स्पूफिंग हमला

सूचना सुरक्षा, और विशेष रूप से नेटवर्क सुरक्षा के संदर्भ में, स्पूफिंग अटैक वह स्थिति है जिसमें व्यक्ति या प्रोग्राम सफलतापूर्वक नियम विरुद्ध लाभ प्राप्त करने के लिए डेटा को गलत सिद्ध करके दूसरे के रूप में पहचान करता है।

स्पूफिंग अटैक और टीसीपी/आईपी
टीसीपी/आईपी सूट में कई प्रोटोकॉल किसी संदेश के स्रोत या गंतव्य के प्रमाणीकरण के लिए तंत्र प्रदान नहीं करते हैं, भेजने या प्राप्त करने वाले होस्ट की पहचान को सत्यापित करने के लिए एप्लिकेशन द्वारा अतिरिक्त सावधानी नहीं बरती जाने पर उन्हें स्पूफिंग अटैक हमलों के लिए असुरक्षित छोड़ दिया जाता है। आईपी ​​​​स्पूफिंग अटैक और विशेष रूप से एआरपी स्पूफिंग अटैक का उपयोग कंप्यूटर नेटवर्क पर होस्ट के विरुद्ध मैन-इन-द-मिडिल प्रहारों का लाभ उठाने के लिए किया जा सकता है। टीसीपी/आईपी सूट प्रोटोकॉल का लाभ उठाने वाले स्पूफिंग अटैक प्रहारों को गहरे पैकेट निरीक्षण में सक्षम फ़ायरवॉल (कंप्यूटर) के उपयोग से या संदेश भेजने वाले या प्राप्तकर्ता की पहचान को सत्यापित करने के उपाय करके कम किया जा सकता है।

डोमेन नाम स्पूफिंग अटैक
शब्द 'डोमेन नाम स्पूफिंग अटैक' (या केवल चूंकि कम सटीक, 'डोमेन स्पूफिंग अटैक') का उपयोग सामान्य रूप से फ़िशिंग प्रहार के या अधिक वर्ग का वर्णन करने के लिए किया जाता है जो इंटरनेट डोमेन नाम को गलत सिद्ध करने या गलत व्यवहार से प्रस्तुत करने पर निर्भर करता है। ये बिना सोचे-समझे उपयोगकर्ताओं को किसी अन्य वेब साइट पर जाने के लिए राजी करने के लिए डिज़ाइन किए गए हैं, या ऐसा ईमेल खोलने के लिए जो वास्तव में दिखाए गए पते से नहीं है (या स्पष्ट रूप से दिखाया गया है)। चूंकि वेबसाइट और ईमेल स्पूफिंग अटैक प्रहार अधिक व्यापक रूप से जाने जाते हैं, नाम समाधान (कंप्यूटर सिस्टम) पर निर्भर किसी भी सेवा से निष्कर्ष किया जा सकता है।

रेफरर स्पूफिंग अटैक
कुछ वेबसाइटें, विशेष रूप से अशिष्ट भुगतान साइटें, सिर्फ कुछ स्वीकृत (लॉगिन-) पेजों से ही अपनी सामग्री तक पहुंचने की अनुमति देती हैं। इसे एचटीटीपी रिक्वेस्ट के एचटीटीपी रेफरर हेडर की जांच करके प्रचलित किया जाता है। चूंकि, इस रेफरर हेडर को बदला जा सकता है (रेफरर स्पूफिंग अटैक या रेफ-टार स्पूफिंग अटैक के रूप में जाना जाता है), जिससे उपयोगकर्ता सामग्री तक अनधिकृत पहुंच प्राप्त कर सकते हैं।

फ़ाइल-साझाकरण नेटवर्क का जहर
स्पूफिंग अटैक (एंटी-पाइरेसी उपाय) कॉपीराइट धारकों को फ़ाइल-साझाकरण नेटवर्क पर कार्यों के विकृत या अनसुने संस्करण रखने का भी उल्लेख कर सकता है।

