O que é IP spoofing e como você pode se proteger?

Em redes de computadores, o processo de IP spoofing consiste em mascarar pacotes de IP através de endereços falsos de remetente, o que permite a falsificação do endereço de origem por meio da alteração dos cabeçalhos dos pacotes de IP.

Este tipo de ataque é chamado de IP spoofing (ou “falsificação de IP”). Mas, não se preocupe: você está no lugar certo para aprender mais sobre este tipo de crime e como se proteger dessa ameaça cibernética.

IP spoofing é quando um criminoso muda um pacote de um endereço IP original para um pacote falso, fazendo com que pareça que o tráfego seja gerado a partir de uma fonte legítima. Hackers também podem fazer o contrário: mascarar o IP do receptor.

O que possibilita a falsificação de IP é o fato de seu tráfego de rede ser dividido em pacotes para enviar e receber informações na internet. Estes pacotes são enviados individualmente e reagrupados no endereço de destino, o dispositivo do receptor ou os servidores onde os websites ficam hospedados, por exemplo.

Cada pacote de dados que você envia tem um cabeçalho de IP que contém dados como os endereços de IP dos remetentes e destinatários. Em uma conexão normal, estes pacotes de dados são transferidos por meio de protocolo TCP/IP.

Mas este protocolo tem uma vulnerabilidade: ele precisa completar três etapas de confirmação TCP para transferir a informação entre duas partes. Ele funciona assim:

1. O remetente envia uma mensagem SYN para o destinatário. Isto estabelece uma conexão e ajuda os dois dispositivos a sincronizar suas sequências numéricas;
2. O destinatário envia uma mensagem ACK – um reconhecimento de que a mensagem SYN foi recebida;
3. O remetente envia uma mensagem SYN-ACK de volta para o destinatário e confirma a conexão segura.

E é entre estas etapas que a falsificação acontece.

Criminosos cibernéticos podem usar ataques de IP spoofing para mudar o endereço IP do dispositivo, enganando outros dispositivos da rede para aumentar a exposição e vulnerabilidade deles. Você pode ocultar seu endereço de IP para diminuir as chances de que sua identidade online seja usada por criminosos.

Nos ataques de falsificação de IP mais básicos, o hacker intercepta a confirmação de TCP antes da etapa número 3, ou seja, antes de o remetente conseguir enviar a mensagem SYN-ACK. Ao invés disto, o hacker envia uma falsa confirmação incluindo o endereço do dispositivo (um endereço MAC) e um endereço de IP falsificado do remetente original.

Então, o destinatário pensa que a conexão foi estabelecida com o remetente original, mas a comunicação é feita com uma terceira parte que usa o IP adulterado.

Hackers mais criativos podem usar inúmeros métodos diferentes de falsificar seu IP. Este tipo de ataque pode ser usado contra usuários individuais ou até mesmo servidores inteiros ou aplicativos. Aqui, temos os três tipos mais comuns de uso malicioso da falsificação de IP.

Os hackers também podem utilizar esta técnica para descobrir o IP da vítima, facilitando crimes de perseguição virtual, o que coloca em risco a privacidade e a segurança da vítima.

Geralmente, o cibercrime da falsificação de IP é usada para burlar medidas de segurança como firewalls que se baseiam em blocklisting (listas de negação). Isto significa que mesmo que o IP original do criminoso esteja na lista de restrições do firewall, com um IP falsificado o criminoso consegue acessar o dispositivo do mesmo jeito.

Esta modalidade também se aplica a sistemas que possuem listas de permissões e só permitem conexões com endereços de IP “confiáveis”. Um criminoso pode falsificar um IP confiável e invadir sua rede. Depois, eles podem explorar tudo o que há internamente no sistema.

É por isto que as empresas não devem confiar apenas em autorizações de IP e, além delas, devem investir também em outros métodos de autenticação.

Outra função da falsificação de IP é facilitar a execução de ataques tipo DoS (Denial of Service, ou negação de serviço) e DDoS (Distributed Denial of Service, ou distribuição de negação de serviço), que derrubam websites ou servidores através de um número extremamente pesado de solicitações fraudulentas.

Estas solicitações, em geral, são feitas por dispositivos infectados por worms botnet cujos proprietários sequer sabem que estão sendo usados por ataques de criminosos cibernéticos.

Mas a falsificação de IP também pode ser usada para redirecionar comunicações fraudadas. O hacker pode enviar milhões de solicitações de arquivos e falsificar endereços de IP para que todos os servidores enviem respostas para o dispositivo da vítima, sobrecarregando-o.

Estes ataques são mais comuns em redes de Wi-Fi desprotegidas, como redes públicas de aeroportos e cafés. Se você visitar um endereço HTTP inseguro, um hacker pode usar falsificação de IP para fingir ser você e o website ou serviço online com o qual você se comunica, enganando as duas partes para obter acesso às suas comunicações.

Em um ataque man-in-the-middle, nenhum dos dados que você compartilha está a salvo porque o criminoso está no meio espionando todas as informações trocadas. Até mesmo detalhes inocentes podem ajudar criminosos em ataques futuros ou ajudá-los a invadir suas contas.

Uma das melhores defesas contra ataques deste tipo são ferramentas confiáveis de VPN.

Em si mesma, a falsificação de IP não é ilegal caso você não cometa nenhuma atividade ilícita com ela. Por exemplo: você pode usar um serviço de VPN ou proxy para alterar seu endereço IP e conseguir navegar na internet com segurança e sigilo.

Administradores de websites também podem usar programas para criar visitas online falsas para realizar testes de estresse para monitorar o desempenho de seus websites e servidores.

Mas a falsificação de IP é considerada ilegal se alguém fingir ser outra pessoa usando o IP da vítima e, assim, cometer crimes como roubo de identidade e outros ilícitos.

É praticamente impossível identificar uma falsificação do seu IP. E, mesmo detectada, pode ser tarde demais para fazer qualquer coisa. Mas há alguns modos de se proteger:

• Monitorar qualquer atividade atípica na rede;
• Usar métodos de verificação mais fortes;
• Colocar uma parte dos seus recursos de computação protegida por um firewall;
• Migrar websites de IPv4 a IPv6;
• Implementar filtragem de entrada e saída;
• Usar DPI (Deep Packet Inspection, ou “inspeção profunda de pacote”);

É quase impossível para um usuário comum detectar falsificação de IP, mas é possível minimizar os riscos e danos:

• Visite apenas websites com HTTPS seguro. Eles possuem protocolo TSL/SSL, o que garante que a conexão seja criptografada e segura.
• Use um bom antivírus. Programas antivírus te ajudam se alguém tentar monitorar seu tráfego de dados. Um antivírus poderoso vai escanear pacotes de dados para verificar se eles possuem código malicioso. Não é uma defesa perfeita, mas é extremamente útil.
• Use uma VPN. A NordVPN criptografa seu fluxo de dados, o que dificulta aos hackers visualizar seus dados ou falsificar seu endereço de IP. Além disso, a funcionalidade Proteção contra Vírus e Ameaças da NordVPN pode ajudar a te proteger contra websites maliciosos ou invadidos que podem acabar te expondo a ataques de spoofing.