Czym jest spoofing? Jak go rozpoznać i się przed nim bronić?

Spoofing nie jest nowym zjawiskiem, chociaż dopiero całkiem niedawno zaczęło być o nim głośno. Wszystko za sprawą mediów, które szeroko opisywały podszywanie się pod numery telefonów osób rozpoznawalnych w naszym kraju. Problem tak naprawdę dotyka wszystkich, dlatego powinniśmy wiedzieć, jak rozpoznać spoofing i jak skutecznie się przed nim bronić.
- Czym jest spoofing?
- Jak działa spoofing?
- Skąd oszuści biorą numery telefonów?
- Jak rozpoznać i chronić się przed spoofingiem?
- Przykłady spoofingu telefonicznego
Czym jest spoofing?
Oszuści stają się coraz bardziej kreatywni, a próby wyłudzenia danych chyba nikogo nie powinny już dziwić. Wszyscy jesteśmy narażeni na spoofing. Co to jest i dlaczego stanowi coraz większe zagrożenie?
Spoofing to oszustwo, które polega na podszywaniu się pod wybraną osobę, firmę, instytucję w celu uzyskania ważnych informacji albo dostępu do konta bankowego ofiary.
W artykule skupimy się w szczególności na tym, czym jest spoofing telefoniczny, ale warto wiedzieć, że podobne termin odnosi się też do spoofingu adresu IP, maila czy DNS. Skutki są w każdym z tych przypadków mogą okazać się bolesne.
Spoofing a phishing
Spoofing ze swojej definicji do złudzenia przypomina phishing. Różnica pomiędzy tymi dwoma zjawiskami jest jedna, ale bardzo ważna. Phishing dąży do wyłudzenia danych, z kolei w spoofingu po kliknięciu we wskazany link albo przycisk na stronie często dochodzi do zainstalowania dodatkowego oprogramowania.
Jak działa spoofing?
Spoofing telefonu bazuje na podszywaniu się pod cudzy numer telefonu i wykonaniu połączenia do innej osoby. W całym tym oszustwie poszkodowane są aż dwie strony. Jedną z nich jest osoba, pod którą podszywa się oszust, a drugą osoba, w stronę której kierowane jest połączenie.
Celem ataku jest wyłudzenie istotnych informacji, przekonanie do zainstalowania złośliwego oprogramowania czy uzyskanie dostępu do konta bankowego.
Osoby nieświadome zagrożenia łatwo dają się wywieść w pole. W końcu wyświetlony numer należy do kogoś, komu mogą zaufać.
Co gorsza, oszuści mają ułatwione zadanie. Żaden z nich nie musi włamywać się do telefonu osoby, pod którą chcą się podszyć. Wystarczy, że skorzystają z jednego z wielu serwisów istniejących w sieci.
Palcem wskazywać nie będziemy, ale w zasadzie każdy serwis działa na podobnej zasadzie. Wpisujemy numer, pod który się podszywamy i numer, po który chcemy zadzwonić. Możemy skorzystać z funkcji modyfikacji głosu, dodać efekty dźwiękowe czy nagrać połączenie. Wszystko to za niewielką opłatą.
Jakby tego było mało, podobne możliwości pojawiają się w przypadku wysyłania SMS z fałszywego numeru, mailów z fake’owych kont i podszywania się na WhatsAppie.
Skąd oszuści biorą numery telefonów?
Teraz pojawia się ważne pytanie: skąd oni mają numery swoich ofiar? No jak to, przecież bezpośrednio ze stron internetowych i zakładki kontaktowej. Na każdej z nich znajdziemy numer telefonu, a przynajmniej adres e-mail. Nie zapominajmy o innych publicznych źródłach i wykradzionych bazach – co jakiś czas słyszymy o podobnych aferach, jak chociażby w przypadku wycieku danych z Facebooka.
Prawo przewiduje kary dla oszustów praktykujących wyłudzenia przez spoofing telefonu, ale namierzenie ich nie jest łatwym zadaniem. Zwłaszcza, że niektóre serwisy pozwalają anonimowo opłacić zakup fałszywego identyfikatora. Niczego nie ułatwia też syntezator mowy.
Nie ma się co czarować, szeroki dostęp do usług po prostu ułatwia życie oszustom.
Jak rozpoznać i chronić się przed spoofingiem?
Jeśli to my odbieramy połączenie, które jest zespoofowane, nie mamy żadnej możliwości, aby to wykryć. W wielu miejscach w sieci podanie numeru telefonu albo adresu e-mail jest wymagane do założenia konta. Teoretycznie te dane nie są dostępne nigdzie publicznie. W praktyce, jeśli wycieka baza danych, mamy kłopot.
Mimo wszystko, najlepszym działaniem prewencyjnym jest ochrona danych. Tak, nie zawsze możemy unikać podawania numeru telefonu, ale jeśli nie musimy tego robić – zostawmy pole puste. Możemy też korzystać z różnych adresów i numerów telefonów, chociaż to rozwiązanie bywa uciążliwe.
Najskuteczniejszym sposobem, by rozpoznać spoofing rozmów telefonicznych i skutecznie się przed nim chronić jest świadomość, że takie zagrożenie istnieje. Zdrowy rozsądek jeszcze nikomu nie zaszkodził, dlatego jeśli coś wzbudza nasze podejrzenia, rozłączmy się.
Nikt wiarygodny nie będzie prosił o podanie loginu i hasła, instalację dodatkowego oprogramowania czy kody autoryzacyjne do przelewów. Te, i podobne, sytuacje powinny od razu wzbudzić nasze podejrzenia, że mamy do czynienie ze spoofingiem.
Przykłady spoofingu telefonicznego
Jednym z bardziej znanych przykładów spoofingu są próby podszywania się pod instytucje bankowe. Do nieświadomej ofiary dzwoni rzekomo pracownik banku (na ekranie faktycznie wyświetla się numer infolinii) z informacją, że konta wyszedł przelew na określoną kwotę. Ofiara zaprzecza, że takowy zlecała, na co oszust szybko proponuje przełączenie do pracownika technicznego, który pomoże zabezpieczyć konto. Ten z kolei sugeruje zainstalowanie wskazanego oprogramowania ze sklepu, po czym pomoże przeprowadzić proces zmiany hasła.
Równie głośno było o próbach podszywania się pod Główny Urząd statystyczny w celu wyłudzenia wrażliwych danych. Niektórzy z Was być może otrzymali SMS z informacją, że w drodze jest paczka, ale trzeba dopłacić określoną kwotę, aby dotarła do adresata. Podobnie jak wiadomości o wzięciu pożyczki i możliwości anulowania jej po kliknięciu w podany adres.
Ofiarami spoofingu padają też osoby znane w Polsce. Do Grażyny Bukowskiej dzwonili “pracownicy” z PKO BP, chcąc wyłudzić hasło do konta bankowego. Szymon Hołownia otrzymywał groźby, a z numeru żony Krzysztofa Brejzy zgłoszono podłożenie bomby. Przykłady spoofingu można mnożyć w nieskończoność. Jeśli jedna metoda nie działa, bo świadomość ludzi wzrosła, przestępcy szybko znajdują alternatywę.
Może Cię zainteresować: