Спуфінг (англ. spoofing, від «spoof» — обман, містифікація) — це кібератака, під час якої зловмисник маскується під надійне джерело: підробляє адресу електронної пошти, телефонний номер, IP-адресу, вебсайт або GPS-сигнал. Мета — змусити жертву повірити, що вона спілкується з кимось, кому довіряє.
🔹 Спуфінг — підміна особи, адреси або сигналу для введення в оману
🔹 Найпоширеніші види: email, телефон (Caller ID), IP, DNS, GPS, вебсайт
🔹 Мета: крадіжка паролів і грошей, зараження шкідливим ПЗ, обхід захисту мережі
🔹 В Україні найактуальніший: телефонний спуфінг (дзвінки «від банку»)
🔹 Захист: двофакторна автентифікація, перевірка відправника, антивірус, VPN, здоровий глузд
🔹 Термін існує понад 100 років — спочатку означав будь-який обман
Визначення: що таке спуфінг простими словами
Уявіть: вам дзвонить «ПриватБанк» — ви бачите знайомий номер на екрані. Або приходить лист від «Google» із проханням терміново змінити пароль. Або навігатор веде вас не туди, бо хтось підробив GPS-сигнал. Усе це — спуфінг.
Ключова ознака: підміна відправника або джерела. Зловмисник не зламує вашу пошту чи телефон — він просто переконує вас, що є кимось іншим. Це техніка соціальної інженерії, підсилена технічними інструментами.
Термін «spoofing» існує понад сто років і спочатку означав будь-яку форму обману або містифікації. У сучасному значенні він майже виключно стосується кіберзлочинності — щоразу, коли шахрай ховає свою справжню ідентичність за чужою.
Спуфінг ≠ фішинг. Фішинг — це спосіб виманювання даних (зазвичай через підроблений сайт або лист). Спуфінг — це техніка підробки відправника, яку фішинг часто використовує як інструмент. Спуфінг може існувати і без фішингу — наприклад, при IP-атаках на мережу.
Основні види спуфінгу
Спуфінг — це не один метод, а ціла родина технік. Кожна з них атакує інший канал зв’язку або довіри.
1. Email-спуфінг (підробка електронної пошти)
Найпоширеніший вид. Зловмисник підробляє поле «Від кого» в листі, щоб він виглядав як надісланий від банку, держоргану, відомої компанії або навіть вашого колеги. Насправді лист надходить з іншого сервера.
Як це виглядає: у вхідних — лист ніби від support@privat24.ua. Але якщо натиснути «Показати заголовки», реальна адреса буде зовсім іншою — наприклад, x7q@randomhost.ru. Протоколи захисту (SPF, DKIM, DMARC) мають блокувати такі листи, але шахраї регулярно їх обходять.
Середній офісний працівник отримує десятки листів на день. Email-спуфінг є одним із головних способів доставки шкідливих вкладень і фішингових посилань.
2. Телефонний спуфінг — Caller ID Spoofing
Шахрай підмінює номер, який відображається на вашому екрані. Ви бачите «ПриватБанк» або навіть номер «мами» — але насправді телефонує зловмисник з іншої країни через VoIP (голосові дзвінки через інтернет).
Більшість таких дзвінків здійснюється саме через інтернет-телефонію, яка дозволяє задати будь-яке значення Caller ID. Технічно Caller ID — це лише дані, які надсилаються разом із дзвінком: будь-яке програмне забезпечення може підмінити їх на що завгодно.
Типова схема в Україні: людині дзвонить «служба безпеки банку» з офіційного номера. Повідомляють про підозрілі операції і просять назвати CVV, PIN або одноразовий код. Банк ніколи не запитує ці дані телефоном.
3. IP-спуфінг
Зловмисник підробляє IP-адресу в мережевих пакетах, імітуючи легітимний пристрій або сервер. Це дозволяє обійти фільтри, що дозволяють доступ лише з певних адрес, або здійснити DDoS-атаку так, щоб її неможливо було простежити до джерела.
IP-спуфінг рідко спрямований на звичайних користувачів — це переважно інструмент для атак на корпоративні мережі, сервери та інфраструктуру. Класичне застосування: атаки типу DoS/DDoS, коли тисячі підроблених запитів перевантажують сервер, і він виходить з ладу.
4. DNS-спуфінг (підміна DNS)
DNS — це «телефонна книга» інтернету: він перетворює адресу google.com на числову IP-адресу сервера. При DNS-спуфінгу зловмисник підміняє ці записи, і ваш браузер веде вас на підроблений сайт замість справжнього — навіть якщо ви ввели правильну адресу.
