DOMANDA Differenza tra Spoofing e impersonification?

[NicoAlte99]

Buonasera Spoofing e Impersonification sono la stessa cosa? So che l'impersonification è quella tecnica usata nell'ingegneria sociale per camuffare la tua identità per uno scopo preciso, ma anche lo spoofing leggendo su internet è usato per lo stesso scopo più o meno. Volevo capire se c'è una differenza tra di loro o sono la stessa cosa ma usata in ambiti differenti, lo spoofing nell'informatica e l'ipersonification nell'ingegneria sociale.

 

[cdtux]

Non mi sembra che ci sia una differenza sostanziale tra le due, solo semantica in base a se devi "fregare" una macchina o un essere umano. In entrambi i casi devi far credere di essere chi non sei.

 

[DispatchCode]

Non è proprio il mio campo di interesse, ma se non vado errato sostanzialmente hai che:

• l'impersonation è sostanzialmente equiparabile al phishing: stai fingendo di essere chi non sei (caso tipico, una mail di PosteItaliane che ti porta su un sito con medesimo logo, pagina uguale o simile etc etc)
• spoofing dev'essere quando l'attaccante cerca di mandare quella mail (per esempio) fingendosi il mittente (facendola uscire come fosse delle poste).

Come dice cdtux, il sunto è che fai credere di essere chi non sei, in entrambi i casi.

 

[Andretti60]

Sono in effetti diversi.

Impersonification e' quando ricevi una email il cui indirizzo e' molto simile a quello di cui si vuole fare credere si sia, per esempio gooogle invece di google (notare una 'o' di troppo), basta crearsi una email per fare ciò (ovviamente bisogna registrarlo usando un provider che assicura anonimita). E' facile da farsi, e vi sono diversi modi per implementarlo.

Con Spoofing invece ricevi una email che e' apparentemente legittima (esempio google.com) che si fa "mascherando" la email originale modificando i pacchetti internet associati alla email (questo non e' facile farlo e in genere richiede accesso alla rete locale)

Questo sito da' una buona descrizione

 

[cdtux]

Sono in effetti diversi.

Impersonification e' quando ricevi una email il cui indirizzo e' molto simile a quello di cui si vuole fare credere si sia, per esempio gooogle invece di google (notare una 'o' di troppo), basta crearsi una email per fare ciò (ovviamente bisogna registrarlo usando un provider che assicura anonimita). E' facile da farsi, e vi sono diversi modi per implementarlo.

Con Spoofing invece ricevi una email che e' apparentemente legittima (esempio google.com) che si fa "mascherando" la email originale modificando i pacchetti internet associati alla email (questo non e' facile farlo e in genere richiede accesso alla rete locale)

Questo sito da' una buona descrizione

Con tutto il rispetto, un articolo che dice Email spoofing and account takeover require some technical ability (or, at least, access to the dark web), non lo prenderei come fonte affidabile. Non serve mica accesso al dark web (che poi non significa niente) per fare un email spoof, servono solamente alcune competenze, nemmeno troppo avanzate. Le campagne di phishing le fanno "cani e porci".
*

Che di spoofing attack ce ne siano di tanti tipi (dall'email al DNS passando per il mac address, ecc..) ognuno con il suo livello di difficoltà, siamo tutti d'accordo, ma la sostanza non cambia: spoofing attack e impersonification attack sono fondamentalmente la medesima cosa. Al limite possiamo dire che lo spoofing è un sottogruppo degli impersonification visto che, nel contesto del social engineering, impersonification, può assumere un significato più ampio dato che si parla anche di "offline". Ad esempio telefonare ad un ufficio fingendo di essere di un altra sede della stessa azienda per avere info riservate o fingersi un tecnico della manutenzione per accedere ad una sala server, sono comunque attacchi di social engineering.

Se poi vogliamo entrare nello specifico con i vari spoofing, già solo con gli homograph attack ti si apre un mondo.
Esempio stupido: rnicrosoft .com e microsoft .com sembrano uguali, ma il primo comincia con r n e il secondo con m


EDIT: * Riprende un po il tema che si discuteva nello sfogatoio sulla qualità delle info/notizie online. Forse sarò un po drastico, ma quando in un articolo/post leggo anche solo una minchiata lo cestino senza pietà.

 

[Andretti60]

@cdtux non sono minchiate, affatto. La domanda originale in questa discussione è la differenza tra spoofing e impersonification, che sono infatti due cose diverse. L’esempio che hai fatto (rnicrosft vs microsoft) è un classico esempio di impersonification (facile da fare), non di spoofing (Ben piu difficile). L’articolo è un semplice articolo che ho trovato in rete, lo ho linkato perchè è per la maggior parte corretto e perchè si limita alla domanda in questione, a me pare che tu qui stia guardando al dito invece che la Luna.

