स्पूफिंग हमला

सूचना सुरक्षा, और विशेष रूप से नेटवर्क सुरक्षा के संदर्भ में, स्पूफिंग हमला ऐसी स्थिति है जिसमें व्यक्ति या प्रोग्राम सफलतापूर्वक अवैध लाभ प्राप्त करने के लिए डेटा को गलत सिद्ध करके दूसरे के रूप में पहचान करता है।

स्पूफिंग और टीसीपी/आईपी
टीसीपी/आईपी सूट में कई प्रोटोकॉल किसी संदेश के स्रोत या गंतव्य के प्रमाणीकरण के लिए तंत्र प्रदान नहीं करते हैं, भेजने या प्राप्त करने वाले होस्ट की पहचान को सत्यापित करने के लिए एप्लिकेशन द्वारा अतिरिक्त सावधानी नहीं बरती जाने पर उन्हें स्पूफिंग हमलों के लिए असुरक्षित छोड़ दिया जाता है। आईपी ​​​​स्पूफिंग और विशेष रूप से एआरपी स्पूफिंग का उपयोग कंप्यूटर नेटवर्क पर होस्ट के विरुद्ध मैन-इन-द-मिडिल प्रहारों का लाभ उठाने के लिए किया जा सकता है। टीसीपी/आईपी सूट प्रोटोकॉल का लाभ उठाने वाले स्पूफिंग प्रहारों को गहरे पैकेट निरीक्षण में सक्षम फ़ायरवॉल (कंप्यूटर) के उपयोग से या संदेश भेजने वाले या प्राप्तकर्ता की पहचान को सत्यापित करने के उपाय करके कम किया जा सकता है।

डोमेन नाम स्पूफिंग
शब्द 'डोमेन नाम स्पूफिंग' (या केवल चूंकि कम सटीक, 'डोमेन स्पूफिंग') का उपयोग सामान्य रूप से फ़िशिंग प्रहार के या अधिक वर्ग का वर्णन करने के लिए किया जाता है जो इंटरनेट डोमेन नाम को गलत सिद्ध करने या गलत व्यवहार से प्रस्तुत करने पर निर्भर करता है। ये बिना सोचे-समझे उपयोगकर्ताओं को किसी अन्य वेब साइट पर जाने के लिए राजी करने के लिए डिज़ाइन किए गए हैं, या ऐसा ईमेल खोलने के लिए जो वास्तव में दिखाए गए पते से नहीं है (या स्पष्ट रूप से दिखाया गया है)। चूंकि वेबसाइट और ईमेल स्पूफिंग प्रहार अधिक व्यापक रूप से जाने जाते हैं, नाम समाधान (कंप्यूटर सिस्टम) पर निर्भर किसी भी सेवा से निष्कर्ष किया जा सकता है।

रेफरर स्पूफिंग
कुछ वेबसाइटें, विशेष रूप से अशिष्ट भुगतान साइटें, सिर्फ कुछ स्वीकृत (लॉगिन-) पेजों से ही अपनी सामग्री तक पहुंचने की अनुमति देती हैं। इसे एचटीटीपी रिक्वेस्ट के एचटीटीपी रेफरर हेडर की जांच करके प्रचलित किया जाता है। चूंकि, इस रेफरर हेडर को बदला जा सकता है (रेफरर स्पूफिंग या रेफ-टार स्पूफिंग के रूप में जाना जाता है), जिससे उपयोगकर्ता सामग्री तक अनधिकृत पहुंच प्राप्त कर सकते हैं।

फ़ाइल-साझाकरण नेटवर्क का जहर
स्पूफिंग (एंटी-पाइरेसी उपाय) कॉपीराइट धारकों को फ़ाइल-साझाकरण नेटवर्क पर कार्यों के विकृत या अनसुने संस्करण रखने का भी उल्लेख कर सकता है।

ई-मेल एड्रेस स्पूफिंग
ईमेल में दिखाई गई प्रेषक की जानकारी (  फील्ड) को आसानी से संदेह दिया जा सकता है। इस तकनीक का उपयोग सामान्यतः ई-मेल स्पैम द्वारा उनके ई-मेल के मूल को छिपाने के लिए किया जाता है और गलत निर्देशित बाउंस संदेश (अर्थात ई-मेल स्पैम बैकस्कैटर (ई-मेल)) जैसी समस्याओं का कारण बनता है।