ई-मेल एड्रेस स्पूफिंग अटैक
ईमेल में दिखाई गई प्रेषक की जानकारी (  फील्ड) को सरलता से संदेह दिया जा सकता है। इस तकनीक का उपयोग सामान्यतः ई-मेल स्पैम द्वारा उनके ई-मेल के मूल को छिपाने के लिए किया जाता है और गलत निर्देशित बाउंस संदेश (अर्थात ई-मेल स्पैम बैकस्कैटर (ई-मेल)) जैसी समस्याओं का कारण बनता है।

ई-मेल एड्रेस स्पूफिंग अटैक ठीक उसी तरह से किया जाता है जैसे धीमी डाक का उपयोग करके जाली रिटर्न एड्रेस लिखना। जब तक पत्र प्रोटोकॉल में फिट बैठता है, (अर्थात स्टैम्प, पोस्टल कोड) सरल डाक स्थानांतरण प्रोटोकॉल या सिंपल मेल ट्रांसफर प्रोटोकॉल (एसएमटीपी) संदेश भेजेगा। यह टेलनेट के साथ मेल सर्वर का उपयोग करके किया जा सकता है।

जियोलोकेशन
जियोपोजिशनिंग स्पूफिंग अटैक तब होता है जब कोई उपयोगकर्ता तकनीकों को प्रचलित करता है जिससे उनका डिवाइस वास्तव में जहां स्थित है, उसके अतिरिक्त कहीं और स्थित दिखाई दे। सबसे आम जियोलोकेशन स्पूफिंग अटैक वर्चुअल प्राइवेट नेटवर्क (वीपीएन) या डॉमेन नाम सिस्टम प्रॉक्सी के उपयोग के माध्यम से होता है जिससे उपयोगकर्ता वास्तव में जहां स्थित हैं, उसके अतिरिक्त किसी अन्य देश, राज्य या क्षेत्र में स्थित दिखाई दे। सार्वभौमिक वेब सूचकांक के अध्ययन के अनुसार, सार्वभौमिक वीपीएन के 49% उपयोगकर्ता मुख्य रूप से क्षेत्रीय रूप से प्रतिबंधित मनोरंजन सामग्री तक पहुँचने के लिए वीपीएन का उपयोग करते हैं। इस प्रकार के जियोलोकेशन स्पूफिंग अटैक को जियो-पाइरेसी भी कहा जाता है, क्योंकि उपयोगकर्ता अवैध रूप से जियोलोकेशन स्पूफिंग अटैक तकनीक के माध्यम से कॉपीराइट सामग्री तक पहुंच बना रहा है। जियोलोकेशन स्पूफिंग अटैक का और उदाहरण तब सामने आया जब कैलिफोर्निया में ऑनलाइन पोकर खिलाड़ी ने न्यू जर्सी में ऑनलाइन पोकर खेलने के लिए जियोलोकेशन स्पूफिंग अटैक तकनीक का उपयोग किया, जो कैलिफोर्निया और न्यू जर्सी राज्य कानून ने दोनों का उल्लंघन था। फोरेंसिक जियोलोकेशन साक्ष्य ने जियोलोकेशन ने स्पूफिंग अटैक को सिद्ध कर दिया और खिलाड़ी ने जीत में $90,000 से अधिक की राशि जब्त कर ली।