Приклад: ви вводите monobank.ua — і потрапляєте на точну копію сайту. Вводите логін і пароль. Шахраї їх отримують, а вас перенаправляють на справжній сайт. Ви нічого не помічаєте.
DNS-спуфінг небезпечний саме тому, що все виглядає цілком законно — навіть URL у рядку браузера може здаватися правильним. Захист — використання VPN та перевірка SSL-сертифіката сайту.
5. GPS-спуфінг
Зловмисник генерує підроблений GPS-сигнал, сильніший за справжній. Пристрій жертви (смартфон, навігатор, борт літака, безпілотник) «думає», що знаходиться в іншому місці.
GPS-спуфінг активно використовується у зонах збройних конфліктів. Зокрема, в Україні та навколо неї фіксуються численні випадки GPS-спуфінгу, спрямованого на дезорієнтацію безпілотників і порушення авіанавігації.
Авіаційний захист від GPS-спуфінгу: льотні екіпажі при підозрілому сигналі переходять на інерційні системи (INS) та радіомаяки (VOR/DME). Ці системи автономні й не залежать від зовнішніх сигналів — їх неможливо «заглушити» або підробити ззовні.
6. Вебсайт-спуфінг
Створення точної копії відомого сайту — банку, держпорталу, соціальної мережі — з метою збору облікових даних. Підроблений сайт може мати схожу URL-адресу (наприклад, privatb4nk.com замість privatbank.ua) або навіть «правильну» адресу завдяки DNS-спуфінгу.
7. ARP-спуфінг
Атака на локальну мережу (наприклад, корпоративну Wi-Fi або домашній роутер). Зловмисник розсилає підроблені ARP-повідомлення, перехоплюючи трафік між пристроями всередині мережі. Це дозволяє читати незашифровані дані, змінювати їх або перенаправляти з’єднання.
Порівняльна таблиця видів спуфінгу
| Вид | Що підробляється | На кого спрямовано | Типова мета |
|---|---|---|---|
| Адреса відправника листа | Всі користувачі | Фішинг, шкідливі вкладення | |
| Caller ID | Номер телефону дзвінка | Всі користувачі | Крадіжка даних, шахрайство з банком |
| IP | IP-адреса пакету | Мережі, сервери | DDoS, обхід фільтрів |
| DNS | Записи DNS-сервера | Всі користувачі | Перенаправлення на підроблені сайти |
| GPS | Сигнал геолокації | Транспорт, дрони, авіація | Дезорієнтація, захоплення БПЛА |
| Вебсайт | Зовнішній вигляд сайту | Всі користувачі | Крадіжка паролів, даних карток |
| ARP | Адреси в локальній мережі | Корпорації, офіси | Перехоплення трафіку (MITM) |
Як працює спуфінг: механіка обману
Незалежно від виду, спуфінг завжди діє за однією схемою: підробка → довіра → дія жертви → вигода зловмисника. Технічна складова варіюється, але психологічна — незмінна.
Для успішної атаки зловмиснику потрібно два компоненти. Перший — технічний: інструмент для підміни ідентифікатора (програмне забезпечення VoIP, підроблені заголовки листа, ARP-відповіді тощо). Другий — соціальна інженерія: сценарій, який змушує жертву діяти: назвати код, перейти за посиланням, перекинути гроші.
Типовий сценарій телефонного спуфінгу:
1. На екрані — номер вашого банку.
2. «Оператор» повідомляє про підозрілі списання з вашого рахунку.
3. Просить «підтвердити особу» — назвати CVV, PIN або код із SMS.
4. Ви називаєте. Гроші списуються за лічені хвилини.
Спуфінг в Україні: актуальні загрози
В Україні найпоширенішим є телефонний спуфінг із імітацією дзвінків від банків. Шахраї дзвонять начебто від імені ПриватБанку, Монобанку, «служби безпеки НБУ» або навіть поліції. Технологія VoIP дозволяє їм підмінити номер і телефонувати з будь-якої точки світу.
Окремою проблемою є GPS-спуфінг у зонах бойових дій. Через підробку GPS-сигналів у низці регіонів регулярно фіксуються аномалії навігації цивільних літаків і морських суден. Українські та міжнародні авіаційні органи попереджають про підвищений ризик у повітряному просторі навколо конфліктних зон.
Пам’ятайте: жоден банк не телефонує першим із проханням назвати PIN, CVV або код із SMS. Якщо такий дзвінок надійшов — покладіть слухавку і самостійно зателефонуйте на офіційну гарячу лінію банку, номер якої знаходиться на звороті вашої картки або на офіційному сайті.
