Spoofing — czym jest?

Zjawisko to jest stosunkowo nowym, najczęściej przybiera formę telefonicznego ataku, podczas którego oszuści próbują, za pomocą podstępu, wyłudzić dane wrażliwe rozmówcy. Przestępcy, którzy stosują spoofing, często posiadają wyłącznie podstawowe informacje o swojej potencjalnej ofierze, takie jak imię i nazwisko, numer telefonu. Ich celem jest uzyskanie możliwie jak największej ilości danych — numeru dowodu osobistego, daty jego ważności, numeru karty płatniczej, kodu zabezpieczającego bądź loginu do portalu bankowości internetowej.

Cyberprzestępcy podszywają się pod pracowników różnych instytucji, takich jak banki, firmy telekomunikacyjne czy te firmy, które dostarczają do naszych domów prąd, gaz, wodę,czyli media. Spoofingowcy doskonale wypracowali rozmaite sposoby na to, by pozyskiwać dane od swoich rozmówców. Pod pretekstem zapewnienia  bezpieczeństwa, usunięcia problemów z autoryzacją transakcji bankowych lub innych tego typu sytuacji, próbują nie tylko wyłudzić nasze dane, ale również otrzymać bezpośredni dostęp do naszych urządzeń. Co istotne, cyberprzestępca poprzez ściągnięcie złośliwego oprogramowania, na użytkowany przez nas  sprzęt, może w prosty sposób wprowadzić modyfikacje zabezpieczeń (haseł, PIN-ów), następnie przywłaszczyć sobie wszystkie nasze oszczędności.

Niestety wraz z rozwojem technologii spoofing staje się coraz trudniejszy do wykrycia. Przestępcy korzystają bowiem z wielu powszechnie dostępnych narzędzi, dających możliwość, np. do wprowadzania dowolnego numeru telefonu, który wyświetlony zostanie na urządzeniu odbiorcy. W efekcie taka osoba nie ma szansy, by poprawnie zidentyfikować nadawcę połączenia (bądź wiadomości). Sprawdzenie numeru kontaktowego na stronie instytucji, np. banku, w tej sytuacji nie przyniesie pożądanych rezultatów i nie uchroni nas przed atakiem spoofingowca. Takie oszustwo określane jest mianem Caller ID Spoofing.

Spoofing esmsowy polega na wysyłaniu fałszywej wiadomości. Informacja może być przekazana potencjalnej ofierze za pomocą dostępnych w sieci tzw. bramek. Pozwalają one cyberprzestępcy na wpisanie dowolnego numeru telefonu, a nawet nazwy firmy, w której imieniu rzekomo wysłane zostało powiadomienie. Spoofingowcy występują też w imieniu firmy kurierskiej – takiej jak Inpost, DPD, Poczta Polska, ale także sklepy internetowe – Allegro, OLX  czy duże sieci, takie jak chociażby Biedronka, Polska Grupa Energetyczna, Energa. Wiadomości od oszustów do złudzenia mogą przypominać te, wysyłane regularnie przez przedsiębiorstwa. Najczęściej pojawia się w nich link, którego otwarcie da możliwość hakerom do wykradzenia naszych poufnych danych.

Spoofing mailowy to bardzo zbliżona forma oszustwa do spoofingu smsowego. Cyberprzestępca przesyła do użytkownika poczty elektronicznej wiadomość, która ma naśladować wysłaną przez firmy, których ten jest klientem. Z ogromną dbałością oszuści podrabiają każdy szczegół witryn internetowych, stopek, logotypów wielkich przedsiębiorstw, co sprawia, że coraz większa liczba osób wpada w ich pułapkę.

Chociaż spoofing jest stosunkowo nowym zjawiskiem, to w sieci znajdziemy już całą listę różnorakich chwytów spoofngowych, na które warto uważać. Należą do nich m.in. fałszywe wiadomości o:

• konieczności uiszczenia dopłaty do paczek kurierskich,
• zaległości lub niedopłacie w przypadku naszego zobowiązania wobec PGE,
• blokadzie założonej na nasze konto bankowe,
• zbliżającym się końcu subskrypcji programu antywirusowego,
• nieuregulowanej fakturze.

Aby uchronić siebie i swoje oszczędności przed atakami internetowych oszustów warto wykorzystać poniższe rady.

1. Nie udostępniaj innym swojego loginu i hasła. 
2. Zainwestuj w zakup dobrego programu antywirusowego, który powiadomi cię o wszelkich zagrożeniach oraz zablokuje działania złośliwego oprogramowania.
3. Nie otwieraj linków i załączników, których pochodzenie nie jest tobie znane.
4. Zapamiętaj swój login i hasło, nie zapisuj ich nigdzie.
5. Nie udostępniaj swoich danych w mediach społecznościowych.
6. Bądź czujny, logując się do konta w bankowości mobilnej. Zwróć uwagę czy połączenie sieci jest zabezpieczone.