कॉलर आईडी स्पूफिंग अटैक
सार्वजनिक टेलीफोन नेटवर्क प्रायः कॉलर आईडी जानकारी प्रदान करते हैं, जिसमें प्रत्येक कॉल के साथ कॉलर का नंबर और कभी-कभी कॉलर का नाम सम्मलित होता है। चूंकि, कुछ प्रौद्योगिकियां (विशेष रूप से वीओआईपी या वॉयस ओवर आईपी (वीओआईपी) नेटवर्क में) कॉल करने वालों को कॉलर आईडी जानकारी बनाने और झूठे नाम और नंबर प्रस्तुत करने की अनुमति देती हैं। ऐसे स्पूफिंग अटैक की अनुमति देने वाले नेटवर्क और अन्य सार्वजनिक नेटवर्क के बीच गेटवे फिर उस झूठी सूचना को आगे बढ़ाते हैं। चूंकि छलपूर्ण कॉल अन्य देशों से आ सकती हैं, इसलिए प्राप्तकर्ता के देश के कानून कॉलर पर प्रचलित नहीं हो सकते हैं। यह घोटाले को आगे बढ़ाने के लिए फर्जी कॉलर आईडी जानकारी के उपयोग के विरुद्ध कानूनों की प्रभावशीलता को सीमित करता है।

ग्लोबल नेविगेशन सैटेलाइट सिस्टम स्पूफिंग अटैक
एक सार्वभौमिक सार्वभौमिक नेविगेशन उपग्रह प्रणालीजीएनएसएस) स्पूफिंग अटैक हमले नकली जीएनएसएस संकेतों को प्रसारित करके जीएनएसएस रिसीवर को संदेह देने का प्रयास करता है, जिसे सामान्य जीएनएसएस संकेतों के सेट के समान संरचित किया जाता है, या वास्तविक संकेतों को कहीं और या अलग समय पर पुनः प्रसारित किया जाता है। इन नकली संकेतों को इस तरह से संशोधित किया जा सकता है कि रिसीवर अपनी स्थिति का अनुमान लगा सकता है कि यह वास्तव में कहां है, या जहां यह है, किन्तु अलग-अलग समय पर, जैसा कि वर द्वारा निर्धारित किया गया है। गीएनएसएस स्पूफिंग अटैक हमले का सामान्य रूप, जिसे सामान्यतः कैरी-ऑफ स्पूफिंग अटैक कहा जाता है, लक्ष्य रिसीवर द्वारा देखे गए वास्तविक संकेतों के साथ सिंक्रनाइज़ किए गए प्रसारण संकेतों से प्रारंभ होता है। नकली संकेतों की शक्ति धीरे-धीरे बढ़ जाती है और वास्तविक संकेतों से दूर हो जाती है। यह सुझाव दिया गया है कि दिसंबर, 2011 में पूर्वोत्तर ईरान में लॉकहीड आरक्यू-170 ड्रोन विमान पर ईरान-अमेरिका आरक्यू-170 की घटना या कब्जा इस तरह के हमले का परिणाम था। जीएनएसएस स्पूफिंग अटैक हमलों की भविष्यवाणी की गई थी और पहले जीएनएसएस समुदाय में चर्चा की गई थी, किन्तु दुर्भावनापूर्ण स्पूफिंग अटैक हमले का कोई ज्ञात उदाहरण अभी तक पुष्टि नहीं किया गया है।  जून, 2013 में प्रूफ-ऑफ-कॉन्सेप्ट स्पूफिंग अटैक सफलतापूर्वक किया गया था, जब ऑस्टिन में टेक्सास विश्वविद्यालय में कॉकरेल स्कूल ऑफ इंजीनियरिंग के एयरोस्पेस इंजीनियरिंग छात्रों के समूह द्वारा लक्ज़री यॉट व्हाइट रोज़ ऑफ़ ड्रैक्स को स्पूफ्ड जीपीएस सिग्नल के साथ गलत दिशा में ले जाया गया था। छात्र नौका पर सवार थे, जिससे उनके स्पूफिंग अटैक उपकरण धीरे-धीरे वास्तविक जीपीएस तारामंडल उपग्रहों की सिग्नल की ताकत पर नियंत्रण कर लेते हैं, जिससे नौका का मार्ग बदल जाता है।

