Co
to jest spoofing telefoniczny i jak na niego reagować?

Co to jest spoofing telefoniczny?

Spoofing telefoniczny to rodzaj cyberprzestępstwa, który polega na podszywaniu się pod czyjś numer telefonu i wykonywaniu z niego połączeń. Ofiarami tego typu ataku są:
   •	właściciel numeru telefonu, pod który podszywa się oszust,
   •	abonent, który odbiera fałszywe połączenie. 
Hakerzy podszywają się pod konkretną osobę lub instytucję i dzwonią do ofiary, aby wyłudzić od niej dane – np. osobowe, czy dostępowe do sieci lub oprogramowania firmowego. Z tej formy ataku cyberprzestępcy korzystają też np. w celu zastraszania lub szantażowania ofiar.
Fałszywym numerem, spod którego dzwoni haker, może być:
   •	infolinia państwowej instytucji (ZUS, Sanepid),
   •	numer telefonu Twojego banku,
   •	znajomego lub kogoś z rodziny,
   •	przełożonego, pracownika, lub prezesa firmy.
Warto dodać, że istnieją jeszcze inne rodzaje spoofingu. To m.in.: 
   •	spoofing e-maila,
   •	IP,
   •	URL,
   •	danych GPS.
Wszystko zależy od intencji i możliwości hakera, a także stopnia zabezpieczenia Twoich danych.

CoPhishing a spoofing – jaka to różnica?

W założeniu obie formy ataku są do siebie bardzo podobne. W obu przypadkach cyberprzestępca próbuje wyłudzić dane, podszywając się pod konkretną osobę lub instytucję. Różnica tkwi w metodzie działania – w przypadku phishingu i jego odmian haker wysyła zainfekowaną wiadomość e-mail lub sms (smishing) z linkiem. Jeżeli ofiara w niego kliknie, cyberprzestępca zyskuje dostęp do sieci lub urządzenia i może w ten sposób podejmować kolejne działania – wykraść dane lub zablokować do nich dostęp. 
Phishing opiera się na social engineeringu, czyli socjotechnice – aby ofiara kliknęła w link, haker musi zdobyć jej zaufanie, za pomocą odpowiednio przygotowanego komunikatu oraz autorytetu osoby czy instytucji, pod którą się podszywa. O tym, czym jest social enginnering i jak prawidłowo reagować na socjotechniki piszemy niżej.  
Spoofing to oszustwo z użyciem danych, które wyglądają identycznie jak prawdziwe – numer telefonu, adres e-mail, itd. Tutaj socjotechnika ma mniejsze znaczenie. Trzeba jednak podkreślić, że także i w tym przypadku hakerzy często korzystają z social engineerignu, aby zwiększyć poczucie wiarygodności u ofiary. 
Jak widzisz, granica między spoofingiem telefonicznym a phishingiem jest płynna. 

WARTO WIEDZIEĆ!

Właściwa nazwa spoofingu telefonicznego to CallerID Spoofing. Ten rodzaj ataku jest możliwy ze względu na stosowanie Signaling System 7 – zbioru protokołów stosowanych w sieciach telekomunikacyjnych. Zbiór powstał w 1981 roku i nie przewidziano w tamtym czasie odpowiednich metod uwierzytelnienia.

Jak działa spoofing telefoniczny?

Wyżej wspominaliśmy, że spoofing telefoniczny ułatwia zbiór protokołów Signaling System 7 (SS7). Informacje przesyłane przez centralę do innej trafiają zazwyczaj automatycznie, bez żadnej weryfikacji. System od razu uznaje je za autentyczne. 
Działanie protokołów SS7 stwarza możliwość zakupu dostępu do takiej centrali za pomocą bramki internetowej lub podobnego – oczywiście nielegalnego – narzędzia. Dzięki temu haker może wykonywać połączenia z użyciem wybranego numeru telefonu. W podobny sposób można też wysyłać wiadomości sms. 

Hakerzy stosują również techniki anonimizacji swojego IP w czasie używania narzędzi do spoofingu. Korzystają też z syntezatorów mowy, aby utrudnić organom ścigania wykrycie sprawcy. O jednym z pierwszych incydentów z wykorzystaniem syntezatora informował portal niebezpiecznik.pl w marcu 2021 roku. Gdy cyberprzestępca wykonuje połączenie, na ekranie telefonu wyświetli Ci się numer pod zapisaną przez ciebie nazwą, a nawet ze zdjęciem kontaktu, jeśli takie stosujesz. Trudno mieć wątpliwości przed odebraniem takiego połączenia, prawda?

Jakie są zagrożenia wycieku danycH? Jak reagować na spoofing telefoniczny?

Jeśli podejrzewasz, że odebrane przez Ciebie połączenie to spoofing, możesz spróbować to zweryfikować. Poniżej przedstawiamy kilka porad, jak zachować się w takiej sytuacji.

