sierpień 1, 2024 SAPSAN TEAM

Spoofing – co to i jak nie zostać jego ofiarą?

Spoofing w ostatnim czasie stał się jednym z najbardziej podstępnych narzędzi używanych przez oszustów. Na tę technikę, która polega na fałszowaniu lub modyfikowaniu danych identyfikacyjnych, aby wyłudzić poufne informacje lub pieniądze, narażone są głównie osoby starsze, ale nie tylko one! W tym artykule przyjrzymy się dokładniej, co to jest spoofing, jak go rozpoznać i jakie kroki podjąć, aby skutecznie się przed nim chronić.

Co to znaczy spoofing?

Spoofing po polsku oznacza fałszowanie, a spoofer, to fałszerz lub osoba, która udaje kogoś innego. Spoofing – co to jest? Jest to oszustwo polegające na modyfikacji lub fałszowaniu danych identyfikacyjnych tj.:

adresy mailowe,
numery telefonów,
adresy IP.

Wszystko po to, aby wprowadzić ofiarę w błąd, zdobyć jej zaufanie i wyłudzić potrzebne dostępy do cennych danych lub systemów.

Co to jest atak typu spoofing?

Przedstawiamy, jak przebiega atak typu spoofing i co to właściwie oznacza dla ofiary. Pamiętaj, że spoofing może przybierać rozmaite formy, a każda z nich wykorzystuje różne techniki i kanały komunikacji. Oto przegląd tych najczęściej spotykanych rodzajów wraz z przykładami.

Spoofing telefoniczny – ma miejsce, gdy atakujący dokonuje zmiany numeru telefonu, który wyświetla się na ekranie odbiorcy. Dzięki temu odbiorca widzi numer, który wygląda na oficjalny lub zaufany, np. numer banku czy urzędnika. Przykład na spoofing call: otrzymujesz telefon, który wygląda na połączenie z Twojego banku, gdzie „pracownik” informuje o problemach z kontem i prosi Cię o podanie danych osobowych lub zainstalowanie oprogramowania. Gdy to zrobisz, przejmuje ono kontrolę nad Twoim urządzeniem, a wtedy oszuści mogą z łatwością przejąć Twoje pieniądze.

Spoofing email – oszuści zmieniają nagłówki i pole nadawcy w wiadomości mailowej, aby wyglądało, jakby była wysłana z zaufanej i znanej instytucji. Celem jest np. atak typu phishing. Może to wyglądać w ten sposób: otrzymujesz maila rzekomo od Twojego banku, który prosi o kliknięcie linku i zalogowanie się, aby „zweryfikować” konto. Link prowadzi do fałszywej strony logowania, która kradnie Twoje dane.

SMS spoofing – oszust podszywa się pod inny numer telefonu w wiadomościach SMS. Narzędzie tj. bramka SMS spoofing umożliwia preparowanie numeru nadawcy, aby wyglądał na autoryzowany lub znany.

DNS spoofing – atakujący manipulują zapisami DNS, aby przekierować użytkowników na fałszywe strony internetowe, mimo że wpisali prawidłowy adres w przeglądarkę. Przykład: wchodzisz na Twoją ulubioną, zaufaną stronę, ale z powodu zmanipulowanego DNS zostajesz przekierowany na fałszywą stronę, która do złudzenia przypomina tę prawdziwą, jednak została zaprojektowana w celu np. kradzieży Twoich danych do logowania.

Tego typu ataki zdarzają się coraz częściej w dużych firmach, dlatego zatrudniani są w nich specjaliści ds. cyberbezpieczeństwa, którzy przy użyciu rozmaitych multinarzędzi (tj. np. Packet Squirrel Mark II) przeprowadzają testy penetracyjne, czyli symulowane ataki na systemy komputerowe, sieci i aplikacje w celu identyfikacji ich słabości i luk bezpieczeństwa przed rzeczywistymi atakami z zewnątrz. Bardzo ważna jest tu oczywiście edukacja pracowników i uczulenie ich na zjawisko spoofingu.

Sprawdź też na blogu Sapsan, na czym polega skimming.

Jak się chronić przed spoofingiem?

Oto kilka wskazówek, dzięki którym zmniejszysz ryzyko stania się ofiarą spoofingu telefonicznego i nie tylko.

Edukuj się na temat najnowszych zagrożeń i technik stosowanych przez cyberprzestępców, aby lepiej rozpoznawać i unikać potencjalnych ataków.
Nie daj się zwieść presji czasowej! Bądź czujny wobec wszelkich próśb o dane, które wymagają natychmiastowej odpowiedzi, niezależnie od tego, czy są wysyłane telefonicznie, SMS-em czy e-mailem. Oszuści liczą na to, że w pośpiechu popełnisz błąd.
Jeśli masz jakiekolwiek wątpliwości co do autentyczności numeru telefonu, zakończ rozmowę i samodzielnie skontaktuj się z daną organizacją, wpisując jej numer ręcznie na telefonie.
Zachowuj czujność wobec sytuacji, które mogą wzbudzać niepokój. Często oszuści proszą o wrażliwe informacje, takie jak hasła, dane konta czy dane osobowe, tuż po rozpoczęciu rozmowy i próbują wywierać na Tobie presję. W takich przypadkach zachowaj spokój; jeśli coś Cię niepokoi, zakończ rozmowę.
Zadbaj o bezpieczeństwo swoich haseł i używaj weryfikacji dwuetapowej. Pobieraj aplikacje tylko z wiarygodnych źródeł. Regularnie aktualizuj swój sprzęt i oprogramowanie, a także korzystaj z oprogramowania antywirusowego.

Co grozi za spoofing?

Spoofing to przestępstwo, za które w zależności od okoliczności może grozić kara pozbawienia wolności od 3 miesięcy do nawet 5 lat. Skazani za spoofing mogą zostać również pozbawieni możliwości wykonywania określonych zawodów, zwłaszcza tych związanych z IT, czy zarządzaniem danymi. W niektórych przypadkach sąd może nałożyć zakaz działalności w branży technologicznej lub finansowej, a w ramach śledztwa i postępowania sądowego, władze mają prawo zająć sprzęt komputerowy i inne urządzenia wykorzystywane do popełnienia przestępstwa. W Polsce spoofing jest ścigany na podstawie przepisów dotyczących oszustw (art. 286 Kodeksu karnego), wprowadzenia w błąd (art. 287) oraz przepisów dotyczących nieuprawnionego dostępu do systemów informatycznych (art. 267).

Czym się różni phishing od spoofingu?

Spoofing a phishing – te pojęcia nie są synonimami. Są to różne techniki stosowane w cyberatakach, choć często są ze sobą powiązane. Spoofing jest często wykorzystywany w różnego rodzaju atakach phishingowych, ale nie jest równoznaczny z pojęciem phishingu. Spoofing polega bowiem na fałszowaniu danych identyfikacyjnych, a phishing to technika wyłudzania informacji. Spoofing może być wykorzystywany w ramach phishingu, np. poprzez podszywanie się pod prawdziwy adres e-mail w celu przeprowadzenia ataku phishingowego, ale może również występować samodzielnie, w celu zakłócenia działania systemów czy kradzieży tożsamości.

Poprzedni artykuł Skimming – co to jest i jak się chronić?

Następny artykuł Po czym poznać phishing i jak nie dać się nabrać?