Spoofing – co to takiego?

Spoofing

Spoofing to ostatnio modne określenie. Po wielu incydentach, które ostatnio dotknęły znanych osób, polityków czy nawet ludzi z baraży cybersecurity, stał się to temat, który rozdmuchiwany jest we wszelakich mediach. I dobrze! W końcu może uda się wprowadzić stosowne przepisy, które zabezpieczą zwykłego Kowalskiego, przed tą metodą działania cyberprzestępców. Pytanie tylko dlaczego dopiero teraz ktoś nagłośnił ten temat?

Od dawna wiadomo, że taka metoda działania istnieje. Wcześniej nikt jej nie nagłaśniał, a sprawcy bez problemu podszywali się pod banki i wprowadzali w błąd ich klientów. Banki co prawda ostrzegały swoich klientów przed takim działaniem sprawców, ale czy o zagrożeniach w cyberprzestrzeni nie powinny mówić media państwowe i ostrzegać przed falami oszustw, z którymi spotykamy się coraz częściej?

Aby przybliżyć Państwu co to jest spoofing, postaram się odpowiedzieć na kilka pytań. Jak definiować spoofing? Jakie są rodzaje spoofingu? Dlaczego takie działanie jest możliwe? Jak bronić się przed spoofingiem? Co zrobić, gdy jestem ofiarą spoofingu?

Definicja spoofingu

Cert Polska definiuje spoofing jako technikę, która ma na celu sprawienie, że odbiorca wiadomości czy rozmowy na swoim urządzeniu otrzyma fałszywą informację o jej nadawcy.
Zgadzam się z tą definicją w zupełności. Jest to chyba najbardziej trafna definicja, chociaż w mediach starego typu można usłyszeć o włamaniach, pegasusie, przejęciu kontroli nad urządzeniami, to nie ma w tym ani krzty prawdy! Działanie to polega tylko na wykorzystaniu stosownych luk w zabezpieczeniach operatorów telefonicznych i operatorów skrzynek mailowych.

Rodzaje spoofingu

Spoofing dzieli się aktualnie na dwa rodzaje. Spoofing telefoniczny i spoofing tekstowy. Najeży przy tym podkreślić, że nie jest to tylko dzwonienie do kogoś z fałszywego numeru, ale każdy z nas wcześniej spotykał się ze spoofingiem już wielokrotnie.

Spoofing tekstowy

Spoofing tekstowy to coś co wszyscy już znamy. Przecież każdy, kto posiada skrzynkę e-mail i aktywnie korzysta z internetu, rejestrując się za pomocą adresu e-mail w różnych portalach, otrzymał już wiadomość e-mail, gdzie w polu „od”, czyli w nazwie nadawcy, widniał bank, znany portal bądź serwis internetowy, a treść próbowała zmusić odbiorcą do określonego zachowania. Sprawcy wykorzystując spoofing e-mail próbują dodać wiarygodności swojej wiadomości i próbują namówić nas, abyśmy podali im numer karty płatniczej, albo zalogowali się do jakiegoś serwisu. Spoofing email znamy więc już wszyscy, choć nie każdy wiedział, że tak dokładnie się to nazywa. 

Drugą, ale nie ostatnią opcją spoofingu tekstowego jest spoofing SMS. Fałszowanie nazwy nadawcy SMSa i podszycie się pod znane firmy transportowe i kurierskie jest nam wszystkim znane. To właśnie jest spoofing SMS.

Czy spoofing tekstowy w tych dwóch opcjach się zamyka? W mojej ocenie nie. Wyobraźmy sobie sytuację, że w zwykłym liście, który wysyłany jest pocztą tradycyjną, ktoś podszyje się pod urząd, bądź znaną instytucję. To także wypełnia w 100% definicje, którą wcześniej ustaliliśmy. Więc ustalmy, że katalog spoofingu tekstowego jest ciągle otwarty. 

Spoofing telefoniczny

O tym rodzaju spoofingu słyszymy ostatnio coraz więcej, bo właśnie ta metoda jest teraz mocno wykorzystywana przez cyberprzestępców. Podszywają się oni wykorzystując numery rozpoznawalnych osób, banki czy nawet policję.

Spoofing telefoniczny, o którym tyle słyszymy, to znany już od dawna Caller ID Spoofing. Do tej pory wykorzystywany był bardzo często w firmach, które posiadały swoje call center i potrzebowały dzwonić z różnych numerów, aby pozostawać nierozpoznawalnymi. Były to między innymi firmy windykacyjne. To działanie jest całkowicie legalne i nikt nie popełniał przestępstwa. Firmy te nie podszywają się pod żadnych innych abonentów, działają zgodnie z obowiązującym prawem. 