• Nie podawaj danych bez weryfikacji tożsamości dzwoniącego.

Jeśli dzwoni do Ciebie Twój bank, upewnij się, że osoba dzwoniąca to rzeczywiście pracownik tej instytucji. Masz do tego prawo – tożsamość pracownika możesz łatwo zweryfikować, dzwoniąc na infolinię banku. Jeśli Twój rozmówca będzie Ci to odradzał, to znaczy, że masz do czynienia z oszustem. W podobny sposób możesz postąpić również w innych przypadkach. Jeśli haker podszywa się pod kogoś z firmy, możesz zadać mu kilka pytań, na które odpowiedź będzie znał tylko ktoś, kto rzeczywiście u Ciebie pracuje.

• Nie ulegaj presji czasu – oszust chce działać szybko.

Cyberprzestępca oczekuje od Ciebie szybkiej – czyli nieprzemyślanej – decyzji. Będzie wywierał na Tobie silną presję i wzbudzał poczucie zagrożenia. Jeśli podejrzewasz, że dzwoni do Ciebie oszust, „graj na czas” i przedłużaj decyzję, jego reakcje mogą potwierdzać Twoje przypuszczenia.

• Zwróć uwagę na sposób wypowiadania się.

Oszusta możesz rozpoznać po tym, jakich słów używa i w jakim kontekście – może to świadczyć, że nie zna profesjonalnych określeń lub korzysta ze zbyt potocznych sformułowań. Zwróć też uwagę na akcent i składnię – może dzwonić zza granicy i nieudolnie podszywać się pod Polaka.

• Zachowaj czujność, gdy usłyszysz komunikat głosowy czytany przez bota.

Aby utrudnić wykrycie swojej tożsamości, oszuści korzystają z programów zniekształcających głos lub syntezatorów mowy, które czytają komunikaty za nich. Coraz więcej instytucji korzysta z botów, dlatego wysłuchaj uważnie treść komunikatu. Jeśli to znany Ci numer i wiesz, że na co dzień rozmawiasz z człowiekiem – możesz podejrzewać próbę oszustwa. Jeśli sytuacja jest przeciwna – postępuj podobnie, jak pisaliśmy punkt wyżej.

• Zastanów się, jeśli otrzymujesz wiadomości lub połączenia w związku z nieznanymi ci tematami.

Jeśli dzwoni lub pisze do Ciebie ktoś obcy i odnosi się do sprawy, o której nie masz pojęcia, istnieją dwie możliwości – to pomyłka lub ktoś zespoofował Twój numer i nawiązywał spod niego połączenia. Z pewnością zdajesz sobie sprawę, że dziś pomyłki zachodzą bardzo rzadko – zdarzały się częściej, gdy powszechnie korzystaliśmy z telefonów stacjonarnych i budek telefonicznych. Pamiętasz, kiedy to było?

Jak nauczyć się prawidłowych reakcji? Szkoląc pracowników.

Cyberprzestępcy doskonale zdają sobie sprawę, że człowiek to najsłabsze ogniwo każdej sieci IT w organizacji. Czasem łatwiej można oszukać pracownika z użyciem spoofingu i socjotechniki niż próbować złamać dobre zabezpieczenia sieciowe. Hakerzy znają słabości ludzkiej psychiki. Dlatego stosują social engineering.

Co to takiego? To po prostu rodzaj manipulacji, która wykorzystuje:

• sposób działania umysłu,
• naturalne reakcje każdego człowieka,
• skutki wywierania presji psychicznej (wywoływanie stresu),
• brak wiedzy o cyberzagrożeniach lub jej niski poziom.

Jak widzisz, cyberprzestępcy korzystają z rozmaitych technik, a do tego są przebiegli. Aby podjąć próbę ataku wykorzystają każdy kontekst – wprowadzenie nowych przepisów, sytuację globalną, wydarzenia lokalne itd. Aby zminimalizować skutki ataku na Twoją organizację, potrzebna jest wiedza na temat metod działań hakerów i – co najważniejsze – jej regularna aktualizacja. Co chwilę powstają nowe techniki cyberataków. W związku z tym pomyśl o przeprowadzaniu szkoleń pracowników w zakresie bezpieczeństwa IT. Możesz je organizować w ramach audytów bezpieczeństwa IT w Twojej organizacji, korzystając z wiedzy specjalistów zewnętrznych. 

Zobacz, jak przebiega takie szkolenie:

1. Zewnętrzni specjaliści badają poziom wiedzy i sposób reakcji uczestników.
2. Uzupełniają ją o najnowsze i najskuteczniejsze sposoby zapobiegania atakom.
3. Sprawdzają umiejętności pracowników w praktyce (symulują atak w trakcie szkolenia).
4. Oceniają skuteczność szkolenia.

---

Zastanawiasz się nad przeprowadzeniem takiego szkolenia w swojej organizacji?