ई-मेल एड्रेस स्पूफिंग ठीक उसी तरह से किया जाता है जैसे धीमी डाक का उपयोग करके जाली रिटर्न एड्रेस लिखना। जब तक पत्र प्रोटोकॉल में फिट बैठता है, (अर्थात स्टैम्प, पोस्टल कोड) सरल डाक स्थानांतरण प्रोटोकॉल | सिंपल मेल ट्रांसफर प्रोटोकॉल (एसएमटीपी) संदेश भेजेगा। यह टेलनेट के साथ मेल सर्वर का उपयोग करके किया जा सकता है।

जियोलोकेशन
जियोपोजिशनिंग स्पूफिंग तब होता है जब कोई उपयोगकर्ता तकनीकों को प्रचलित करता है जिससे उनका डिवाइस वास्तव में जहां स्थित है, उसके अतिरिक्त कहीं और स्थित दिखाई दे। सबसे आम जियोलोकेशन स्पूफिंग वर्चुअल प्राइवेट नेटवर्क (वीपीएन) या डॉमेन नाम सिस्टम प्रॉक्सी के उपयोग के माध्यम से होता है जिससे उपयोगकर्ता वास्तव में जहां स्थित हैं, उसके अतिरिक्त किसी अन्य देश, राज्य या क्षेत्र में स्थित दिखाई दे। सार्वभौमिक वेब सूचकांक के अध्ययन के अनुसार, सार्वभौमिक वीपीएन के 49% उपयोगकर्ता मुख्य रूप से क्षेत्रीय रूप से प्रतिबंधित मनोरंजन सामग्री तक पहुँचने के लिए वीपीएन का उपयोग करते हैं। इस प्रकार के जियोलोकेशन स्पूफिंग को जियो-पाइरेसी भी कहा जाता है, क्योंकि उपयोगकर्ता अवैध रूप से जियोलोकेशन स्पूफिंग तकनीक के माध्यम से कॉपीराइट सामग्री तक पहुंच बना रहा है। जियोलोकेशन स्पूफिंग का और उदाहरण तब सामने आया जब कैलिफोर्निया में ऑनलाइन पोकर खिलाड़ी ने न्यू जर्सी में ऑनलाइन पोकर खेलने के लिए जियोलोकेशन स्पूफिंग तकनीक का उपयोग किया, जो कैलिफोर्निया और न्यू जर्सी राज्य कानून दोनों का उल्लंघन था। फोरेंसिक जियोलोकेशन साक्ष्य ने जियोलोकेशन स्पूफिंग को सिद्ध कर दिया और खिलाड़ी ने जीत में $90,000 से अधिक की राशि जब्त कर ली।

कॉलर आईडी स्पूफिंग
सार्वजनिक टेलीफोन नेटवर्क प्रायः कॉलर आईडी जानकारी प्रदान करते हैं, जिसमें प्रत्येक कॉल के साथ कॉलर का नंबर और कभी-कभी कॉलर का नाम सम्मलित होता है। चूंकि, कुछ प्रौद्योगिकियां (विशेष रूप से वीओआईपी | वॉयस ओवर आईपी (वीओआईपी) नेटवर्क में) कॉल करने वालों को कॉलर आईडी जानकारी बनाने और झूठे नाम और नंबर प्रस्तुत करने की अनुमति देती हैं। ऐसे स्पूफिंग की अनुमति देने वाले नेटवर्क और अन्य सार्वजनिक नेटवर्क के बीच गेटवे फिर उस झूठी सूचना को आगे बढ़ाते हैं। चूंकि छलपूर्ण कॉल अन्य देशों से आ सकती हैं, इसलिए प्राप्तकर्ता के देश के कानून कॉलर पर प्रचलित नहीं हो सकते हैं। यह घोटाले को आगे बढ़ाने के लिए फर्जी कॉलर आईडी जानकारी के उपयोग के विरुद्ध कानूनों की प्रभावशीलता को सीमित करता है।

ग्लोबल नेविगेशन सैटेलाइट सिस्टम स्पूफिंग  
एक सार्वभौमिक सार्वभौमिक नेविगेशन उपग्रह प्रणालीजीएनएसएस) स्पूफिंग हमले नकली जीएनएसएस संकेतों को प्रसारित करके जीएनएसएस रिसीवर को संदेह देने का प्रयास करता है, जिसे सामान्य जीएनएसएस संकेतों के सेट के समान संरचित किया जाता है, या वास्तविक संकेतों को कहीं और या अलग समय पर पुनः प्रसारित किया जाता है। इन नकली संकेतों को इस तरह से संशोधित किया जा सकता है कि रिसीवर अपनी स्थिति का अनुमान लगा सकता है कि यह वास्तव में कहां है, या जहां यह है, किन्तु अलग-अलग समय पर, जैसा कि हमलावर द्वारा निर्धारित किया गया है। गीएनएसएस स्पूफिंग हमले का सामान्य रूप, जिसे सामान्यतः कैरी-ऑफ अटैक कहा जाता है, लक्ष्य रिसीवर द्वारा देखे गए वास्तविक संकेतों के साथ सिंक्रनाइज़ किए गए प्रसारण संकेतों से प्रारंभ होता है। नकली संकेतों की शक्ति धीरे-धीरे बढ़ जाती है और वास्तविक संकेतों से दूर हो जाती है। यह सुझाव दिया गया है कि दिसंबर, 2011 में पूर्वोत्तर ईरान में लॉकहीड आरक्यू-170 ड्रोन विमान पर ईरान-अमेरिका आरक्यू-170 की घटना | कब्जा इस तरह के हमले का परिणाम था। जीएनएसएस स्पूफिंग हमलों की भविष्यवाणी की गई थी और पहले जीएनएसएस समुदाय में चर्चा की गई थी, किन्तु दुर्भावनापूर्ण स्पूफिंग हमले का कोई ज्ञात उदाहरण अभी तक पुष्टि नहीं किया गया है।   जून, 2013 में प्रूफ-ऑफ-कॉन्सेप्ट अटैक सफलतापूर्वक किया गया था, जब ऑस्टिन में टेक्सास विश्वविद्यालय में कॉकरेल स्कूल ऑफ इंजीनियरिंग के एयरोस्पेस इंजीनियरिंग छात्रों के समूह द्वारा लक्ज़री यॉट व्हाइट रोज़ ऑफ़ ड्रैक्स को स्पूफ्ड जीपीएस सिग्नल के साथ गलत दिशा में ले जाया गया था। छात्र नौका पर सवार थे, जिससे उनके स्पूफिंग उपकरण धीरे-धीरे वास्तविक जीपीएस तारामंडल उपग्रहों की सिग्नल की ताकत पर नियंत्रण कर लेते हैं, जिससे नौका का मार्ग बदल जाता है।

रूसी जीपीएस स्पूफिंग
जून 2017 में, काला सागर में लगभग बीस जहाजों ने (यूएस) जीपीएस विसंगतियों की शिकायत की, जहाजों को उनके वास्तविक स्थान से मीलों दूर स्थानांतरित करने के लिए दिखाया, जिसमें प्रोफेसर टॉड हम्फ्रीज़ का मानना ​​​​था कि यह स्पूफिंग हमला था। पुतिन के महल और मास्को क्रेमलिन के आसपास जीपीएस विसंगतियों ने शोधकर्ताओं को यह भरोसा दिलाया है कि रूसी अधिकारी जहां भी व्लादिमीर पुतिन स्थित हैं, वहां जीपीएस स्पूफिंग का उपयोग करते हैं, जिससे समुद्री यातायात प्रभावित होता है।

नाटो अभ्यास के दौरान नॉर्वे स्पूफिंग सहित रूसी जीपीएस स्पूफिंग से जुड़ी अतिरिक्त घटनाएं हुईं, जो जहाज की टक्कर का कारण बनीं (अधिकारियों द्वारा अपुष्ट) और रूसी सेना द्वारा सीरिया से स्पूफिंग जिसने तेल अवीव में इजरायली मुख्य हवाई अड्डे को प्रभावित किया।

एसडीआर के साथ जीपीएस स्पूफिंग
सॉफ्टवेयर-परिभाषित रेडियो के आगमन के बाद से, जीपीएस सिम्युलेटर एप्लिकेशन को आम जनता के लिए उपलब्ध कराया गया है। इसने जीपीएस स्पूफिंग को और अधिक सुलभ बना दिया है, जिसका अर्थ है कि यह सीमित खर्च पर और थोड़े से तकनीकी ज्ञान के साथ किया जा सकता है। क्या यह तकनीक अन्य जीएनएस सिस्टम पर प्रचलित होती है, इसका प्रदर्शन किया जाना बाकी है।

जीएनएसएस स्पूफिंग को रोकना
राष्ट्रीय साइबर सुरक्षा और संचार एकीकरण केंद्र (NCCIC) और संचार के लिए राष्ट्रीय समन्वय केंद्र (राष्ट्रीय साइबर सुरक्षा और संचार एकीकरण केंद्र) के सहयोग से होमलैंड सुरक्षा विभाग ने पेपर जारी किया है जो इस प्रकार के स्पूफिंग को रोकने के तरीकों को सूचीबद्ध करता है। उपयोग करने के लिए सबसे महत्वपूर्ण और अनुशंसित कुछ हैं: ये स्थापना और संचालन रणनीतियाँ और विकास के अवसर हस्तक्षेप, जैमिंग और स्पूफिंग हमलों की सीमा से बचाव के लिए जीपीएस रिसीवर और संबंधित उपकरणों की क्षमता में काफी वृद्धि कर सकते हैं।
 * 1) अस्पष्ट एंटेना। एंटेना स्थापित करें जहां वे सार्वजनिक रूप से सुलभ स्थानों से दिखाई नहीं दे रहे हैं या एंटेना को छिपाने के लिए बाधाएं प्रस्तुत करके उनके सटीक स्थान को अस्पष्ट कर सकते हैं।
 * 2) सेंसर/ब्लॉकर जोड़ें। सेंसर हस्तक्षेप, रेडियो जैमिंग और स्पूफिंग संकेतों की विशेषताओं का पता लगा सकते हैं, किसी हमले या विषम स्थिति का स्थानीय संकेत प्रदान कर सकते हैं, रिमोट मॉनिटरिंग साइट पर अलर्ट भेज सकते हैं, और फोरेंसिक उद्देश्यों के लिए विश्लेषण किए जाने वाले डेटा को एकत्र और रिपोर्ट कर सकते हैं।
 * 3) स्पूफिंग डेटा स्पूफिंग वाइटलिस्ट को सेंसर तक बढ़ाएं। उपस्थित डेटा स्पूफ़िंग श्वेतसूची को सरकारी संदर्भ सॉफ़्टवेयर में प्रस्तुत किया गया है और किया जा रहा है, और इसे सेंसर में भी प्रस्तुत किया जाना चाहिए।
 * 4) अधिक गीएनएसएस सिग्नल प्रकारों का उपयोग करें। आधुनिकीकृत सिविल जीपीएस सिग्नल एल1 सिग्नल की तुलना में अधिक मजबूत हैं और हस्तक्षेप, जैमिंग और स्पूफिंग के बढ़ते प्रतिरोध के लिए इसका लाभ उठाया जाना चाहिए।
 * 5) हस्तक्षेप, जैमिंग और स्पूफिंग की पहचान और रिपोर्टिंग में विलंबता कम करें। यदि हमले की पहचान और रिपोर्ट किए जाने से पहले रिसीवर को किसी हमले से पथभ्रष्ट किया जाता है, तो बैकअप उपकरणों को रिसीवर द्वारा सौंपने से पहले दूषित किया जा सकता है।

एक सिस्टम और रिसीवर एग्नॉस्टिक डिटेक्शन सॉफ्टवेयर क्रॉस-इंडस्ट्री सॉल्यूशन के रूप में प्रयोज्यता प्रदान करता है। सॉफ़्टवेयर कार्यान्वयन सिस्टम के भीतर विभिन्न स्थानों पर किया जा सकता है, यह इस बात पर निर्भर करता है कि गीएनएसएस डेटा का उपयोग कहाँ किया जा रहा है, उदाहरण के लिए डिवाइस के फ़र्मवेयर, ऑपरेटिंग सिस्टम या एप्लिकेशन स्तर पर।

