Metoda na wnuczka, czy podszywanie się pod pracownika banku to dość powszechne metody wyłudzania danych, które od lat są wykorzystywane przez cyberprzestępców. Wzrost świadomości społecznej spowodował jednak, że staliśmy się bardziej czujni, a nasza odporność na tego typu ataki wzrosła. Cyberprzestępczość to jednak najszybciej rozwijająca się gałąź bezprawia. Na rynku hakerskim w ostatnim czasie upowszechnił się nowy sposób wyłudzeń, przez który są one bardzo trudne do wychwycenia. Przestępcy kontaktują się z nami bowiem z numerów telefonu i adresów e-mail, które znamy lub takich, które znajdują się na stronach zaufanych instytucji, jak banki, czy urzędy. Czym jest spoofing i jak można się przed nim uchronić?
Czym jest spoofing i jakie są jego rodzaje?
Spoofing to rodzaj cyberataku, w którym przestępcy podszywają się pod wybrany numer telefonu lub adres e-mail w celu wyłudzenia danych. Może to być zarówno kontakt banku, urzędu, instytucji państwowej, jak i członka rodziny, czy znajomego. Co więcej, luki w systemach teleinformatycznych pozwalają podszywać się również pod konkretny adres IP, co jeszcze bardziej utrudnia wykrycie ataku.
Najbardziej powszechną formą ataku na nasze dane jest spoofing telefoniczny, tzw. Caller ID Spoofing. Dzięki wykorzystaniu dostępnych w sieci – bezpłatnie lub za niewielką opłatą – narzędzi, przestępcy dzwonią do ofiary, podszywając się za pracownika banku lub zaufanej instytucji. Wg jednego z najbardziej popularnych scenariuszy przestępstwa, odbiorca jest informowany przez fałszywego przedstawiciela podmiotu o próbie włamania na jego konto bankowe. Następnie jest on proszony o podanie poufnych danych, a nierzadko również o pobranie specjalnej aplikacji, której rzekomym celem miałaby być ochrona przed atakiem – w rzeczywistości jednak pozwala ona uzyskać przestępcy kontrolę nad telefonem ofiary, w tym dostęp do aplikacji bankowej. Na bardzo podobnej zasadzie przebiega atak, wykorzystujący spoofing e-mail. W tym wypadku, haker może podszywać się np. pod dostawcę usług telekomunikacyjnych i z jego adresu przesłać linka, który pozornie ma służyć do wykonania płatności za zaległy rachunek. Wiarygodność przestępców wzmacnia wykorzystanie wcześniej wspomnianej już metody spoofingu IP, która pozwala podszyć się pod dowolną instytucję oraz spoofing DNS, który daje możliwość przekierowania osoby, odwiedzającej daną witrynę internetową na fałszywą stronę, która wygląda identycznie. Często stosowanym obecnie rodzajem wyłudzenia jest również spoofing przez aplikacje, jak OLX, czy Vinted. Podszywając się pod jednego z uczestników transakcji, cyberprzestępcy mają możliwość rozsyłania linków do oprogramowania wyłudzającego dane np. pod pozorem prośby o dokonanie za jego pomocą płatności.
Spoofing a phising
Dotychczas znanym sposobem na wykradanie danych był phising. Spoofing to jednak oszustwo, idące o krok dalej. Ataki phisingowe polegające na nakłonieniu ofiary do udostępnienia poufnych danych lub bezpośrednio do wykonania przelewu (np. popularna metoda na wnuczka) są znacznie łatwiejsze do zidentyfikowania niż wyłudzenie spoofingowe. W przypadku pfishingu ofiara może wpisać podejrzany numer telefonu do wyszukiwarki i szybko przekonać się, że ma do czynienia z próbą wyłudzenia. W sieci dostępne są bowiem rejestry zagrażających numerów telefonu wraz z opiniami użytkowników na ich temat. Doświadczając ataku spoofera, czujność odbiorcy jest uśpiona, ponieważ zna on numer, który się z nim kontaktuje albo okazuje się, że należy on do zaufanej instytucji. Dodatkowa różnica między obydwoma metodami to liczba ofiar. W sytuacji spoofingu mamy często do czynienia z więcej niż jedną ofiarą. Pokrzywdzona jest zarówno osoba okradana z danych, jak i osoba lub instytucja, pod którą podszywa się oszust.