W aktualnych działaniach przestępczych, spoofing telefoniczny służy sprawcom ataków do podszycia się pod znane osoby czy polityków. W tych podszyciach sprawcy chcą zazwyczaj wyrządzić im szkodę osobistą, wizerunkową, ale chcą także uzyskać rozgłos. Natomiast spoofing telefoniczny, gdzie sprawcy podszywają się pod policję lub bank zazwyczaj ma przynieść sprawcom korzyści materialne, finansowe. Sprawcy wykorzystując spoofing w działaniach vishingu (phishing telefoniczny) mocno uwiarygadniają to, że dzwonią z organu, za który się podają. Następnie, gdy ofiara złapie przynętę i zostanie wciągnięta w tą swoistą grę, sprawcy chcą aby dokonać operacji finansowych, które oni wskażą, bądź podać im przez telefon stosowne dane, które pozwolą sprawcom wykonać te operacje samemu. Ostatnio na topie jest przekazywanie ofierze informacji, że jej środki są zagrożone i musi przenieść je na inny „bezpieczny” rachunek. 

Dlaczego spoofing jest możliwy? 

Dlatego, że operatorzy telekomunikacyjni, skrzynek e-mail na to pozwalają, ale też dlatego, że w przepisach prawnych nie ma stosownych zapisów w tej kwestii. Sieci komunikacyjne w Polsce są starym tworem, oparte są na starych protokołach i nie mają możliwości stosownego uwierzytelniania abonenta wykonującego połączenie. Nawet Skype oferuje taką spoofingową usługę, ale tam przynajmniej trzeba zweryfikować numer, którego chce się użyć. Co zatem należałoby zrobić? Zmusić operatorów do stosownego rozwoju? Cieżko odpowiedzieć na to pytanie. Należy być czujnym, to napewno. 

Jak bronić się przed spoofingiem? 

Po pierwsze nie ufać w to co widzimy na ekranie czy to komputera, czy telefonu. Jeśli dzwoni do nas ktoś, kto przedstawia się za pracownika banku, biura informacji kredytowej czy inną instytucję, a chce abyśmy wykonali operacje finansowe bądź podali jej dane logowania lub karty płatniczej to rozłączmy się i nawiążmy połączenie własne, na oficjalny numer infolinii. Pamiętajmy aby nie przekazywać żadnych danych przez telefon i nie logować się na żadnych stronach, do których przekierował nas link, który otrzymaliśmy e-mailem czy SMSem.

Jak bronić się przed tym, że ktoś się pod nas podszyje? Ta kwestia jest bardziej skomplikowana, bo nie można tego zrobić. Jedyne o co możemy zadbać to, aby nasze numery telefonów, adresy e-mail nie były ogólne dostępne. Jednakże na początek należy się uspokoić i nie wpadać w paranoję, ponieważ sprawcy zazwyczaj wybierając osoby medialne i polityków, a nie zwykłych Kowalskich. 

Jestem ofiarą spoofingu, co teraz?

Jeśli ktoś podszył się pod Twój bank bądź inną instytucję i straciłeś pieniądze to po pierwsze zadzwoń do banku i złóż reklamację, może uda się zablokować środki na rachunkach odbiorcy przelewów. Następnie przygotuj wszystkie informacje, sporządź stosowne wydruki potwierdzające Twoje zeznania i udaj się do najbliższej jednostki policji. Twoje zawiadomienie zostanie przyjęte z art. 286 k.k. lub 287 k.k., jednakże wszystko zależy od okoliczności zdarzenia i katalog ten może się rozszerzyć. 

Jeśli ktoś natomiast podszył się pod Ciebie, to także udaj się na policję i złóż stosowne zeznania w tej sprawie. Wybierz najbliższą jednostkę i porozmawiaj z policjantem i przypomnij mu, że coś takiego jak spoofing istnieje, przedstaw mu wszystkie szczegóły o których wiesz i zaznacz, że analiza historii połączeń wskaże, że ktoś się pod Ciebie podszywał. Możesz także zebrać wszystkie dokumenty i złożyć stosowne zawiadomienie z art. 190a § 2 k.k. na piśmie, do policji lub prokuratury. 

Caller ID spoofing

To nic nowego, a wręcz bardzo starego.  W ostatnim czasie, metoda ta bardzo zyskała na popularności. Sprawcy wiedzą jak wykorzystywać tą metodę, a umożliwiają ją bardzo proste i tanie narzędzia dostępne w internecie. Cyberprzestępcy wymieniają się także informacjami na temat tego w jaki sposób wykorzystywać tą metodę. Sam spoofing nie był nigdy karany, bo to trochę jak z kłamstwem – jeśli nie rodzi innych konsekwencji, to karane nie jest. Przestępcy jednak wykorzystując tą możliwość „kłamstwa” popełniają inne przestępstwa. Nie dajmy się więc zwariować ale uważajmy kto do nas dzwoni. Nie dajmy się zmanipulować i dążmy do tego, aby weryfikować informacje, które do nas przychodzą zanim podejmiemy decyzję finansową bądź osobistą.