Spoofing: definição, tipos e como se proteger

O que é spoofing?

Ataques de spoofing são ações realizadas por cibercriminosos e programas que se passam por outra pessoa, organização ou empresa ao falsificar dados e identidades para obter vantagens ilegítimas. Os ataques de spoofing, como os de IP spoofing, envolvem estratégias para enganar as vítimas e obter acesso a redes e sistemas, além de informações sigilosas, fazendo com que elas pensem que estão se comunicando com pessoas e organizações legítimas.

Então, de modo simples, spoofing é um termo usado para designar todo um conjunto de práticas usadas por cibercriminosos que se passam por pessoas ou entidades confiáveis para obter a confiança das pessoas e, assim, roubar ou receber acesso a dados sigilosos, sistemas e redes.

Os ataques de spoofing podem ser considerados como uma modalidade de engenharia social, já que dependem em grande parte de ações para enganar e induzir as vítimas e das ações tomadas pelas próprias pessoas para permitir a invasão de sistemas e obtenção de dados, de modo bastante similar ao phishing.

Como o spoofing funciona?

Os ataques de spoofing envolvem dois aspectos principais: o primeiro, que é o spoof em si, que pode ser um e-mail falso, um website falso ou até mesmo mensagens em redes sociais e aplicativos como o WhatsApp e o Telegram; e o segundo, que geralmente é uma estratégia de engenharia social. O objetivo principal é enganar as vítimas fazendo-as acreditar que tudo é parte de uma comunicação real com uma pessoa ou grupo de confiança.

Por exemplo: você recebe um e-mail parecido com um e-mail legítimo enviado pela Amazon com o aviso de que houve algum problema com uma compra que você fez. E, para resolver o problema, você precisa clicar em um link. Basta um clique para baixar malware no seu dispositivo ou te direcionar para um website malicioso que vai te induzir a preencher formulários com suas informações pessoais (ou informações da sua empresa).

Todo o processo depende da vítima acreditar na veracidade das informações e na identidade de quem entra em contato. Nos ataques bem-sucedidos, os cibercriminosos conseguem infectar e invadir os dispositivos, roubar informações e realizar uma série de outras ações danosas.

Esta tática é bastante parecida com os ataques de phishing. Mas, apesar das similaridades, há algumas diferenças fundamentais entre spoofing e phishing.

Diferenças entre ataques de spoofing e ataques de phishing

Os objetivos do spoofing e do phishing são quase os mesmos, mas a principal diferença entre os dois é que o phishing é um termo mais amplo para englobar ciberataques que usam táticas enganosas para permitir que os cibercriminosos tenham acesso a informações sensíveis, enquanto spoofing é o método de criar uma identidade falsa para burlar mecanismos de segurança e obter a confiança das vítimas. As técnicas de spoofing podem ser usadas em ataques de phishing e vice-versa.

Os ataques de phishing geralmente envolvem o envio de e-mails, mensagens ou websites e perfis fakes, mas os ataques de spoofing geralmente envolvem métodos mais complexos, como manipulação de headers (cabeçalhos) de e-mails, URLs, extensões em navegadores ou endereços de IP.

Tipos de spoofing

Há vários tipos e categorias de spoofing, e os principais são os spoofing de e-mail, spoofing de IP e spoofing de GPS. As principais categorias de spoofing podem ser organizadas das seguinte maneira:

Spoofing de e-mail

Este é o tipo mais comum de spoofing. Os cibercriminosos enviam e-mails que parecem legítimos, e muitas vezes modificam os cabeçalhos para induzir as vítimas de que o remetente é confiável.

No geral, estes e-mails trazem informações sobre supostos problemas (falsos, é claro) e exigem alguma ação dos usuários para resolver o problema (como uma encomenda que foi extraviada, a presença de um suposto vírus no dispositivo, a conclusão de um contrato ou uma venda, a renovação de documentos junto ao governo, o pagamento de impostos e multas, entre outros).

Estes e-mails solicitam informações ou pagamentos por parte das vítimas e muitas vezes vêm acompanhados de links e anexos maliciosos.

Spoofing de IP

O Spoofing de IP é uma técnica usada para obter acesso a uma rede através da alteração do endereço de IP dos cabeçalhos de pacotes, tudo com um endereço IP falso. Assim, os cibercriminosos conseguem burlar mecanismos de defesa de tráfego de rede e acessar dispositivos e redes como se fossem fontes confiáveis.

Muitos hackers usam endereços de IP adulterados para burlar estas táticas de segurança, ganhar acesso às redes, interceptar dados e sobrecarregar servidores para realizar ataques de DDoS.

Spoofing de URL ou de website

O spoofing de URL ou de website envolve a criação de websites falsos que se parecem com os endereços reais, geralmente com URLs muito parecidas com as originais. Os links enviados em e-mails de spoofing e phishing geralmente redirecionam as vítimas para este tipo de website. Os cibercriminosos usam domínios muito parecidos com os originais (como ‘’www.example.co’’ ao invés de ‘’www.example.com’’).

