Spoofing jako metoda oszustw i ataków

Autor: Soczko i Partnerzy — w kategorii Komunikaty IOD-y — 24 grudnia 2022

24

gru
2022

Aktualizacja publikacji z dnia 13 października 2020 r.

Święta to czas wzmożonych kontaktów międzyludzkich. Zazwyczaj z najbliższymi spotykamy się przy wigilijnym stole lub podczas pierwszego i drugiego dnia świąt Bożego Narodzenia. Jednak w  sytuacji, gdy nie możemy się spotkać bezpośrednio decydujemy się na wykonanie połączenia telefonicznego lub wysłanie wiadomości SMS.

Rozwój technologii umożliwił bezproblemowe nawiązywanie kontaktu nawet z osobami, które znajdują się tysiące kilometrów od nas. Cyberprzestępcy równie chętnie korzystają z  nowych technologii w celu znajdowania kolejnych ofiar ataków. Jedną z najbardziej popularnych metod jest spoofing.

SMS spoofing – kilka istotnych informacji

SMS spoofing to technika, polegająca na wysłaniu wiadomości SMS, z zamaskowaniem informacji  o rzeczywistym numerze telefonu nadawcy i zastąpieniem jej tekstem alfanumerycznym, którym może być inny (fałszywy) numer telefonu lub nazwa podmiotu. Technika może być wykorzystywana dla legalnych celów (np. identyfikacja nazwy firmy, marki, czy produktu) oraz do celów bezprawnych, tj. jako element oszustwa – podszywania się pod wskazany podmiot, osobę lub markę.

Ponieważ nie można odpowiedzieć bezpośrednio do rzekomego nadawcy wskazanego w  sfałszowanej wiadomości (wszelkie odpowiedzi będą kierowane do oryginalnego nadawcy), celem tego rodzaju ataków jest nakłonienie ofiary do jakiejś czynności (np. kliknięcie w złośliwy link lub zatelefonowanie na wskazany nr telefonu).

Uwaga! Sfałszowany numer telefonu może zostać potraktowany przez Twoje urządzenie jako  znajomy kontakt.

Jeżeli atakujący podszyje się pod nr telefonu osoby, której kontakt został wcześniej zapisany w  Twojej  książce telefonicznej, to w polu nadawcy sfałszowanej wiadomości zostanie wyświetlona nazwa z Twojej książki kontaktów!

PRZYKŁADY SMS SPOOFINGU

Wojewódzka Stacja Sanitarna w Bydgoszczy informowała na antenie regionalnej telewizji TVP Bydgoszcz, iż nie jest nadawcą wiadomości SMS, o treści wzywającej do natychmiastowego kontaktu w sprawie dodatniego wyniku COVID-19. Komunikaty (jak poniżej) wysyłane były najprawdopodobniej w celu wyłudzenia danych osobowych.

PRZYKŁADY SPOOFINGU ROZMÓW TELEFONICZNYCH

Oprócz SMS spoofingu można wyróżnić również tzw. spoofing rozmów telefonicznych, który polega za podszywaniu się pod abonenta określonego numeru telefonu w celu wykonywania połączeń do innego abonenta. Fachowa nazwa tej metody to CallerID Spoofing.

Przykład tzw. spoofingu rozmów telefonicznych można znaleźć w Komunikacie IOD-y, który ostrzegał przez zagrożeniem polegającym na podszywaniu się cyberprzestępców pod pracowników banku. Wówczas w momencie wykonywania przez oszustów połączenia na numer telefonu

JAK NIE DAĆ SIĘ OSZUKAĆ?

Cyberprzestępcy używają spoofingu, aby wzbudzić zaufanie. Widząc wiadomość SMS lub połączenie telefoniczne od znanego nam adresata zazwyczaj ufamy mu, dlatego postępujemy zgodnie z jego wskazówkami. Cyberprzestępcy doskonale potrafią to wykorzystać.

W przypadku połączeń telefonicznych należy zachować szczególną ostrożność podczas podawania danych osobowych lub innych informacji, których poznanie przez osoby nieuprawnione może przysporzyć problemów. Należy zwracać uwagę na podejrzane (nietypowe) zachowanie osoby, która się z nami kontaktuje. Warto potwierdzić tożsamości rozmówcy. Można to zrobić np. kończąc rozmowę i wykonując połączenie na opublikowany w Internecie numer infolinii danego banku lub innego podmiotu, z którego (rzekomo) dzwonił rozmówca. Uwaga! Oddzwonienie może spowodować, że połączymy się z tym samym oszustem.

W przypadku wiadomości SMS należy pamiętać o zachowaniu szczególnej ostrożności wobec zamieszczanych w nich linków. Zazwyczaj prowadzą one do spreparowanych stron www, służących oszustom do pozyskania danych osobowych ofiary, w tym danych do logowania do prawdziwych serwisów.

Pamiętaj! W każdej komunikacji, w której nie jesteś w stanie potwierdzić tożsamości drugiej strony, nie powinieneś działać bezkrytycznie. Poinformuj przełożonego oraz IOD o wszelkich podejrzanych połączeniach telefonicznych lub komunikatach.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.


15 − trzy =