Każdy może paść ofiarą spoofingu
O ile wciąż wykorzystywana flagowa forma phisingu, jaką jest metoda na wnuczka, dotyka przede wszystkim osoby starsze, o tyle ofiarą spoofingu może dziś paść naprawdę każdy. Jest to taktyka działająca na kilku poziomach. Po pierwsze spooferzy nierzadko mają wiedzę o swoich ofiarach, a nawet jeśli jej nie mają – wykorzystują do ataku firmy, czy aplikacje, z których korzystają rzesze użytkowników, co daje im pewność, że któraś z zaatakowanych osób okaże się odbiorcą oferowanych przez nie usług. Powiązanie wiadomości, czy telefonu ze znaną marką, czy aplikacją, od razu obniża czujność atakowanego. Kiedy okazuje się, że nazwa, logo, rodzaj komunikatu, a nawet numer telefonu instytucji są wiarygodne – odbiorca zyskuje pełne zaufanie do osoby, która się z nim kontaktuje
i najczęściej staje się jej ofiarą.
Odbiorcą cyberataku spoofingowego można stać się niezależnie od wieku, statusu majątkowego, obecności w social mediach, czy liczby zainstalowanych w telefonie aplikacji. Ataki nie omijają również przedstawicieli opinii publicznej, na co dowodem są niedawne inwazje spooferów na posła Sławomira Mentzena i dziennikarza Krzysztofa Stanowskiego.
Atak na Krzysztofa Stanowskiego
Krzysztof Stanowski na prowadzonym przez siebie na kanle YouTube – Kanale Zero opublikował niedawno wideo, w którym opowiedział o spoofingu, którego doświadczył kilkakrotnie w ostatnim czasie. Przytoczone przez niego historie mrożą krew w żyłach i dowodzą, że działania internetowych przestępców nie zawsze mają na celu wyłudzenie pieniędzy.
W ramach jednego z ataków, numer dziennikarza został wykorzystany w celu zgłoszenia, że dopuścił się on poważnego przestępstwa. Osoba podszywająca się poinformowała bowiem policję, że Krzysztof Stanowski… zabił i poćwiartował swoją żonę. W związku ze zgłoszeniem w domu dziennikarza
w środku nocy zjawiła się policja w towarzystwie przedstawicieli innych służb. Informacja okazała się oczywiście fałszywa, zgłoszenie wymagało jednak poważnego potraktowania, dlatego zaangażowana została duża grupa funkcjonariuszy Policji, która nie była w tym czasie dostępna dla potencjalnych osób realnie potrzebujących pomocy.
Drugi atak, o którym opowiedział YouTuber również przyprawia o dreszcze. Spoofer, wykorzystując numer telefonu dziennikarza, zadzwonił bowiem do jego żony i poinformował ją, że ich dzieci zginęły w wypadku samochodowym. Jak można sobie wyobrazić, zachowanie spokoju w takiej sytuacji wymaga stalowych nerwów. Tylko on pozwoli nam jednak myśleć racjonalnie i nie dać się nabrać spooferowi.
Incydenty, których ofiarą padł dziennikarz to dość specyficzna forma spoofingu. Jej celem nie jest wyłudzenie pieniędzy, ale stalking. Wykradanie numerów telefonów daje stalkerom ogromne możliwości nękania swoich ofiar, dlatego bardzo ważne jest zgłaszanie każdego tego typu naruszenia odpowiednim służbom. Jest to jedyna możliwość kontrolowania sprawców i walki ze spoofingiem.
Jak się chronić?
