Czy wiesz czym jest spoofing?
Każdy z nas może być narażony na kontakt z oszustem, podającym się za pracownika banku, policjanta, pracownika instytucji. Ten rodzaj przestępstwa to właśnie spoofing- czyli podszywanie się oszustów pod różne instytucje.Przestępcy wykorzystują dostępne powszechnie narzędzia, mogą podszyć się pod wybrany adres e -mail, numer telefonu czy nawet adres IP. Wszystko po to aby zrealizować swoje przestępcze cele. Podobnie jak z innymi zagrożeniami występującymi m.in. w Internecie, również przed spoofingiem możemy się skutecznie obronić
Zacznijmy od rodzajów ataków na które możemy być narażeni. Najbardziej popularnym atakiem przestępców jest spoofing telefoniczny. Polega on na tym, że oszuści podszywają się pod dowolnie wybrany numer telefonu. np. numer infolinii banku. Jak to wygląda w praktyce.? Oszuści wykorzystują dostępne w sieci metody zmiany tożsamości, umożliwiając im podszycie się pod dowolny numer telefonu. Najczęściej przestępcy wybierają banki lub instytucje państwowe.Odbierając przychodzące połączenie na wyświetlaczu telefonu widać numer telefonu przypisany np. bankowi czy innej instytucji. Potencjalna ofiara oszustów jest zatem przekonana, że rozmawia z pracownikiem banku, kiedy tak na prawdę rozmawia z oszustem, który ma na celu doprowadzić rozmówcę do tego, aby ten w konsekwencji wypłacił pieniądze z konta i przekazał je, najczęściej przy pomocy wypłat przy pomocy kodów BLIK oszustom. Oszuści niekiedy poświęcają dużo czasu na rozmowę z potencjalną ofiarą. Wzbudzają u rozmówcy niepokój, przedstawiają różne legendy – po to, aby doprowadzić do przejęcia pieniędzy rozmówcy. Co więcej, jeśli mamy dany numer (np. banku) zapisany w kontaktach, to możemy także otrzymać SMS-a ze złośliwym linkiem i nieopatrznie go otworzyć. Niestety w ten sposób wiele osób straciło oszczędności życia.Kolejny rodzaj oszustwa to IP spoofing, polega na podszyciu się pod adres IP jakiegoś podmiotu. np. banku, urzędu. W ten sposób oszust może wykorzystywać uprawnienia, które posiada adres IP, pod który się podszywa. Przestępcy wysyłają wiadomości e-mail, w których podszywają się pod wiadomości, które otrzymujemy od zaufanych nadawców (banki, dostawcy usług, firmy). Hakerzy są w stanie tak zmienić nagłówki, adres e-mail i samą treść, że trudno na pierwszy rzut oka wykryć, że wiadomość jest spoofingiem. Z reguły takie wiadomości zawierają odnośnik, za pomocą którego oszuści wykradają nasze dane, nawet te najbardziej wrażliwe.Zdarza się, że oszuści podają się też za policjantów lub innych urzędników państwowych, próbując wyłudzić dane lub hasła dostępu do różnych usług i serwisów. W jaki sposób możemy się chronić? Przestępcy będą próbowali różnych sposobów, by w nieuczciwy sposób pozyskać Twoje dane lub wyłudzić od Ciebie pieniądze. Schematy i scenariusze działań, a także używane argumenty mogą być bardzo urozmaicone. Ataki z wykorzystaniem spoofingu są podobne do ataków phishingowych. Przypomnijmy, pishing to oszustwo, w którym przestępca podszywa się pod inną osobę lub instytucję w celu wyłudzenia poufnych informacji. Dlatego najlepszą ochroną przed oszustwem jest zdrowy rozsądek i zachowanie spokoju.Jak zatem możemy zminimalizować ryzyko? Zachowaj ostrożność, gdy ktoś będzie do Ciebie dzwonił i przedstawiał się jako pracownik banku lub innej instytucji. Pamiętaj, że nawet jeśli numer, z którego dzwoni, jest taki sam, jak ten podany na oficjalnej stronie, połączenie może być sfałszowany. Najlepiej skontaktuj się ze swoim bankiem. Samodzielnie wybierz numer na klawiaturze telefonu i zweryfikuj, czy osoba, która do Ciebie dzwoniła, mówiła prawdę. Pamiętaj, że pracownik banku ani inny przedstawiciel instytucji nigdy nie będzie Cię prosił o podawanie prywatnych danych oraz jakichkolwiek haseł czy kodów dostępu. Jeśli ktoś do Ciebie zadzwoni i to zrobi, natychmiast się rozłącz i zgłoś sprawę do swojego banku.Sprawdź, jakie zabezpieczenia wprowadził Twój bank i w jaki sposób możesz zweryfikować, tożsamość pracownika, który się z Tobą kontaktuje. Coraz więcej banków udostępnia taką funkcję poprzez wykorzystanie swojej aplikacji mobilnej.Jeśli nie znasz adresata wiadomości e-mail lub SMS, nie otwieraj zawartych w niej załączników i nie odpowiadaj na taką wiadomość. Podobnie, gdy nie masz pewności, czy dana osoba wysłała do Ciebie wiadomość. Może za tym kryć się spoofing. Jeśli znamy osobę, od której rzekomo dostaliśmy wiadomość, warto do niej zadzwonić i się upewnić. Dbaj o bezpieczeństwo swoich haseł, stosuj weryfikację dwuetapową. Aplikacje pobieraj tylko z zaufanych źródeł. Aktualizuj swój sprzęt i oprogramowanie, z którego korzystasz. Korzystaj z oprogramowania antywirusowego. Jeśli natrafisz w sieci na jakiekolwiek oszustwa internetowe, zgłoś je do zespołu CSIRT NASK
opracowała asp.szt. Barbara Stępień