Este tipo de spoofing também pode manipular o navegador e fazer com que ele exiba informações falsas na barra de endereços. O objetivo é fazer com que as pessoas acreditem que estão em um site seguro e real, induzindo-as a fornecer informações pessoais sigilosas (como endereço, CPF, identidade, dados de cartões de crédito, informações de login em redes sociais e e-mail, entre outros).

Outros tipos de spoofing

Há outras categorias e tipos de spoofing que podem ser encaixados nos tipos principais, mas que podem ser individualizados de forma melhor:

• Spoofing de chamada telefônica: neste tipo de spoofing, os criminosos entram em contato com as vítimas através de ligações telefônicas ou através do uso de bots em chamadas automáticas. Os cibercriminosos se passam por empresas, pessoas e até conhecidos para ganhar a confiança das vítimas e induzi-las a tomar ações para favorecer o roubo de informações e de dinheiro.
• Ataques de MIM: os ataques de MIM (Man-in-the-Middle) são um tipo de ciberataque no qual os criminosos se colocam entre a comunicação realizada entre duas partes, como uma espécie de intermediários, o que permite a interceptação das informações das vítimas, além de outras ações perigosas que expõem os dados delas e favorecem o roubo de identidade, por exemplo.
• Spoofing de DNS: o spoofing de DNS (também conhecido como cache poisoning, ou envenenamento de cache) envolve usar domínios adulterados para enganar os usuários e redirecionar a navegação deles para websites maliciosos, tudo com o objetivo de roubar informações e disseminar malware.
• Spoofing de GPS: nesta categoria de spoofing, os cibercriminosos transmitem sinais falsos de GPS para interferir nos mecanismos de GPS dos dispositivos ao redor, o que faz com que eles mostrem localizações falsas. Apesar de ser uma tática mais usada no meio militar e de corporações de alto nível, esta tática pode ser usada contra qualquer indivíduo e empresa.
• Spoofing de mensagens de texto: neste tipo de spoofing, os golpistas enviam mensagens de texto através de redes sociais, aplicativos (como WhatsApp e Telegram) ou SMS para induzir as vítimas de que a comunicação é confiável. Assim, as vítimas são induzidas a clicar em algo, fazer uma chamada para contactar os golpistas ou tomar outras ações que vão permitir o roubo de dados.
• Spoofing de ARP: o spoofing de ARP (Address Resolution Protocol, ou protocolo de endereço de resolução) é um protocolo que usa o endereço IP de um dispositivo para descobrir o endereço de hardware em uma rede local (LAN). Os criminosos conseguem enviar mensagens falsificadas de ARP para a rede local da vítima, garantindo acesso à rede dela.
• Spoofing facial: é um tipo de spoofing usado para burlar mecanismos de segurança cibernética que usam reconhecimento facial para proteger os dispositivos e contas, tudo através de fotos, vídeos e máscaras para similar os traços faciais reais das vítimas e ganhar acesso ilegítimo.
• Spoofing de vizinhos: apesar do nome, esta categoria envolve o ato de se passar por pessoas próximas e conhecidas das vítimas e, assim, conseguir ganhar a confiança delas.

Exemplos de spoofing

Um exemplo de spoofing bastante comum é quando um cibercriminoso envia uma mensagem de texto que parece enviada de uma pessoa que você conhece, como algum parente ou amigo, por exemplo. E, na mensagem, os cibercriminosos (que se passam pela pessoa que você conhece) pedem algum valor em dinheiro, informações de cartão de crédito ou outros tipos de dados sensíveis.

Outro exemplo de spoofing é quando você recebe uma ligação de um golpista que se passa por alguma empresa, como o seu banco, por exemplo. Aí, o criminoso pede dados bancários sigilosos para corrigir um suposto problema na sua conta.

Além destes exemplos, outra tática muito comum usada por cibercriminosos contra as vítimas no Brasil é enviar e-mails se passando por órgãos do governo, comunicando falsas fraudes ou pendências. Eles exigem pagamentos e dados sigilosos para evitar perda e cancelamento de documentos, como título de eleitor, identidade e CPF, por exemplo.

Estes são alguns exemplos práticos de ataques de spoofing, mas há uma variedade de estratégias e métodos diferentes, todos com o mesmo objetivo: te induzir a fornecer informações sigilosas e te levar a crer que toda comunicação é real e confiável.

Como identificar ataques de spoofing

Há vários métodos e dicas que você pode seguir para identificar estratégias de spoofing e, assim, se proteger da melhor forma e evitar danos que podem ser irreversíveis. Como estas modalidades de scam dependem da ingenuidade, desconhecimento e engano da vítima, adotar uma boa dose de análise crítica e cautela é algo fundamental:

1. Preste bastante atenção nos erros de ortografia e gramática

Muitas mensagens e e-mails de spoofing são cheios de erros de digitação. Estes erros de ortografia e gramática são um indício muito forte de que a mensagem não é autêntica. Afinal, empresas e agências de governo buscam um nível mais formal e profissional em suas comunicações.