रूसी जीपीएस स्पूफिंग अटैक
जून 2017 में, काला सागर में लगभग बीस जहाजों ने (यूएस) जीपीएस विसंगतियों की शिकायत की, जहाजों को उनके वास्तविक स्थान से मीलों दूर स्थानांतरित करने के लिए दिखाया, जिसमें प्रोफेसर टॉड हम्फ्रीज़ का मानना ​​​​था कि यह स्पूफिंग अटैक था। पुतिन के महल और मास्को क्रेमलिन के आसपास जीपीएस विसंगतियों ने शोधकर्ताओं को यह भरोसा दिलाया है कि रूसी अधिकारी जहां भी व्लादिमीर पुतिन स्थित हैं, वहां जीपीएस स्पूफिंग अटैक का उपयोग करते हैं, जिससे समुद्री यातायात प्रभावित होता है।

नाटो अभ्यास के समय नॉर्वे स्पूफिंग अटैक सहित रूसी जीपीएस स्पूफिंग अटैक से जुड़ी अतिरिक्त घटनाएं हुईं, जो जहाज की टक्कर का कारण बनीं (अधिकारियों द्वारा अपुष्ट) और रूसी सेना द्वारा सीरिया से स्पूफिंग अटैक जिसने तेल अवीव में इजरायली मुख्य हवाई अड्डे को प्रभावित किया।

एसडीआर के साथ जीपीएस स्पूफिंग अटैक
सॉफ्टवेयर-परिभाषित रेडियो के आगमन के बाद से, जीपीएस सिम्युलेटर एप्लिकेशन को आम जनता के लिए उपलब्ध कराया गया है। इसने जीपीएस स्पूफिंग अटैक को और अधिक सुलभ बना दिया है, जिसका अर्थ है कि यह सीमित खर्च पर और थोड़े से तकनीकी ज्ञान के साथ किया जा सकता है। क्या यह तकनीक अन्य जीएनएस सिस्टम पर प्रचलित होती है, इसका प्रदर्शन किया जाना बाकी है।

जीएनएसएस स्पूफिंग अटैक को रोकना
राष्ट्रीय साइबर सुरक्षा और संचार एकीकरण केंद्र ( एनसीसीआईसी ) और संचार के लिए राष्ट्रीय समन्वय केंद्र (राष्ट्रीय साइबर सुरक्षा और संचार एकीकरण केंद्र) के सहयोग से होमलैंड सुरक्षा विभाग ने पेपर जारी किया है जो इस प्रकार के स्पूफिंग अटैक को रोकने के तरीकों को सूचीबद्ध करता है। उपयोग करने के लिए सबसे महत्वपूर्ण और अनुशंसित कुछ हैं: ये स्थापना और संचालन रणनीतियाँ और विकास के अवसर हस्तक्षेप, जैमिंग और स्पूफिंग अटैक हमलों की सीमा से बचाव के लिए जीपीएस रिसीवर और संबंधित उपकरणों की क्षमता में काफी वृद्धि कर सकते हैं।
 * 1) अस्पष्ट एंटेना। एंटेना स्थापित करें जहां वे सार्वजनिक रूप से सुलभ स्थानों से दिखाई नहीं दे रहे हैं या एंटेना को छिपाने के लिए बाधाएं प्रस्तुत करके उनके सटीक स्थान को अस्पष्ट कर सकते हैं।
 * 2) सेंसर/ब्लॉकर जोड़ें। सेंसर हस्तक्षेप, रेडियो जैमिंग और स्पूफिंग अटैक संकेतों की विशेषताओं का पता लगा सकते हैं, किसी हमले या विषम स्थिति का स्थानीय संकेत प्रदान कर सकते हैं, रिमोट मॉनिटरिंग साइट पर अलर्ट भेज सकते हैं, और फोरेंसिक उद्देश्यों के लिए विश्लेषण किए जाने वाले डेटा को एकत्र और रिपोर्ट कर सकते हैं।
 * 3) स्पूफिंग अटैक डेटा स्पूफिंग अटैक वाइटलिस्ट को सेंसर तक बढ़ाएं। उपस्थित डेटा स्पूफ़िंग श्वेतसूची को सरकारी संदर्भ सॉफ़्टवेयर में प्रस्तुत किया गया है और किया जा रहा है, और इसे सेंसर में भी प्रस्तुत किया जाना चाहिए।
 * 4) अधिक गीएनएसएस सिग्नल प्रकारों का उपयोग करें। आधुनिकीकृत सिविल जीपीएस सिग्नल एल1 सिग्नल की तुलना में अधिक मजबूत हैं और हस्तक्षेप, जैमिंग और स्पूफिंग अटैक के बढ़ते प्रतिरोध के लिए इसका लाभ उठाया जाना चाहिए।
 * 5) हस्तक्षेप, जैमिंग और स्पूफिंग अटैक की पहचान और रिपोर्टिंग में विलंबता कम करें। यदि हमले की पहचान और रिपोर्ट किए जाने से पहले रिसीवर को किसी हमले से पथभ्रष्ट किया जाता है, तो बैकअप उपकरणों को रिसीवर द्वारा सौंपने से पहले दूषित किया जा सकता है।

