Close Menu
    Obserwuj w google
    Xiaomi Redmi Note 12
    Sprzęt i Technologie

    Metoda „na wnuczka” powraca w niebezpiecznej formie. Czym jest spoofing i jak się przed nim chronić?

    Konrad ŁąckiBy 4 Mins Read
    reklama

    Spoofing to rodzaj ataku hakerskiego, w którym oszust podszywa się pod inny element systemu teleinformatycznego w celu nakłonienia ofiary do wykonania określonej czynności (np. podania swoich danych osobowych lub wpłacenia gotówki na konkretny rachunek bankowy). Przestępcy wykorzystują w tym celu adres IP, adres e-mail lub numer telefonu osoby zaatakowanej, a następnie zazwyczaj kontaktują się z kimś jej bliskim (np. osobą z kontaktów telefonicznych).

    Czym jest spoofing?

    We wstępie do niniejszego artykułu zarysowałem sytuację, w której oszust podszywa się pod osobę fizyczną, jednak należy pamiętać, że nie jest to jedyny możliwy scenariusz ataku. Hakerzy mogą bowiem imitować tożsamość banku, firmy, instytucji państwowej lub urzędu.

    reklama
    • Spoofing IP: polega na podszyciu się pod inny adres IP w celu ukrycia tożsamości atakującego lub podszycia się pod innego użytkownika sieci.
    • Spoofing e-mailowy: polega na wysyłaniu wiadomości e-mail, które wyglądają, jakby pochodziły z zaufanego źródła, np. banku lub firmy, w celu wyłudzenia danych osobowych lub zainfekowania komputera ofiary złośliwym oprogramowaniem.
    • Spoofing telefoniczny: polega na podszywaniu się pod inny numer telefonu, np. numer banku lub infolinii, w celu nakłonienia ofiary do podania danych osobowych lub wykonania przelewu.

    To właśnie ostatni z przytoczonych przeze mnie przykładów – czyli spoofing telefoniczny (a właściwie to Caller ID Spoofing) – jest najczęściej wykorzystywany przez cyberprzestępców.

    Spoofing – przykładowy scenariusz ataku

    Wyobraź sobie teraz, że odbierasz telefon, a Twój rozmówca przedstawia się jako przedstawiciel banku, po czym prosi Cię o podanie swoich danych i udzielenie dostępu do konta w celu wykonania operacji, którą będziesz musiał autoryzować. Oczywiście część takich połączeń będzie faktycznie pochodziła od pracowników konkretnych instytucji, jednak w każdym przypadku należy ten fakt dobrze zweryfikować.

    Jednym z popularnych przykładów ataków spoofingowych jest telefon od „pracownika banku”, który informuje ofiarę o włamaniu na konto lub o podejrzanych operacjach bankowych. Oszust prosi rozmówce nie tylko o podanie poufnych danych, ale również o zainstalowanie oprogramowania, które rzekomo może ochronić ofiarę – w rzeczywistości pozwala przejąć kontrolę nad jej urządzeniem.

    Informacja z rządowego portalu – gov.pl

    Na serwisach państwowych instytucji znajdziemy znacznie więcej przykładów dekonstruujących wspomniany rodzaj ataku hakerskiego. Na stronie Centralnego Biura Zwalczania Cyberprzestępczości umieszczono kilka potencjalnych metod, z których najczęściej korzystają oszuści. Należą do nich:

    • metoda na wnuczka (np. wypadek, pilna potrzeba przesłania gotówki);
    • metoda na policjanta, lekarza (np. wypadek z udziałem kogoś bliskiego);
    • metoda na przedstawiciela banku i pomoc techniczną (np. podejrzana aktywność na naszym koncie bankowym, zablokowanie zgromadzonych środków);
    • metoda na pracownika ZUS lub innej instytucji (np. problemy z wypłaceniem emerytury).

    Oszuści mogą również podszywać się pod tożsamość konkretnej osoby, a następnie wykonywać połączenia telefonicznie identyfikując się przy tym jako ofiara przestępstwa. Z takim problemem mierzył się w ostatnim czasie Krzysztof Stanowski.

    Jak chronić się przed spoofingiem?

    Porady dotyczące podejrzanych połączeń, skonstruowane przez przedstawicieli rządowego portalu gov.pl.