मैरीलैंड विश्वविद्यालय, कॉलेज पार्क में इलेक्ट्रिकल और कंप्यूटर इंजीनियरिंग विभाग के शोधकर्ताओं द्वारा प्रस्तावित विधि और Huazhong विज्ञान और प्रौद्योगिकी विश्वविद्यालय में ऑप्टिकल और इलेक्ट्रॉनिक सूचना का स्कूल जिसका उद्देश्य डेटा का उपयोग करके गीएनएसएस स्पूफिंग हमलों के प्रभावों को कम करने में सहयोग करना है। वाहन नियंत्रक क्षेत्र नेटवर्क (CAN) बस से। जानकारी की तुलना प्राप्त  गीएनएसएस डेटा से की जाएगी और स्पूफिंग हमले की घटना का पता लगाने के लिए और उस एकत्रित डेटा का उपयोग करके वाहन के ड्राइविंग पथ का पुनर्निर्माण करने के लिए तुलना की जाएगी। 6.25 मीटर की स्थिति में न्यूनतम त्रुटि प्राप्त करने के लिए वाहन की गति और स्टीयरिंग कोण जैसे गुण समामेलित और प्रतिगमन मॉडल किए जाएंगे। इसी तरह, 2016 के इंस्टीट्यूट ऑफ़ इलेक्ट्रिकल एंड इलेक्ट्रॉनिक्स इंजीनियर्स इंटेलिजेंट व्हीकल्स सिम्पोजियम कॉन्फ्रेंस पेपर में शोधकर्ताओं द्वारा उल्लिखित समान लक्ष्य को प्राप्त करने के लिए सहकारी अनुकूली क्रूज नियंत्रण (CACC) और वाहन से वाहन (V2V) संचार का उपयोग करने के विचार पर चर्चा की गई है। इस पद्धति में, कारों और रडार माप दोनों की संचार क्षमताओं का उपयोग दोनों कारों के बीच की दूरी को निर्धारित करने के लिए दोनों कारों की आपूर्ति की गई जीएनएसएस स्थिति के विरुद्ध तुलना करने के लिए किया जाता है, जो तब रडार मापों की तुलना में होता है और यह सुनिश्चित करने के लिए जांच की जाती है कि वे मेल खाते हैं। यदि दो लंबाई थ्रेशोल्ड मान के भीतर मेल खाती हैं, तो कोई स्पूफिंग नहीं हुई है, किंतु इस थ्रेशोल्ड से ऊपर, उपयोगकर्ता को सतर्क किया जाता है जिससे वे कार्रवाई कर सकें।

वॉयस स्पूफिंग
सूचना प्रौद्योगिकी आज की दुनिया में तेजी से बड़ी भूमिका निभाती है, और ध्वनि बायोमेट्रिक्स सहित सूचना के संसाधनों तक पहुंच को प्रतिबंधित करने के लिए विभिन्न प्रमाणीकरण विधियों का उपयोग किया जाता है। समया मान्यता सिस्टम का उपयोग करने के उदाहरणों में इंटरनेट बैंकिंग सिस्टम, कॉल सेंटर पर कॉल के दौरान ग्राहक की पहचान, साथ ही प्रीसेट "ब्लैकलिस्ट" का उपयोग करके संभावित अपराधी की निष्क्रिय पहचान सम्मलित है।

भाषण के संश्लेषण और मॉडलिंग से संबंधित प्रौद्योगिकियां बहुत तेज़ी से विकसित हो रही हैं, जिससे आप वास्तविक लोगों से लगभग अप्रभेद्य ध्वनि रिकॉर्डिंग बना सकते हैं। ऐसी सेवाओं को भाषा संकलन टेक्स्ट-टू-स्पीच (टीटीएस) या तंत्रिका शैली स्थानांतरण सेवाएं कहा जाता है। पहले का उद्देश्य नया व्यक्ति बनाना था। दूसरा वॉइस आइडेंटिफिकेशन सिस्टम में दूसरे के रूप में पहचान करने के उद्देश्य से है।

बड़ी संख्या में वैज्ञानिक एल्गोरिदम विकसित करने में व्यस्त हैं जो मशीन की संश्लेषित आवाज को वास्तविक से अलग करने में सक्षम होंगे। दूसरी ओर, यह सुनिश्चित करने के लिए कि सिस्टम वास्तविक में काम करता है, इन एल्गोरिदम को पूरी तरह से जांचने की आवश्यकता है।

यह भी देखें

 * डोमेन नाम स्पूफिंग – फ़िशिंग हमलों का वर्ग जो इंटरनेट डोमेन नाम को गलत सिद्ध करने या गलत तरीके से प्रस्तुत करने पर निर्भर करता है
 * , किसी अनजान उपयोगकर्ता को भरोसे में लेने और किसी लिंक पर क्लिक करने के लिए अलग-अलग वर्णों के अक्षरों को मिलाना, जिसे स्क्रिप्ट स्पूफिंग भी कहा जाता है।
 * नकली नेटवर्क पैकेट का उपयोग करना
 * (प्रायः टेलीफोन या ईमेल द्वारा)।
 * नकली नेटवर्क पैकेट का उपयोग करना
 * (प्रायः टेलीफोन या ईमेल द्वारा)।
 * (प्रायः टेलीफोन या ईमेल द्वारा)।
 * (प्रायः टेलीफोन या ईमेल द्वारा)।

मानक सुविधाएं जो विकृत हो सकती हैं

 * (दूसरे का उपयोग करने के लिए, अधिक उपयुक्त)।