एक सिस्टम और रिसीवर एग्नॉस्टिक डिटेक्शन सॉफ्टवेयर क्रॉस-इंडस्ट्री सॉल्यूशन के रूप में प्रयोज्यता प्रदान करता है। सॉफ़्टवेयर कार्यान्वयन सिस्टम के भीतर विभिन्न स्थानों पर किया जा सकता है, यह इस बात पर निर्भर करता है कि गीएनएसएस डेटा का उपयोग कहाँ किया जा रहा है, उदाहरण के लिए डिवाइस के फ़र्मवेयर, ऑपरेटिंग सिस्टम या एप्लिकेशन स्तर पर।

मैरीलैंड विश्वविद्यालय, कॉलेज पार्क में इलेक्ट्रिकल और कंप्यूटर इंजीनियरिंग विभाग के शोधकर्ताओं द्वारा प्रस्तावित विधि और Huazhong विज्ञान और प्रौद्योगिकी विश्वविद्यालय में ऑप्टिकल और इलेक्ट्रॉनिक सूचना का स्कूल जिसका उद्देश्य डेटा का उपयोग करके गीएनएसएस स्पूफिंग अटैक हमलों के प्रभावों को कम करने में सहयोग करना है। वाहन नियंत्रक क्षेत्र नेटवर्क (कैन) बस से। जानकारी की तुलना प्राप्त गीएनएसएस डेटा से की जाएगी और स्पूफिंग अटैक हमले की घटना का पता लगाने के लिए और उस एकत्रित डेटा का उपयोग करके वाहन के ड्राइविंग पथ का पुनर्निर्माण करने के लिए तुलना की जाएगी। 6.25 मीटर की स्थिति में न्यूनतम त्रुटि प्राप्त करने के लिए वाहन की गति और स्टीयरिंग कोण जैसे गुण समामेलित और प्रतिगमन मॉडल किए जाएंगे। इसी तरह, 2016 के इंस्टीट्यूट ऑफ़ इलेक्ट्रिकल एंड इलेक्ट्रॉनिक्स इंजीनियर्स इंटेलिजेंट व्हीकल्स सिम्पोजियम कॉन्फ्रेंस पेपर में शोधकर्ताओं द्वारा उल्लिखित समान लक्ष्य को प्राप्त करने के लिए सहकारी अनुकूली क्रूज नियंत्रण (सीएसीसी ) और वाहन से वाहन (वि2वि ) संचार का उपयोग करने के विचार पर चर्चा की गई है। इस पद्धति में, कारों और रडार माप दोनों की संचार क्षमताओं का उपयोग दोनों कारों के बीच की दूरी को निर्धारित करने के लिए दोनों कारों की आपूर्ति की गई जीएनएसएस स्थिति के विरुद्ध तुलना करने के लिए किया जाता है, जो तब रडार मापों की तुलना में होता है और यह सुनिश्चित करने के लिए जांच की जाती है कि वे मेल खाते हैं। यदि दो लंबाई थ्रेशोल्ड मान के भीतर मेल खाती हैं, तो कोई स्पूफिंग अटैक नहीं हुई है, किंतु इस थ्रेशोल्ड से ऊपर, उपयोगकर्ता को सतर्क किया जाता है जिससे वे कार्रवाई कर सकें।

