Czym jest spoofing i jak się przed nim chronić? Metoda “na wnuczka” powraca w nowej formie

Spoofing to rodzaj ataku hakerskiego, w którym oszust podszywa się pod inny element systemu teleinformatycznego w celu nakłonienia ofiary do wykonania określonej czynności (np. podania swoich danych osobowych lub wpłacenia gotówki na konkretny rachunek bankowy). Przestępcy wykorzystują w tym celu adres IP, adres e-mail lub numer telefonu osoby zaatakowanej, a następnie zazwyczaj kontaktują się z kimś jej bliskim (np. osobą z kontaktów telefonicznych).

Czym jest spoofing?

We wstępie do niniejszego artykułu zarysowałem sytuację, w której oszust podszywa się pod osobę fizyczną, jednak należy pamiętać, że nie jest to jedyny możliwy scenariusz ataku. Hakerzy mogą bowiem imitować tożsamość banku, firmy, instytucji państwowej lub urzędu.

  • Spoofing IP: polega na podszyciu się pod inny adres IP w celu ukrycia tożsamości atakującego lub podszycia się pod innego użytkownika sieci.
  • Spoofing e-mailowy: polega na wysyłaniu wiadomości e-mail, które wyglądają, jakby pochodziły z zaufanego źródła, np. banku lub firmy, w celu wyłudzenia danych osobowych lub zainfekowania komputera ofiary złośliwym oprogramowaniem.
  • Spoofing telefoniczny: polega na podszywaniu się pod inny numer telefonu, np. numer banku lub infolinii, w celu nakłonienia ofiary do podania danych osobowych lub wykonania przelewu.

To właśnie ostatni z przytoczonych przeze mnie przykładów – czyli spoofing telefoniczny (a właściwie to Caller ID Spoofing) – jest najczęściej wykorzystywany przez cyberprzestępców.

Spoofing – przykładowy scenariusz ataku

Wyobraź sobie teraz, że odbierasz telefon, a Twój rozmówca przedstawia się jako przedstawiciel banku, po czym prosi Cię o podanie swoich danych i udzielenie dostępu do konta w celu wykonania operacji, którą będziesz musiał autoryzować. Oczywiście część takich połączeń będzie faktycznie pochodziła od pracowników konkretnych instytucji, jednak w każdym przypadku należy ten fakt dobrze zweryfikować.

Jednym z popularnych przykładów ataków spoofingowych jest telefon od „pracownika banku”, który informuje ofiarę o włamaniu na konto lub o podejrzanych operacjach bankowych. Oszust prosi rozmówce nie tylko o podanie poufnych danych, ale również o zainstalowanie oprogramowania, które rzekomo może ochronić ofiarę – w rzeczywistości pozwala przejąć kontrolę nad jej urządzeniem.

Informacja z rządowego portalu – gov.pl

Na serwisach państwowych instytucji znajdziemy znacznie więcej przykładów dekonstruujących wspomniany rodzaj ataku hakerskiego. Na stronie Centralnego Biura Zwalczania Cyberprzestępczości umieszczono kilka potencjalnych metod, z których najczęściej korzystają oszuści. Należą do nich:

  • metoda na wnuczka (np. wypadek, pilna potrzeba przesłania gotówki);
  • metoda na policjanta, lekarza (np. wypadek z udziałem kogoś bliskiego);
  • metoda na przedstawiciela banku i pomoc techniczną (np. podejrzana aktywność na naszym koncie bankowym, zablokowanie zgromadzonych środków);
  • metoda na pracownika ZUS lub innej instytucji (np. problemy z wypłaceniem emerytury).

Jak chronić się przed spoofingiem?

Porady dotyczące podejrzanych połączeń, skonstruowane przez przedstawicieli rządowego portalu gov.pl.

  • Zachowaj szczególną ostrożność, gdy ktoś będzie do Ciebie dzwonił i przedstawiał się jako pracownik banku lub innej instytucji. Pamiętaj, że nawet jeśli numer, z którego dzwoni, jest taki sam, jak ten podany na oficjalnej stronie, połączenie może być sfałszowane. Skontaktuj się ze swoim bankiem, samodzielnie wybierz numer na klawiaturze telefonu i zweryfikuj, czy osoba, która do Ciebie dzwoniła, mówiła prawdę.
  • Pamiętaj, że pracownik banku ani inny przedstawiciel instytucji nigdy nie będzie Cię prosił o podawanie prywatnych danych oraz jakichkolwiek haseł czy kodów dostępu. Jeśli ktoś do Ciebie zadzwoni i to zrobi, natychmiast się rozłącz i zgłoś sprawę do swojego banku.
  • Sprawdź, jakie zabezpieczenia wprowadził Twój bank i w jaki sposób możesz zweryfikować, tożsamość pracownika, który się z Tobą kontaktuje. Coraz więcej banków udostępnia taką funkcję poprzez wykorzystanie swojej aplikacji mobilnej.
  • Nie otwieraj przesłanych linków ani załączników, jeśli nie znasz nadawcy i nie masz pewności, co mogą zawierać otrzymane treści.

Dodatkowe wskazówki dotyczące bezpieczeństwa w sieci:

  • Stosuj silne i unikalne hasła do różnych kont.
  • Włącz weryfikację dwuetapową.
  • Pobieraj aplikacje tylko z oficjalnych sklepów.
  • Aktualizuj system operacyjny i oprogramowanie na bieżąco.
  • Zainstaluj oprogramowanie antywirusowe.

Padłem ofiarą spoofingu – co dalej?

Wszystkie podejrzane wiadomości możesz raportować bezpośrednio do zespołu CERT Polska, który zweryfikuje twoje zgłoszenie oraz zapisze niebezpieczny kontakt w swojej bazie danych.

Pamiętaj, że w celu zgłoszenie konkretnej wiadomości wystarczy użyć na swoim urządzeniu funkcji “przekaż”, a następie przesłać podejrzanego SMS-a na numer 8080.