Spoofing to po prostu słowo z języka angielskiego oznaczające „naciąganie”. Nazwa ta bardzo dobrze oddaje rzeczywisty charakter tego zjawiska, które w wielu aspektach jest bardzo podobne do phishingu. Polega ono na tym, że internetowi oszuści przybierają cudze tożsamości, najczęściej znanych i budzących zaufanie firm po to, by oszukać swoje potencjalne ofiary. Gdy kontaktuje się z nami ktoś obcy, zwykle bardzo trudno jest nam mu zaufać i zdradzić poufne informacje, jednak jeśli odzywa się do nas jakaś znana firma czy szanowany podmiot, stajemy się bardziej otwarci i skłonni do współpracy. I to właśnie zaufanie do znanych marek bezwzględnie wykorzystują przestępcy.
Celem spoofingu jest najczęściej wykradzenie danych lub skłonienie do instalacji podejrzanych programów. Są to zwykle nasze poufne dane, w tym hasła i loginy do kont bankowych a także inne materiały pozwalające na wyłudzenie lub kradzież pieniędzy z rachunków ofiar. Techniki wykorzystywane w ramach spoofingu są bardzo różne i obejmują zróżnicowane sfery technologiczne – od telekomunikacji po internet, to co łączy je wszystkie, to wykorzystanie ludzkiej naiwności i łatwowierności, a także niezbyt dużej dociekliwości. Jak wspomniałem na początku ogromną rolę odgrywa tu socjotechnika. Oszuści podchodzą ludzi w sposób dokładnie i drobiazgowo przemyślany – żerują np. na chęci uzyskania korzyści osobistych, finansowych ale także – przewrotnie – na strachu przed utratą pieniędzy.
Najważniejsze rodzaje spoofingu
Rozwój technologiczny ostatnich lat przyczynił się do rozwoju spoofingu. Wcześniej taka metoda oszustw była po prostu bardzo trudna lub zwyczajnie niemożliwa. Teraz jednak niewielkim nakładem sił i środków przestępcy są w stanie przybrać fałszywe tożsamości, a do tego robią to w sposób niezwykle przekonujący i trudny do wykrycia.
Spoofing w poczcie elektronicznej
Był to chyba pierwszy rodzaj spoofingu, który się pojawił, gdyż jest stosunkowo prosty do stworzenia. Najpierw przestępcy zdobywają duże bazy danych zawierające tysiące adresów internetowych potencjalnych ofiar i dokładnie je prześwietlają – sprawdzają, z kim i po co kontaktuje się potencjalna ofiara, gdzie pracuje, jaki jest jej zawód, w jakiej instytucji finansowej posiada swoje konto bankowe itp. Następnie preparowany jest specjalny adres email, z którego będą wysyłane wiadomości. Na przykład, jeśli ofiara posiada konto w jakimś specyficznym banku, to z adresu przypominającego ten bank, wysyłana jest – najczęściej wyglądająca na bardzo pilną – wiadomość. Chociażby z informacją, że nastąpiło włamanie na konto i należy podać login hasło na specjalnym formularzu znajdującym się na dołączonym do wiadomości linku, by zabezpieczyć je przed dalszymi szkodami.
Wiele osób nabiera się na takie wiadomości, ponieważ zakłada, że skoro mail przyszedł od instytucji bankowej, w którym posiadają konto, to na pewno nie są ofiarami oszustwa.
W najlepszym wypadku przez link, w który klikniemy w takiej spreparowanej wiadomości, ściągniemy na komputer jakiś wirus czy trojana lub programowanie typu cryptojacker, zmieniające nasz komputer w ukrytą minikopalnię kryptowalut.
Spoofing telefoniczny
To stosunkowe nowe zjawisko, ale warto o nim wspomnieć, gdyż zyskuje coraz większą popularność wśród cyberprzestępców. Polega ono na tym, że oszuści podszywają numer telefonu, z którego do nas dzwonią, pod taki należący do instytucji, którą możemy znać.
Ostatnio głośne były sprawy fałszywej infolinii ZUS dzwoniącej do klientów i wyłudzającej dane logowania do rządowego systemu ePUAP, ofiarą tego typu ataków padali też klienci kilku banków, którzy otrzymywali fałszywe SMSy, szczególne groźne i trudne w identyfikacji, ponieważ w polu nadawcy znajdowała się nazwa instytucji finansowej, w której posiadają rachunek.
Cała technologia spoofingu telefonicznego istnieje, ponieważ w systemie VoIP jest możliwość wykonania połączenia telefonicznego przez sieć internetową i nadanie mu dowolnej nazwy, w tym także ciągu cyfr. Niestety większość telefonów nie jest w stanie tego rozpoznać, więc jeśli mamy w ich skrzynkach oryginalną korespondencję z prawdziwym bankiem lub instytucją, to taka spreparowana wiadomość także może tam trafić. Niestety wówczas jej odróżnienie od prawdziwych wiadomości jest praktycznie niemożliwe.
Spoofing adresu IP
W odróżnieniu od spoofingu telefonicznego i mailowego, ten sposób oszustwa nie jest wycelowany w pojedyncze ofiary a w znacznie większe organizacje. Gdy cyberprzestępcy uda się zdobyć oryginalny adres serwera danej sieci, może on zmodyfikować nagłówek pakietu IP, dzięki temu u potencjalnych odbiorców firmowych powstanie wrażenie przesyłania wiadomości „z wewnątrz”.