    • Zachowaj szczególną ostrożność, gdy ktoś będzie do Ciebie dzwonił i przedstawiał się jako pracownik banku lub innej instytucji. Pamiętaj, że nawet jeśli numer, z którego dzwoni, jest taki sam, jak ten podany na oficjalnej stronie, połączenie może być sfałszowane. Skontaktuj się ze swoim bankiem, samodzielnie wybierz numer na klawiaturze telefonu i zweryfikuj, czy osoba, która do Ciebie dzwoniła, mówiła prawdę.
    • Pamiętaj, że pracownik banku ani inny przedstawiciel instytucji nigdy nie będzie Cię prosił o podawanie prywatnych danych oraz jakichkolwiek haseł czy kodów dostępu. Jeśli ktoś do Ciebie zadzwoni i to zrobi, natychmiast się rozłącz i zgłoś sprawę do swojego banku.
    • Sprawdź, jakie zabezpieczenia wprowadził Twój bank i w jaki sposób możesz zweryfikować, tożsamość pracownika, który się z Tobą kontaktuje. Coraz więcej banków udostępnia taką funkcję poprzez wykorzystanie swojej aplikacji mobilnej.
    • Nie otwieraj przesłanych linków ani załączników, jeśli nie znasz nadawcy i nie masz pewności, co mogą zawierać otrzymane treści.

    Dodatkowe wskazówki dotyczące bezpieczeństwa w sieci:

    • Stosuj silne i unikalne hasła do różnych kont.
    • Włącz weryfikację dwuetapową.
    • Pobieraj aplikacje tylko z oficjalnych sklepów.
    • Aktualizuj system operacyjny i oprogramowanie na bieżąco.
    • Zainstaluj oprogramowanie antywirusowe.

    Padłem ofiarą spoofingu – co dalej?

    Wszystkie podejrzane wiadomości możesz raportować bezpośrednio do zespołu CERT Polska, który zweryfikuje twoje zgłoszenie oraz zapisze niebezpieczny kontakt w swojej bazie danych.

    Pamiętaj, że w celu zgłoszenie konkretnej wiadomości wystarczy użyć na swoim urządzeniu funkcji „przekaż”, a następie przesłać podejrzanego SMS-a na numer 8080. Dzięki temu trafi on do specjalnej bazy danych, analizowanej przez specjalistów z CERT Polska.

    Share.

    Cześć, nazywam się Konrad i pracuję jako dziennikarz technologiczny dla portalu 3D-Info. Tematyka, w której się obracam dotyczy głównie branży mobile, a więc moje nazwisko zobaczycie przy zdecydowanej większości tekstów na temat smartfonów, smartwatchy oraz tabletów. Założenie, które staram się realizować podczas mojej pracy jest dość proste - chciałbym tworzyć teksty, które realnie pomagają czytelnikom w dokonaniu możliwie najlepszego dla nich wyboru podczas zakupu nowego produktu. Dążę również do tego, aby użytkownicy sprzętów, o których piszę byli zawsze poinformowani na temat aktualizacji i nowych funkcji dostępnych na ich urządzeniach. Nie będę przesadzał z patetycznymi hasłami o poczuciu dziennikarskiej misji, ale przyznam szczerze, że uważam moją pracę za sensowną jedynie wtedy, gdy pomaga ona odbiorcom w zbudowaniu większej świadomości na tematy, o których piszę. Chciałbym również utrzymywać kontakt z czytelnikami moich treści, a więc jeśli postawiłem w którymś ze swoich tekstów tezę, z którą się nie zgadzasz (lub jest dokładnie odwrotnie - na co liczę zdecydowanie bardziej) to z całą pewnością docenię każdą wiadomość, jaka trafi na moją skrzynkę.   Portal 3D-Info jest drugim miejscem, w którym realizuję się jako dziennikarz technologiczny. Wcześniej przez rok szlifowałem swój warsztat zawodowy w redakcji magazynu PC World, w którego papierową wersję zaczytywałem się gdy byłem jeszcze w dzieckiem. Wcześniej ukończyłem również kierunek Dziennikarstwo i Komunikacja Społeczna na Uniwersytecie Jagiellońskim, ale muszę przyznać, że wiedza zdobyta w ciągu kilku lat studiów stanowi zaledwie ułamek tego czego nauczyłem się przez rok w PCW. Decyzja o zmianie pracy na stanowisko w 3D-Info była w moim przypadku podyktowana chęcią zbudowania czegoś nowego i możliwością wzbogacenia portalu o autorską wizję na tworzone przeze mnie treści.   Dziennikarstwo technologicznie nie pochłania całego mojego czasu, a na co dzień staram się również rozwijać w kreatywnych kierunkach. Uczę się więc na kierunku Produkcji Muzyki we wrocławskiej Szkole Muzyki Nowoczesnej oraz komponuję sporo utworów, które kiedyś zapewne opuszczą moją szufladę. Poza tworzeniem tekstów o technologii staram się również szlifować swój warsztat pisarski w kierunku treści beletrystycznych. Muszę jednak przyznać, że zdecydowanie największą cześć wolnego czasu spędzam niszcząc swoje nerwy na Summoners Rift.

    Podobne