Як розпізнати спуфінг
Ознаки можливого спуфінгу різняться залежно від каналу, але є й загальні сигнали тривоги:
| Канал | Ознаки спуфінгу |
|---|---|
| Незвичайне доменне ім’я (privat24.com замість privat24.ua); термінові запити даних; граматичні помилки; посилання веде не туди, куди написано | |
| Телефон | Дзвінок від «банку» з проханням назвати CVV/PIN; незвичний номер або код міста; роботизований голос; тиск і квапливість |
| DNS/Сайт | Немає замка HTTPS; SSL-сертифікат на інше ім’я; незвична URL-адреса; дизайн виглядає трохи «не так» |
| GPS | Різке стрибкоподібне переміщення на карті; навігатор показує місце, яке не відповідає реальному; сигнал то зникає, то з’являється |
Як захиститися від спуфінгу
Комплексний захист від спуфінгу — це поєднання технічних заходів та особистої обачності.
Для звичайних користувачів
- Двофакторна автентифікація (2FA) — навіть якщо зловмисник отримає пароль, без другого фактора він не ввійде до акаунту
- Ніколи не повідомляйте по телефону PIN, CVV, паролі й коди з SMS — жодна легітимна організація цього не вимагає
- Перевіряйте відправника у листах: не лише ім’я, але й повну адресу (натисніть на неї)
- Використовуйте VPN — він шифрує трафік і захищає від DNS-спуфінгу в публічних мережах
- Перевіряйте HTTPS і сертифікат сайту перед введенням будь-яких даних
- Оновлюйте програмне забезпечення — більшість атак використовують вразливості застарілих версій
- Використовуйте антивірус з актуальними базами
Найпростіше правило: якщо дзвінок або лист здається підозрілим — не дійте негайно. Покладіть слухавку, знайдіть офіційний контакт організації самостійно і зателефонуйте або напишіть туди. Шахраї завжди створюють відчуття терміновості — саме це має насторожити.
Для бізнесу та IT-спеціалістів
- Налаштувати SPF, DKIM і DMARC — захист поштового домену від підробки
- Використовувати DNSSEC для захисту DNS-записів від підміни
- Впровадити фільтрацію мережевих пакетів для виявлення IP-спуфінгу
- Регулярно проводити навчання співробітників із розпізнавання атак соціальної інженерії
- Використовувати системи виявлення вторгнень (IDS/IPS) для моніторингу мережі
Чи є спуфінг завжди незаконним
Підміна ідентифікатора сама по собі не завжди є злочином — все залежить від мети. Існують і легітимні застосування: наприклад, компанії змінюють Caller ID на назву організації або єдиний номер гарячої лінії, щоб клієнти розуміли, хто телефонує. Це законна практика.
Злочином спуфінг стає тоді, коли він використовується для обману, шахрайства, крадіжки даних або несанкціонованого доступу. В Україні такі дії кваліфікуються за статтями Кримінального кодексу про шахрайство (ст. 190 КК), несанкціонований доступ до комп’ютерних систем (ст. 361 КК) та суміжними статтями.
💡 Корисний факт: протоколи захисту електронної пошти SPF, DKIM і DMARC існують саме для боротьби з email-спуфінгом. Якщо ваш поштовий домен правильно налаштований, лист-підробка під вашою адресою буде відхилений або позначений як спам ще до того, як потрапить до адресата.
😯 Несподіване: у США навіть після впровадження системи STIR/SHAKEN — спеціального протоколу, покликаного зупинити Caller ID Spoofing, — шахраї продовжують її обходити, бо протокол підтверджує лише оператора дзвінка, але не особу, яка телефонує.
❓ Часте питання: «Чи можна заблокувати підроблений номер?» — Ні. Оскільки підміна відбувається щоразу по-новому, блокування конкретного номера марне: наступного разу шахрай покаже інший. Найефективніший захист — не реагувати на підозрілі запити, а не намагатися заблокувати номер.
Головне про спуфінг
- Спуфінг — підробка особи, адреси або сигналу для введення в оману
- Основні види: email, Caller ID (телефон), IP, DNS, GPS, вебсайт, ARP
- В Україні найактуальніший — телефонний спуфінг під вигляд банків
- Банк ніколи не запитує PIN, CVV або коди з SMS по телефону першим
- Захист: 2FA, VPN, перевірка відправника, антивірус, HTTPS, обачність
- Для бізнесу: SPF + DKIM + DMARC для пошти, DNSSEC для DNS
- Спуфінг заради обману і крадіжки — кримінальний злочин
Стаття носить інформаційно-освітній характер. Якщо ви стали жертвою кіберзлочину або шахрайства, зверніться до кіберполіції України (cyber.police.gov.ua) або до банку безпосередньо за номером на звороті вашої картки.
