Spoofing to rodzaj ataku hakerskiego, w którym oszust podszywa się pod inny element systemu teleinformatycznego w celu nakłonienia ofiary do wykonania określonej czynności (np. podania swoich danych osobowych lub wpłacenia gotówki na konkretny rachunek bankowy). Przestępcy wykorzystują w tym celu adres IP, adres e-mail lub numer telefonu osoby zaatakowanej, a następnie zazwyczaj kontaktują się z kimś jej bliskim (np. osobą z kontaktów telefonicznych).
Spis treści
Czym jest spoofing?
We wstępie do niniejszego artykułu zarysowałem sytuację, w której oszust podszywa się pod osobę fizyczną, jednak należy pamiętać, że nie jest to jedyny możliwy scenariusz ataku. Hakerzy mogą bowiem imitować tożsamość banku, firmy, instytucji państwowej lub urzędu.
- Spoofing IP: polega na podszyciu się pod inny adres IP w celu ukrycia tożsamości atakującego lub podszycia się pod innego użytkownika sieci.
- Spoofing e-mailowy: polega na wysyłaniu wiadomości e-mail, które wyglądają, jakby pochodziły z zaufanego źródła, np. banku lub firmy, w celu wyłudzenia danych osobowych lub zainfekowania komputera ofiary złośliwym oprogramowaniem.
- Spoofing telefoniczny: polega na podszywaniu się pod inny numer telefonu, np. numer banku lub infolinii, w celu nakłonienia ofiary do podania danych osobowych lub wykonania przelewu.
To właśnie ostatni z przytoczonych przeze mnie przykładów – czyli spoofing telefoniczny (a właściwie to Caller ID Spoofing) – jest najczęściej wykorzystywany przez cyberprzestępców.
Spoofing – przykładowy scenariusz ataku
Wyobraź sobie teraz, że odbierasz telefon, a Twój rozmówca przedstawia się jako przedstawiciel banku, po czym prosi Cię o podanie swoich danych i udzielenie dostępu do konta w celu wykonania operacji, którą będziesz musiał autoryzować. Oczywiście część takich połączeń będzie faktycznie pochodziła od pracowników konkretnych instytucji, jednak w każdym przypadku należy ten fakt dobrze zweryfikować.
Jednym z popularnych przykładów ataków spoofingowych jest telefon od „pracownika banku”, który informuje ofiarę o włamaniu na konto lub o podejrzanych operacjach bankowych. Oszust prosi rozmówce nie tylko o podanie poufnych danych, ale również o zainstalowanie oprogramowania, które rzekomo może ochronić ofiarę – w rzeczywistości pozwala przejąć kontrolę nad jej urządzeniem.
Informacja z rządowego portalu – gov.pl
Na serwisach państwowych instytucji znajdziemy znacznie więcej przykładów dekonstruujących wspomniany rodzaj ataku hakerskiego. Na stronie Centralnego Biura Zwalczania Cyberprzestępczości umieszczono kilka potencjalnych metod, z których najczęściej korzystają oszuści. Należą do nich:
- metoda na wnuczka (np. wypadek, pilna potrzeba przesłania gotówki);
- metoda na policjanta, lekarza (np. wypadek z udziałem kogoś bliskiego);
- metoda na przedstawiciela banku i pomoc techniczną (np. podejrzana aktywność na naszym koncie bankowym, zablokowanie zgromadzonych środków);
- metoda na pracownika ZUS lub innej instytucji (np. problemy z wypłaceniem emerytury).
Oszuści mogą również podszywać się pod tożsamość konkretnej osoby, a następnie wykonywać połączenia telefonicznie identyfikując się przy tym jako ofiara przestępstwa. Z takim problemem mierzył się w ostatnim czasie Krzysztof Stanowski.
Jak chronić się przed spoofingiem?
Porady dotyczące podejrzanych połączeń, skonstruowane przez przedstawicieli rządowego portalu gov.pl.
- Zachowaj szczególną ostrożność, gdy ktoś będzie do Ciebie dzwonił i przedstawiał się jako pracownik banku lub innej instytucji. Pamiętaj, że nawet jeśli numer, z którego dzwoni, jest taki sam, jak ten podany na oficjalnej stronie, połączenie może być sfałszowane. Skontaktuj się ze swoim bankiem, samodzielnie wybierz numer na klawiaturze telefonu i zweryfikuj, czy osoba, która do Ciebie dzwoniła, mówiła prawdę.
- Pamiętaj, że pracownik banku ani inny przedstawiciel instytucji nigdy nie będzie Cię prosił o podawanie prywatnych danych oraz jakichkolwiek haseł czy kodów dostępu. Jeśli ktoś do Ciebie zadzwoni i to zrobi, natychmiast się rozłącz i zgłoś sprawę do swojego banku.
- Sprawdź, jakie zabezpieczenia wprowadził Twój bank i w jaki sposób możesz zweryfikować, tożsamość pracownika, który się z Tobą kontaktuje. Coraz więcej banków udostępnia taką funkcję poprzez wykorzystanie swojej aplikacji mobilnej.
- Nie otwieraj przesłanych linków ani załączników, jeśli nie znasz nadawcy i nie masz pewności, co mogą zawierać otrzymane treści.
Dodatkowe wskazówki dotyczące bezpieczeństwa w sieci:
- Stosuj silne i unikalne hasła do różnych kont.
- Włącz weryfikację dwuetapową.
- Pobieraj aplikacje tylko z oficjalnych sklepów.
- Aktualizuj system operacyjny i oprogramowanie na bieżąco.
- Zainstaluj oprogramowanie antywirusowe.
Padłem ofiarą spoofingu – co dalej?
Wszystkie podejrzane wiadomości możesz raportować bezpośrednio do zespołu CERT Polska, który zweryfikuje twoje zgłoszenie oraz zapisze niebezpieczny kontakt w swojej bazie danych.
- Chcesz zgłosić konkretną osobę kontaktową? Zrobisz to tutaj
- Chcesz zgłosić złośliwą domenę? Zrobisz to tutaj
- Chcesz zgłosić numer telefonu? Zrobisz to tutaj
Pamiętaj, że w celu zgłoszenie konkretnej wiadomości wystarczy użyć na swoim urządzeniu funkcji „przekaż”, a następie przesłać podejrzanego SMS-a na numer 8080. Dzięki temu trafi on do specjalnej bazy danych, analizowanej przez specjalistów z CERT Polska.