Choć nowa forma cyberprzestępczości, jaką jest spoofing jest trudna do zweryfikowania, to istnieją sposoby za pomocą, których możemy odeprzeć atak. Podkomisarz Kamil Karbowniczek z Komendy Wojewódzkiej Policji w Lublinie zaleca aby w sytuacji, gdy mamy podejrzenie, że po drugiej stronie słuchawki znajduje się osoba, próbująca nas oszukać, należy rozłączyć się, odczekać min. 30 sekund, a następnie zadzwonić na numer, z którego się z nami kontaktowano. Bardzo ważne jest aby nie korzystać w tym celu z opcji oddzwonienia, ale wpisać numer własnoręcznie. Wtedy zadzwonimy do jego właściwego posiadacza i będziemy w stanie zweryfikować, czy to on przed chwilą się z nami kontaktował. Wybierając funkcję „oddzwoń” bardzo prawdopodobnym jest, że skontaktujemy się ze spooferem.
Aby uchronić się przed spoofigiem e-mailowym, należy przede wszystkim unikać klikania w nadsyłane linki, np. kiedy zgodnie z zawartą informacją mają nas one przekierować na stronę płatności za usługę, z której korzystamy. Płatności lepiej dokonywać bezpośrednio przez strony dostawców usług lub dedykowane aplikacje. Złośliwe linki to ostatecznie najczęstsze narzędzie, stosowane w celu wyłudzeń, zarówno mailowych, jak i telefonicznych.
Należy pamiętać również o tym, że pracownicy banków, czy innych instytucji nigdy nie proszą o podawanie w czasie rozmowy przez telefon haseł, kodów dostępu, czy poufnych danych. Jeśli nasz rozmówca tego oczekuje, prawdopodobnie mamy do czynienia z cyberatakiem. Należy wtedy niezwłocznie przerwać połączenie.
W dobie powszechnego korzystania z internetu, warto dbać o aktualizowanie posiadanych systemów i aplikacji, a także o działanie programu antywirusowego na urządzeniu, z którego korzystamy. Nie uchroni nas to w stu procentach przed doświadczeniem cyberataku, na pewno jednak znacznie zminimalizuje jego prawdopodobieństwo. Warto zainwestować również w dodatkowe środki ochrony przed atakami w sieci, które często znajdują się w ofercie dostawców Internetu.
Jeśli podejrzenie cyberataku dotyczy kontaktu z pracownikiem banku, warto mieć na uwadze, że część banków dysponuje narzędziami, pozwalającymi na sprawdzenie tożsamości osób, które są w nich zatrudnione.
W sytuacji, gdy nie udało nam się uchronić przed atakiem i staliśmy się jego ofiarą, należy niezwłocznie zgłosić ten fakt odpowiednim służbom, np. poprzez formularz CSIRT lub CERT. Takie zdarzenie można zgłosić również po prostu na komisariacie policji. Podobnie jak sam atak, warto zgłaszać również próby jego podjęcia.
Zjawisko spoofingu nie jest jeszcze w Polsce powszechnie znane, dlatego należy dzielić się wiedzą na ten temat. Im więcej osób będzie miało świadomość istnienia możliwości podszywania się pod znajomy numer telefonu lub adres e-mail, tym mniej stanie się ofiarami cyberprzemocy.
Podsumowanie
Przestępczość internetowa rozwija się w zastraszającym tempie, a wyeliminowanie jej wydaje się dziś nieosiągalne. Dlatego właśnie zachowanie wzmożonej czujności w sieci jest tak ważne. Kradzieże i stalking to tylko niektóre z możliwości, jakie daje przestępcom używanie cyberprzemocy. Phising i jego bardziej rozwinięta forma, jaką jest spoofing mogą stać się bowiem narzędziem do szerzenia chaosu, dezinformacji i paniki na znacznie większą skalę niż jednostkowy atak. Ze względów bezpieczeństwa, ograniczone zaufanie powinno stać się zatem naczelną zasadą współczesnej netykiety.
fot. TVN/Wojciech Kurczewski