Efekty tego typu spoofingu mogą być bardzo groźne – hakerzy są w stanie torować sobie z ich pomocą drogę do ataków typu DoS/DDoS, przejmować poszczególne urządzenia w sieciach firmowych, a także modyfikować ich działanie w celu wyrządzenia jak największych szkód.
Spoofing adresów internetowych
Ten typ oszustwa polega na preparowaniu stron internetowych z adresami i zawartością łudząco podobnymi do oryginałów. Ta metoda oszustwa często występuje w parze z jedną z poprzednich. Użytkownik otrzymuje na przykład spreparowany SMS z linkiem do podrobionej witryny internetowej i dopiero tam następuje wyłudzenie danych. Zdarza się, że cyberprzestępcy tworzą strony internetowe, które do oryginałów są podobne jak przysłowiowe dwie krople wody. Jedyna różnica polega na tym (na przykład w przypadku strony internetowej udającej witrynę banku), że dane, które wpiszemy do formularza, posłużą nie nam do zalogowania się na konto, ale pozwolą cyberprzestępcom to konto przejąć.
Bardziej zaawansowane metody spoofingu
Spoofing może być wykorzystywany także do działań zdecydowanie bardziej zaawansowanych technologicznie. Współczesne środki techniczne pozwalają (choć wymagane jest do tego posiadanie skomplikowanego sprzętu) sfałszować nawet geolokalizację. Fałszywy GPS wykorzystywany może być na przykład po to, by wytworzyć w znajdujących się w pobliżu urządzeniach geolokalizacyjnych wrażenie przebywania w innym miejscu niż w rzeczywistości. Technikę te coraz częściej wykorzystują, chociażby armie różnych krajów, by zmylić oddziały przeciwnika. Nazywany jest to w takim przypadku walką elektroniczną.
Jak rozpoznać, że mamy do czynienia ze spoofingiem?
Perfekcyjnie przygotowany spoofing jest bardzo trudny do wykrycia. Jeśli bowiem cyberprzestępcy nie popełnili żadnego błędu, odróżnienie spreparowanych wiadomości czy numeru telefonu oryginału jest praktycznie niewykonalne.
Na szczęście sytuacje aż tak złe zdarzają się niezwykle rzadko, poza tym, nawet jeśli nie jesteśmy w stanie odróżnić nadawcy prawdziwego od fałszywego, to po treści wiadomości możemy się zorientować, czy pochodzi od realnie istniejącego podmiotu.
Przede wszystkim powinniśmy się stosować do kilku podstawowych zasad, niezależnie od tego, kto, z użyciem jakiej metody i kiedy się z nami kontaktuje:
Ani przez infolinie, ani w drodze wchodzenia na linki z wiadomości mail lub SMS nie wolno, pod żadnym pozorem podawać danych logowania do jakichkolwiek instytucji finansowych czy w ogóle do kont internetowych. Co więcej, żadna legalnie działająca instytucja czy to finansowa, czy informacyjna nie będzie od nas tego wymagać. Prawdziwy bank bez naszej prośby po prostu nie wyśle nam linku, w którym znajdzie się odnośnik do strony, na której mamy podać jakiekolwiek dane. Hasło dostępu do bankowości internetowej ma być znane tylko nam i nie możemy się nim z nikim dzielić także z samym bankiem. Jeśli więc jakakolwiek infolinia czy konto mailowe nas o to prosi, to z góry możemy być na 100% pewni, iż to oszustwo.
Bardzo uważnie należy czytać przychodzącą do nas korespondencję. Jeśli treść jest zapisana z użyciem dziwnej składni lub znajdują się tam jakieś błędy stylistyczne, gramatyczne lub ortograficzne, to także powinna się nam natychmiast zapalić czerwona lampka. Korespondencja dużych instytucji jest bardzo często przed wysłaniem sprawdzana pod względem poprawności językowej. Także tego typu błędy nie powinny się tam zdarzać.
Tymczasem cyberprzestępcy często operują z innych krajów i używają internetowych translatorów do przetłumaczenia wiadomości ze swojego języka, co nieuchronnie powoduje pojawienie się różnego typu nieścisłości i błędów.
Jeżeli mamy jakiekolwiek wątpliwości co do tego, czy przychodzące połączenia telefoniczne email lub jakakolwiek wiadomość SMS jest autentyczna, zawsze możemy przecież sprawdzić to na stronie internetowej organizacji bądź po prostu do niej zadzwonić. Czasem wystarcza skopiowanie podejrzanej frazy do wyszukiwarki internetowej Google. Jeśli wcześniej jakieś osoby stały się ofiarą podobnego ataku, znajdziemy to wynikach wyszukiwania, gdyż problem często jest już w internecie opisany.
Ważne jest też, by na smartfonie lub telefonie mieć zawsze aktualne wersje programów, zwłaszcza przeglądarek internetowych, które same w sobie posiadają pewne zabezpieczenia, w tym odpowiednie ustawienia prywatności i sieci (w tym listę niebezpiecznych witryn). Niektórzy operatorzy telekomunikacyjni, a także wybrane modele smartfonów, mają funkcję odpowiednich blokad połączeń z podejrzanych numerów. Takie połączenia są automatycznie odrzucane, natomiast będą one widoczne na liście połączeń telefonu (specjalnie oznaczone jako podejrzenie spamu).
Tomasz Sławiński
KOMENTARZE (0) SKOMENTUJ ZOBACZ WSZYSTKIE