Ponad rok temu Polskę obiegła historia pewnego małżeństwa. Do kobiety zadzwonił ktoś, kogo numer zidentyfikowała jako swojego męża. Po odebraniu połączenia usłyszała, że małżonek nie żyje, podczas gdy on siedział obok. Po paru minutach również z mężczyzną nawiązano połączenie telefoniczne i poinformowano go, że żona nie żyje. Co to za zjawisko? Magia? Nie, to Caller ID spoofing, w skrócie: spoofing.
Czym jest spoofing i jak działa
Spoofing to najprościej mówiąc podszywanie się. Podszywający się może wybrać konkretny numer telefonu czy wyświetlić nazwę kontaktu, np. żona, mama, dziadek. Najpierw wzbudza bardzo silne emocje, np. strach w ofierze, aby była ona skłonna do szybkich, niekoniecznie przemyślanych działań. Jeśli atakujący posiada próbkę głosu osoby, pod której numer telefonu się podszywa, może wygenerować nagranie z dowolnym tekstem o takim samym głosie. Nawet gdyby ofiara miała pewne wątpliwości, to taki zabieg może ją skutecznie zmylić.
Numer telefonu to nie wszystko
Wyróżniamy również inne rodzaje spoofingu:
•E-mail spoofing – atakujący podszywa się pod adres e-mail. Może w ten sposób skłonić odbiorców do tego by pobrali zainfekowane załączniki, które zawierają złośliwe oprogramowanie. Może także wyłudzić poufne informacje finansowe czy pieniądze poprzez manipulację i silne emocje. E-mail spoofing to jedna z najczęstszych i skuteczniejszych form ataku. Polega na edycji mejli, żeby wyglądały jak wiadomości od zaufanych organizacji czy osób.
•Text Message spoofing – inaczej SMS spoofing - atak polega na podszywaniu się pod innego nadawcę po wysłaniu wiadomości SMS. Ten atak jest często wykorzystywany przy zakupach na portalach aukcyjnych. Ofiara dostaje prośbę od firmy kurierskiej o dopłatę, ale link podany w wiadomości prowadzi do fałszywej bramki płatności i po podaniu danych uwierzytelniających do banku może okazać się, że wszystkie nasze oszczędności zniknęły.
•IP spoofing – oszustwo polega na podszywaniu się pod inny system komputerowy lub urządzenie mobilne poprzez utworzenie pakietów protokołu IP ze zmodyfikowanym adresem źródłowym. W innych przypadkach atakujący stara się ukryć swoją lokalizację podczas np. spoofingu e-mail.
•Website spoofing – to rodzaj oszustwa, w którym atakujący tworzy stronę internetową przypominająca w dużym stopniu stronę internetową zaufanej marki. Ma na celu zwabić potencjalnych klientów, partnerów, pracowników czy dostawców na fałszywą stronę internetową i nakłonić do podania poufnych informacji np. danych uwierzytelniających, numerów kart, kont czy numerów dowodu osobistego. Atakujący często łączą ten atak ze spoofingem e-mail i wysyłają w wiadomości odnośnik do fałszywej strony logowania, zbierając w ten sposób dane.
•GPS spoofing – oszustwo to polega na wysłaniu fałszywego sygnału GPS do odbiornika, który następnie wysyła fałszywe dane o lokalizacji do innych urządzeń GPS. Atakujący wykorzystują spoofing GPS do przejęcia kontroli nad łodziami, dronami i innymi urządzeniami korzystającymi z systemu nawigacji.
•Extension spoofing – oszustwo to polega na ukryciu prawdziwej nazwy pliku, np. maliciousFile.doc.exe. Fałszywa nazwa maliciousFile.doc pojawia się w wiadomości e-mail użytkownika, który nieświadomy prawdziwego rozszerzenia, może zainstalować złośliwe oprogramowanie. Łatwiej w ten sposób przekonać ludzi do pobrania i uruchomienia załączników. Należy pamiętać również, że docelowo system operacyjny Windows domyślnie ukrywa rozszerzenia plików.
Jak się chronić?
•W przypadku wiadomości e-mail, SMS i stron internetowych zwróć uwagę na kolory, czcionkę, logo czy błędy językowe lub nietypowo brzmiące zdania, które mogą być efektem tłumaczenia ich w internetowych słownikach.
•Zainstaluj oprogramowanie antywirusowe lub/i antyspamowe.
•Zwróć uwagę na poprawność adresu URL oraz adresu e-mail, np. czy zamiast litery m nie ma dwa razy litery n.
•Nie podawaj swojego numeru telefonu oraz adresu e-mail jeśli nie ma takiej potrzeby.
•Stosuj silne i złożone hasła, a także włącz uwierzytelnianie dwuskładnikowe.
•Pobieraj aplikacje z pewnych źródeł.
•Zanim klikniesz w link w wiadomości czy podasz dane, odłóż emocje na bok i przemyśl czy nic w wiadomości nie budzi Twoich podejrzeń.
•Pamiętaj, że pracownik banku nie poprosi Cię o podanie hasła czy kodu dostępu. Obecnie wiele banków umożliwia potwierdzenie rozmowy z konsultantem poprzez aplikację mobilną.
Materiał partnera: Bank Gospodarstwa Krajowego.
Fotografia w tekście i na listingu: Freepik