-post från okända avsändare.

Hur spoofing fungerar

I ett spoofing-bedrägeri försöker hackaren dölja sin identitet för att försöka lura ett offer att lämna ut personlig information. Vanligtvis görs detta genom att förfalska ett e-posthuvud, en webbplats eller ett nummerpresentationssystem.

I cybersäkerhetssammanhang används spoofing ofta för att möjliggöra social ingenjörskonst och nätfiskebedrägerier. I ett vanligt phishingbedrägeri kan en bedragare förfalska e-posthuvudet för att dölja vem som skickat e-postmeddelandet.

De kan göra detta genom att imitera en ansedd organisation, till exempel Microsoft Office 365 kundsupport, och sedan försöka övertyga användaren att klicka på en skadlig länk eller bilaga.

I en sådan bluff kan ett klick på länken omdirigera användaren till en falsk webbplats som imiterar inloggningsportalen för Microsoft Office 365 och försöker lura användaren att lämna ut sitt användarnamn och lösenord. På samma sätt kan användaren ladda ner skadlig kod till sin enhet genom att klicka på den bifogade filen.

Olika typer av spoofing

Illustration som visar olika typer av spoofing.

Som nämnts ovan kan spoofing-attacker komma i alla olika former och storlekar.

Några av de vanligaste typerna av spoofing-attacker inkluderar:

E-postspoofing
En hacker förfalskar en e-postrubrik eller avsändaradress för att försöka lura offret att klicka på en skadlig länk eller bilaga.
Webbplats/URL-spoofing
En angripare skapar en falsk domän och webbplats för att försöka locka användaren att ange personlig information eller ladda ner skadlig kod. 

IP-spoofing
En hotaktör skapar IP-paket med en falsk käll-IP-adress för att försöka dölja skadlig trafik.
Caller ID spoofing
En bedragare ändrar telefonnumret och namnet på nummerpresentatören som visas när de ringer ett offer.
Spoofing eller smishing av textmeddelanden (SMS-phishing)
En hackare skickar ett textmeddelande som utger sig för att komma från en seriös källa.
DNS-spoofing eller cacheförgiftningsattack
En hackare utnyttjar sårbarheter i en DNS för att omdirigera trafik till en bedräglig webbplats.
GPS-spoofing
En cyberbrottsling manipulerar enhetens GPS-data för att se ut att befinna sig på en annan plats.
Ansiktsspoofing
En brottsling förfalskar offrets ansikte för att kompromissa med en enhet som är låst med en mekanism för ansiktsidentifiering.

Phishing vs spoofing

Phishing och spoofing är två typer av bedrägerier som bygger på vilseledning, men de har en tydlig skillnad.

I grund och botten är phishing en teknik som är utformad för att lura en användare att lämna över information, medan spoofing är en teknik som används av en angripare för att dölja sin identitet, vilket innebär att skapa en falsk webbplats, URL eller nummerpresentation så att de kan se ut att representera en legitim källa.

Både phishing och spoofing kan användas som en del av en och samma cyberattack. I ett phishingbedrägeri kan en hackare till exempel förfalska ett e-posthuvud och länka till en förfalskad webbplats för att göra vilseledningen mer övertygande.

Hur man upptäcker spoofing

Det kan vara mycket svårt att upptäcka spoofing, men det finns några grundläggande sätt att upptäcka spoofing av webbplatser, e-postmeddelanden och nummerpresentation.

En kort sammanfattning av dessa finns nedan:

Webbplats-spoofing
När du besöker webbplatser ska du kontrollera att de har en grön stapel, låssymbol, SSL-certifikat och HTTP i webbadressen, eftersom dessa är positiva indikatorer på att webbplatsen är legitim.
E-post spoofing
Kontrollera inkommande e-postmeddelanden för dålig stavning, felaktig grammatik, högtrycksspråk och ovanliga webbadresser eftersom dessa är tecken på en phishing-bedrägeri.
Caller ID spoofing
Om någon ringer dig och påstår sig representera en ansedd organisation eller myndighet och begär viss information, lägg på luren och kontakta företaget som de påstår sig representera via den officiella webbplatsen. Detta hjälper till att verifiera om samtalet är äkta eller inte.

7 sätt att skydda dig mot spoofing

Det finns många olika sätt att skydda sig mot spoofing-attacker.

Illustration av sju sätt att skydda sig mot spoofing.

Några av de mest effektiva är bland annat:

  1. Aktivera biometrisk autentisering

    Använd biometriska autentiseringsalternativ som ansikts- eller touch-ID för att göra dina onlinekonton svårare att kompromissa med.
  2. Aktivera multifaktorautentisering

    Om du aktiverar multifaktorautentisering (MFA) för dina onlinekonton blir de mycket svårare att kompromissa med, även om användaren har stulit det underliggande lösenordet.
  3. Verifiera på en separat kanal

    Om du får ett samtal eller e-postmeddelande som påstår sig komma från någon du känner och som begär privat information, kontakta dem via en annan kanal, till exempel deras telefon, webbplats eller e-post, för att kontrollera om kommunikationen är legitim.
  4. Klicka inte på länkar eller bilagor från okända avsändare

    Undvik att klicka på länkar eller bilagor i e-postmeddelanden från okända avsändare, och var mycket försiktig med att klicka på sådana från kända avsändare.
  5. Svara inte på samtal från okända avsändare

    Undvik så långt det är möjligt att svara på samtal från okända avsändare, eftersom det sannolikt rör sig om bluffsamtal.
  6. Installera programvara mot skadlig kod

    Installera anti-malware- och antivirusprogram på dina enheter så att de kan upptäcka infektioner och sätta infekterade filer i karantän innan de får en chans att infektera ditt system.

  7. Använd en lösenordshanterare

    Använd en pålitlig lösenordshanterare med autofyll som hjälper dig att känna igen falska webbplatser (lösenordshanteraren fyller inte i dina uppgifter automatiskt på webbplatsen om den inte känner igen den).

    Är spoofing olagligt?

    Både ja och nej. Tillsynsmyndigheter som Federal Communications Commission (FCC) anser att spoofing är olagligt om det görs med “avsikt att bedra, orsaka skada eller felaktigt erhålla något av värde.” Så om någon spoofade sitt telefonnummer för att försöka stjäla dina personuppgifter, skulle detta vara olagligt och de skulle utsättas för påföljder på upp till 10 000 $ per överträdelse.

    Med detta sagt belyser FCC fall där spoofing skulle betraktas som lagligt. Till exempel om en läkare ringer en patient från en personlig mobiltelefon och visar sitt kontorsnummer snarare än sitt personliga telefonnummer, eller om ett företag visar ett avgiftsfritt återuppringningsnummer.

    Slutsatsen om spoofing

    Nu när du vet vad spoofing innebär är det bästa sättet att skydda sig mot det att aldrig ta det du ser på nätet för vad det är. Bara för att en webbplats, ett e-postmeddelande eller ett uppringnings-ID verkar legitimt betyder det inte att det är det. Att verifiera avsändarens identitet på nätet är avgörande för att minska risken för att bli lurad.

    Vanliga frågor om spoofing

    Vad är spoofing i enkla termer?

    Vad är e-postspoofing?

    Vad är ett exempel på spoofing?

    Vad händer när du blir spoofad?

    Vad är skillnaden mellan phishing och spoofing?

    Vilken typ av attack förlitar sig på spoofing?

    Referenser

    Relaterade termer

    Tim Keary
    Technology Specialist
    Tim Keary
    Teknikexpert

    Sedan januari 2017 har Tim Keary varit en oberoende teknikskribent och reporter som bevakar företagsteknik och cybersäkerhet.