वॉयस स्पूफिंग अटैक
सूचना प्रौद्योगिकी आज की दुनिया में तेजी से बड़ी भूमिका निभाती है, और ध्वनि बायोमेट्रिक्स सहित सूचना के संसाधनों तक पहुंच को प्रतिबंधित करने के लिए विभिन्न प्रमाणीकरण विधियों का उपयोग किया जाता है। समया मान्यता सिस्टम का उपयोग करने के उदाहरणों में इंटरनेट बैंकिंग सिस्टम, कॉल सेंटर पर कॉल के समय ग्राहक की पहचान, साथ ही प्रीसेट "ब्लैकलिस्ट" का उपयोग करके संभावित अपराधी की निष्क्रिय पहचान सम्मलित है।

भाषण के संश्लेषण और मॉडलिंग से संबंधित प्रौद्योगिकियां बहुत तेज़ी से विकसित हो रही हैं, जिससे आप वास्तविक लोगों से लगभग अप्रभेद्य ध्वनि रिकॉर्डिंग बना सकते हैं। ऐसी सेवाओं को भाषा संकलन टेक्स्ट-टू-स्पीच (टीटीएस) या तंत्रिका शैली स्थानांतरण सेवाएं कहा जाता है। पहले का उद्देश्य नया व्यक्ति बनाना था। दूसरा वॉइस आइडेंटिफिकेशन सिस्टम में दूसरे के रूप में पहचान करने के उद्देश्य से है।

बड़ी संख्या में वैज्ञानिक एल्गोरिदम विकसित करने में व्यस्त हैं जो मशीन की संश्लेषित आवाज को वास्तविक से अलग करने में सक्षम होंगे। दूसरी ओर, यह सुनिश्चित करने के लिए कि सिस्टम वास्तविक में काम करता है, इन एल्गोरिदम को पूरी तरह से जांचने की आवश्यकता है।

यह भी देखें

 * डोमेन नाम स्पूफिंग अटैक – फ़िशिंग हमलों का वर्ग जो इंटरनेट डोमेन नाम को गलत सिद्ध करने या गलत तरीके से प्रस्तुत करने पर निर्भर करता है
 * कृत्रिम आईपी पते का उपयोग करके आईपी पैकेट बनाना
 * , किसी अनजान उपयोगकर्ता को भरोसे में लेने और किसी लिंक पर क्लिक करने के लिए अलग-अलग वर्णों के अक्षरों को मिलाना, जिसे स्क्रिप्ट स्पूफिंग अटैक भी कहा जाता है।
 * नकली नेटवर्क पैकेट का उपयोग करना
 * जानकारी प्रकट करने के लिए किसी व्यक्ति को प्रकाशित करने का प्रयास (प्रायः टेलीफोन या ईमेल द्वारा)।
 * नकली नेटवर्क पैकेट का उपयोग करना
 * जानकारी प्रकट करने के लिए किसी व्यक्ति को प्रकाशित करने का प्रयास (प्रायः टेलीफोन या ईमेल द्वारा)।
 * जानकारी प्रकट करने के लिए किसी व्यक्ति को प्रकाशित करने का प्रयास (प्रायः टेलीफोन या ईमेल द्वारा)।

मानक सुविधाएं जो विकृत हो सकती हैं

 * (दूसरे का उपयोग करने के लिए, अधिक उपयुक्त)।