Che poi le due siano solo due delle tante metodologie usate dai cyberattack è un altro paio di maniche. Che non sia determinante sapere i dettagli è anche molto meno importante che sapere riconoscere una email fasulla che a volte non è facile per nulla (io parto sempre dal presupposto che sia fasulla così evito subito di aprire allegati o fare Reply)

 

[cdtux]

L’esempio che hai fatto (rnicrosft vs microsoft) è un classico esempio di impersonification (facile da fare), non di spoofing (Ben piu difficile)

No mi spiace. L'esempio fatto rientra a pieno titolo nella categoria degli homograph attack, che sono anche complicati de evitare per via delle codifiche non latin che sono a tutti gli effetti legittime come domain.
Gli homograph attack sono anche detti script spoofing e rientrano perfettamente nella categoria degli "spoof".
Quindi ribadisco: impersonification == spoofing o se vogliamo essere pignoli lo spoofing è una sotto categoria degli impersonification (che comprende anche altro).

 

[Andretti60]

This can be done through one of two attack techniques, spoofing and impersonation. Spoofing is when the sender is attempting to send mail from, or on behalf of, the exact target domain. Impersonation is when the sender if attempting to send mail that is a lookalike, or visually similar, to a targeted domain, targeted user, or targeted brand. When cybercriminals hijack your brand identity, especially your legitimate domains, the phishing attacks they launch against your customers, marketing prospects, and other businesses and consumers can be catastrophic for them—and your business.

Microsoft

Non ti posso mandare le decine e decine di comunicazioni interne alla mia azienda, se non seguiamo corsi e superiamo i test (riceviamo anche email che dobbiamo riconoscere come phishing) ci tolgono accesso a email. E i test diventano sempre piu difficili, in quanto le tecniche di cyberattack diventano più sofisticate, anni fa non sbagliavo nessuna domanda, adesso ci devo pensare su e qualcuna la sbaglio pure.

Comunque sentiti libero di buttare anche quell’articolo nel cestino.
Ricorda: guarda la Luna, non il dito.

 

[cdtux]

Non sono io che dovrei guardare la luna, anche perchè su tutti i post di questo thread ho sempre sottolineato che le due cose sono a grandi linee identiche.

Nello specifico degli homograph attack, sono chiamati così da un po tutti. In alternativa sono conosciuti come idn spoofing o script spoofing da anni.

Un po di esempi:
mozilla: https://wiki.mozilla.org/IDN_Display_Algorithm | https://www.mozilla.org/en-US/security/advisories/mfsa2005-29/
nordvpn: https://nordvpn.com/it/blog/url-spoofing/
bitdefender: https://businessinsights.bitdefende...ing-attacks-when-user-awareness-is-not-enough
malwarebytes: https://www.malwarebytes.com/blog/news/2017/10/out-of-character-homograph-attacks-explained
claudflare: https://www.cloudflare.com/it-it/learning/ssl/what-is-domain-spoofing/
Unicode: https://www.unicode.org/reports/tr36/

Oltre alla stessa microsoft:

... An unscrupulous host site can use this visual ambiguity to pretend to be another site in a spoofing attack.

Spoofing attacks are not restricted to IDNs. For example, "rnicrosoft.com" looks much like "microsoft.com", yet it is an ASCII name. Additionally, a spoofing attack can be made by corruption of a name. ...

Security Considerations: International Features - Win32 apps

This topic provides information about security considerations related to International Support features.

docs.microsoft.com

In più anche negli rfc si parla sempre di spoofing, come ad esempio in quello del DMARC, nel quale si premurano di scrivere che non serve a mitigare questo problema ?:

DMARC does not attempt to solve all problems with spoofed or otherwise fraudulent email. In particular, it does not address the use of visually similar domain names ("cousin domains") ...

RFC 7489: Domain-based Message Authentication, Reporting, and Conformance (DMARC)

www.rfc-editor.org

Poi, se volete chiamarli in modo diverso, fate pure

 

[Andretti60]

Non sono io che dovrei guardare la luna, anche perchè su tutti i post di questo thread ho sempre sottolineato che le due cose sono a grandi linee identiche.

Infatti io misi un “piace” sul tuo primo post. Poi ho cercato di spiegare la differenza (come fece il nostro @DispatchCode) e per qualche motivo hai iniziato ad attaccarmi. E poi sei partito per la tangente parlando di homograph attack (che è solo un esempio di una delle tecniche usate) di cui non c’è cenno nella domanda originale.
Poiché anche tu pensi che spoofing e impersonification sono simili (sono tecniche diverse usate nel phishing) non vedo proprio dove sia il problema. Che esistano mille tecniche diverse (incluso il homograph attack, chiamato anche “script spoofing” tanto per confondere ancora di più le idee) non ci piove.

 

[NicoAlte99]

Grazie a tutti per le spiegazioni esaustive mi avete tolto un sacco di dubbi siete fantastici. Trovo utili tutte le risposte che ognuno di voi mi ha elencato. Ancora molte grazie buon proseguimento ;)