Czym jest spoofing i jak się przed nim bronić?

O spoofingu zrobiło się głośno, kiedy media zaczęły opisywać coraz więcej przypadków podszywania się pod numery telefonów znanych osób i instytucji w naszym kraju. Jednak nie tylko spoofing telefoniczny stanowi poważny problem. Wyjaśniamy na czym polega spoofing i co można zrobić, aby nie stać się jego ofiarą.

Co to jest spoofing?

Spoofing to oszustwo, w którym przestępca podszywa się pod jakąś osobę, firmę lub inne zaufane źródło. Celem takiego ataku może być kradzież informacji, przekonanie ofiary do zainstalowania złośliwej aplikacji, albo wprowadzenie zamieszania i destabilizacji. Bardzo często przestępcy chcą uzyskać dostęp do cudzego konta bankowego.
Można wyróżnić wiele rodzajów spoofingu: telefoniczny, e-maila, IP, URL, danych GPS i inne.

Przykłady spoofingu

Jak to wygląda w praktyce? Każdy z nas może odebrać telefon od oszusta podającego się za pracownika banku, a na ekranie zobaczymy oficjalny numer infolinii. Ale oszust może podszywać się również pod urzędnika lub naszego znajomego, który pilnie potrzebuje pożyczki.

Ostatnio głośno jest o sytuacjach, kiedy to znane osoby dowiadują się, że z ich numeru dzwoniono z informacją o podłożeniu bomby. Niektórzy dostają też telefony z instytucji państwowych z groźbami lub informacją o śmierci bliskiej osoby. Oczywiście to kłamstwa, a sprawca może być po prostu kiepskim żartownisiem. Jednak nie ulega wątpliwości, że tego rodzaju sytuacje mogą być bardzo szkodliwe i jest coraz większa potrzeba wprowadzenia rozwiązań chroniących przed takimi „żartami”.

Jak rozpoznać spoofing

Zła informacja jest taka, że niestety każdy z nas może paść ofiarą spoofingu. Jednak istnieją sposoby na zabezpieczenie się przed takim atakiem.

Przede wszystkim rozwaga podczas przeglądania Internetu i korzystania ze skrzynki poczty elektronicznej. Przed kliknięciem w link można najechać na niego kursorem i sprawdzić, jaki adres wyświetla się w dolnej części przeglądarki. Odnośnik sugerujący przeniesienie na stronę banku, może przykładowo zawierać literówkę i tak naprawdę przenieść nas na podrobioną stronę. Warto też uważać na skrócone linki. W przypadku e-maila trzeba zwracać uwagę nie tylko na nazwę i adres nadawcy, ale też ewentualne błędy językowe. W przypadku kliknięcia nie tam gdzie trzeba, przydatny będzie dobry antywirus, który naprawdę warto zainstalować.

Trzeba pamiętać, że każdy kontakt z prośbą o podanie naszych danych może być próbą oszustwa. Nikt wiarygodny nie będzie dzwonił do klienta z prośbą o podanie jego loginu i hasła do serwisu. Nie należy też udostępniać nikomu kodów autoryzacyjnych do przelewów.

Jeżeli dzwoni do nas ktoś podający się za osobę z banku i pyta o nasze dane, a nie mamy pewności czy to na pewno pracownik banku, najbezpieczniej jest rozłączyć się i samemu zadzwonić na infolinię. Podobnie w przypadku urzędnika z ZUS. Warto też zwrócić uwagę na sposób mówienia osoby dzwoniącej oraz na to, czy nie słyszymy w słuchawce bota. Atakujący stosują też różne metody socjotechniki, przez co można odczuwać dużą presję podczas rozmowy.

Spoofing telefoniczny to coraz poważniejszy problem

W Polsce coraz większym problemem staje się spoofing rozmów telefonicznych. Przestępcy mogą podszyć się pod dowolny numer, dzięki czemu podczas połączenia wyświetlają się jako ktoś inny, np. nasz znajomy albo infolinia banku. Co więcej, jeżeli mamy ten numer w kontaktach, połączenie (lub SMS) wyświetli się pod nazwą zapisaną w telefonie. Niestety, taki atak jest prosty do przeprowadzenia. Protokoły w sieciach telefonii komórkowej są przestarzałe, przez co uniemożliwiają uwierzytelnianie rozmówców. Podczas ich projektowania lata temu, nikomu nie przyszło do głowy, że rozwój Internetu umożliwi ustawianie cudzego numeru telefonu jako własnego identyfikatora. Nawet powstało do tego celu wiele serwisów internetowych i aplikacji, które da się naprawdę zbyt szybko znaleźć. Zawierają przydatne narzędzia już za kilka euro, nawet nie trzeba specjalnej wiedzy technicznej, aby dzwonić jako ktoś inny.

Oferta jednej ze stron ułatwiających spoofing. Znajdziemy tu nie tylko podszywanie się pod cudzy numer, ale też zmianę głosu i dodawanie dźwięków w tle. Wszystko jest szyfrowane, więc atakujący może pozostać anonimowy.

To duży problem. Prawo co prawda przewiduje kary za używanie fałszywego identyfikatora w celu wyłudzenia, jednak szeroka dostępność usług umożliwiających spoofing zwyczajnie ułatwia życie oszustom. Zatem pozostaje nam zachować czujność i po prostu zdrowy rozsądek.

Zdrowy rozsądek najlepszy na spoofing

Chrońmy swoje dane. Ciężko jest zrezygnować z podawania e-maila czy numeru telefonu w różnych miejscach w Internecie, bo są wymagane chociażby podczas zakupów, jednak warto rozważyć kilka adresów e-mail do różnych usług oraz ograniczenie podawania numeru telefonu do niezbędnego minimum. Zasada ograniczonego zaufania jest naprawdę skutecznym sposobem na uniknięcie kłopotów w sieci.

A jeżeli już padliśmy ofiarą spoofingu i przykładowo podaliśmy oszustowi dane do konta bankowego, należy jak najszybciej skontaktować się z bankiem i poinformować o całej sytuacji. Warto również złożyć zawiadomienie na policji.

Źródła: Policja, Niebezpiecznik