2. Cuidado com links e anexos suspeitos

Os golpes de spoofing muitas vezes são acompanhados por links com o objetivo de te redirecionar para websites falsos e, assim, te induzir a inserir seus dados pessoais através destes websites. Além disto, eles também vêm acompanhados de arquivos em anexo que são malware e prejudicam a segurança do seu dispositivo e das suas informações. Arquivos com extensões .scr, .bat, .zip, .com e .exe são especialmente perigosos.

3. Verifique o tom da mensagem

Mensagens de spoofing geralmente possuem um tom alarmista, de urgência. O objetivo é gerar uma necessidade de ação imediata por parte das vítimas. Mensagens confiáveis evitam este tipo de tom, então suspeite de qualquer mensagem que aponte um suposto problema e exija ações como clicar em um link, baixar algo ou pagar qualquer valor. Na dúvida, entre em contato com a empresa ou pessoa através de um canal oficial e seguro para verificar a credibilidade da informação.

O mesmo vale para mensagens otimistas demais, com ofertas imperdíveis, produtos por preços extremamente baixos ou mensagens sobre prêmios. Se a oferta é boa demais para ser verdade, provavelmente é porque é mentira mesmo.

4. Mensagens que solicitam dados pessoais

Nenhum e-mail real de instituições do governo ou empresas legítimas vai solicitar suas informações pessoais, senhas e dados de cartão de crédito. Estas informações são pessoais e intransferíveis e você não deve repassar estes dados para ninguém, mesmo que seja alguém supostamente representando uma empresa real ou o governo. Desconfie de qualquer mensagem que solicite dados pessoais sigilosos.

5. Mensagens só com texto ou só com imagens

Se o corpo da mensagem for só uma imagem com links inseridos nelas ou só textos juntamente com links, há uma chance muito grande de serem mensagens de golpes de spoofing. Desconfie de mensagens que não usem uma mescla de layout com imagens e textos, assim como a ausência de logos e dados de contato reais.

6. Verifique a credibilidade da URL

Tome muito cuidado com URLs que não são legítimas. É essencial que o link ofereça criptografia e segurança (com o https:// logo no começo da URL). Preste bastante atenção para identificar diferenças entre a URL inserida na mensagem e o endereço real do site da empresa ou agência de governo.

7. Passe o mouse em cima do endereço do remetente

Ao passar o mouse pelo campo de remetente do e-mail, você vai conseguir visualizar o e-mail do remetente, o que ajuda a identificar se a mensagem é confiável ou não. Se alguém da empresa Match.com entra em contato, por exemplo, o e-mail do remente deve ter o domínio match.com. Os criminosos usam nomes muto parecidos (como motch.com, no caso do exemplo citado aqui) ou domínios totalmente aleatórios que transmitem amadorismo.

8. Veja se seu endereço de e-mail aparece como remetente

Se o seu próprio endereço de e-mail aparecer no campo de remetente, então a mensagem é um golpe de spoofing. Muitos criminosos usam esta tática para ocultar os próprios endereços e, assim, se expor menos.

9. Desconfie de ligações estranhas

Nenhuma empresa séria vai te ligar para pedir dados de cartão de crédito, senhas do banco ou qualquer tipo de dado sigiloso. Desconfie de chamadas com este teor e jamais compartilhe seus dados pessoais e intransferíveis. As chamadas são usadas pelos criminosos para dar um ar maior de ‘’profissionalismo’’ e confiabilidade, mas o objetivo é o mesmo das outras táticas de roubo de dados e golpes.

Como se proteger contra os ataques de spoofing?

Há várias formas de se proteger contra as táticas de spoofing e manter seus dados e dispositivos em segurança:

• Não clique em links suspeitos nem baixe arquivos enviados em anexo cuja procedência seja duvidosa.
• Mantenha seu filtro de spam ativo para te proteger contra e-mails com potencial nocivo.
• Habilite a autenticação de dois fatores (2FA) ou autenticação de multifatores (MFA).
• Mantenha seus programas, aplicativos e sistemas operacionais atualizados para corrigir vulnerabilidades de segurança (elas podem ser usadas por um hacker para realizar ataques, por exemplo).
• Preste bastante atenção em erros de ortografia e gramática, problemas no design e layout das imagens e websites. Eles são fortes indicadores de que o conteúdo é falso e que tudo é um ataque de spoofing.
• Use ferramentas de cibersegurança confiáveis e profissionais, como uma VPN robusta, um programa antivírus e um bom software anti-malware, por exemplo.

Além destas dicas, confira nosso guia sobre as principais ameaças de Cibersegurança em 2024 e como se proteger da melhor forma.

Como a maioria dos ataques de spoofing depende das suas atitudes, uma boa dose de cautela já é suficiente para evitar grande parte destas estratégias. Sempre faça uma checagem antes de acreditar em algo, clicar em algum link ou baixar qualquer coisa.