Dzień się jeszcze dobrze nie zaczął, a tu już telefon z banku? Nie ma to jak po raz kolejny usłyszeć o świetnej ofercie kredytowej lub innej karcie debetowej, dzięki której w końcu spełnimy swoje marzenia… Odbieramy z ułożoną już na końcu języka standardową odpowiedzią „dziękuję, nie skorzystam”, a tu szok. Głos w telefonie informuje o niepokojącym ruchu na koncie. Wypływ środków może powstrzymać jedynie szybka instalacja aplikacji z linku, który uczynny pracownik banku zaraz prześle nam na telefon. Może też być potrzebna weryfikacja konta, więc pada prośba o numer klienta i hasło…
… i stop!
Jeśli taki scenariusz wygląda podejrzanie, to masz absolutną rację. Tak właśnie może wyglądać spoofing. Metoda „na pracownika banku” to akurat jeden z popularniejszych wśród oszustów sposobów na przeprowadzenie spoofingu.
Spis treści
Co to jest spoofing?
Coraz więcej osób jest ostrożnych, gdy odbiera dziwne telefony: numer jest zastrzeżony, kierunkowy wskazuje na połączenie z Malty lub sekwencja cyfr po prostu nie jest nam znana. Oszuści doskonale zdają sobie sprawę z tego, że takie sytuacje budzą wzmożoną czujność. Dlatego stosują coraz bardziej wyrafinowane metody.
Jedną z nich jest spoofing. Polega na podszywaniu się pod różnego rodzaju instytucje, zarówno prywatne, jak i państwowe, a także osoby fizyczne. Choć dzwoni oszust, Ty zobaczysz na ekranie smartfona nazwę np. swojego banku. Wszystko dzięki specjalnemu oprogramowaniu, które maskuje prawdziwy numer dzwoniącego.
Oczywiście cyberprzestępcy są niesamowicie kreatywni i sprytni. Oprócz telefonu z banku możesz otrzymać SMS od elektrowni, z którego dowiesz się, o niedopłacie i linkiem do natychmiastowego uiszczenia zaległości. Pod groźbą wyłączenia prądu, rzecz jasna. Możliwe, że otrzymasz również maila od kolegi z pracy, z linkiem np. do ważnych dokumentów, które koniecznie musisz przejrzeć ASAP.
Jak się już pewnie domyślasz, pod tymi linkami czyha wirus komputerowy lub inna, równie nieprzyjemna zasadzka. Dzięki spoofingowi oszuści mogą otrzymać dostęp do Twoich danych wrażliwych, konta bankowego lub po prostu wyłudzić pieniądze.
W spoofingu przestępcy wykorzystują zaufanie do instytucji lub osoby, którą znamy. Umiejętnie grają na emocjach, wysyłając wiadomości wywołujące strach i zdenerwowanie. To właśnie pod ich wpływem racjonalne myślenie ustaje, a my posłusznie robimy to, czego cyberprzestępcy oczekują. Nierzadko na ich korzyść działa też nasze roztargnienie. Niech pierwszy rzuci kamień ten, kto nigdy nie zapomniał opłacić czynszu czy faktury za prąd. Takich osób jest naprawdę niewiele.
Spoofing to zupełnie inna kategoria niż naciąganie na fotowoltaikę lub napastliwe zapraszanie na pokaz garnków. To poważne przestępstwo, które niestety nie jest łatwe do zatrzymania. Nowoczesne technologie ułatwiają oszustom podszycie się pod dowolny numer. Policja natomiast nie może skutecznie blokować tego procederu, ponieważ telefony przestępców są podłączone do sieci komputerowej, a nie komórkowej.
Spoofing a phishing — jaka jest różnica?
O spoofingu możemy mówić, gdy oszust ukrywa swoją tożsamość, podszywając się pod kogoś innego. Phishing natomiast nie musi zajść z wykorzystaniem tej sztuczki. To szersze pojęcie, oznaczające wyłudzenie danych np. na podejrzanej stronie internetowej. Nie bez powodu brzmienie tego słowa kojarzy się z angielskim słowem fishing (wędkowanie). Tu oszuści zarzucają przynętę i jedynie czekają, aż ofiara wejdzie na podejrzaną stronę czy pobierze złośliwe oprogramowanie. Spoofing może być więc narzędziem do wykonania phishingu, ale nie odwrotnie.
Jak nie dać się oszukać
Choć łatwo to mówić, podstawową ochroną przed spoofingiem jest ostrożność, ostrożność i jeszcze raz ostrożność. Na szczęście, gdy mamy świadomość, że pod nazwą naszego banku może kryć się perfidny oszust, jest nieco łatwiej.
Jeśli otrzymujemy niepokojący telefon z danej firmy, warto upewnić się, że faktycznie wykonał go jej pracownik. Najlepiej zrobić to, wyszukując numer na oficjalnej stronie lub aplikacji i wpisując go ręcznie na klawiaturze telefonu. Czasem wystarczy też nasza dociekliwość. Osoba podszywająca się może mylić dotyczące nas szczegóły, nie chcieć się przedstawić, a na zadawane pytania nie odpowiada wprost albo nawet reaguje agresją. SMSy i maile od oszustów mogą zawierać literówki lub błędy stylistyczne. Niekiedy podesłany przez cyberprzestępcę link ma nieprawidłowy adres lub nie ma certyfikatu bezpieczeństwa (czyli „https” przed nazwą witryny).
Warto też korzystać z dobrego oprogramowania antywirusowego oraz regularnie aktualizować oprogramowanie w komputerze czy smartfonie. Dzięki temu urządzenie może w porę zatrzymać przekierowanie na podejrzaną stronę lub wstrzyma pobieranie apki z nieznanego źródła.
Co jeszcze można zrobić?
Cyberprzestępczość to poważna sprawa. Ofiarą spoofingu może paść każdy, dlatego warto uświadamiać swoich bliskich o zagrożeniu. Dzięki temu jest szansa, że będą ostrożniejsi przy odbieraniu telefonów i SMS-ów, a to pozwoli im uniknąć przykrej sytuacji.
Jeśli zdarzy się, że oszust zadzwoni lub wyśle Ci wiadomość, koniecznie zgłoś ten fakt na policję oraz do CERT. Jeśli podszywał się pod bank, dostawcę energii, czy firmę kurierską, warto poinformować tę instytucję. Więcej wskazówek, jak chronić się przed spoofingiem i co zrobić w przypadku podejrzenia oszustwa, znajdziesz na oficjalnej stronie gov.pl.
Choć słowo „cyberprzestępstwo” brzmi nieomal filmowo, ofiarą tego procederu może być każdy. Nie tylko politycy, miliarderzy czy poważne organizacje. Spoofing to właśnie jedna z metod, które oszuści stosują na „statystycznym Kowalskim”, grając na emocjach i zmuszając do podejmowania decyzji pod presją czasu.
Spoofingowi można umknąć, jeśli zachowa się spokój i zweryfikuje informacje u źródła. Bądźmy czujni, bo kto jest po drugiej stronie – nigdy do końca nie wiadomo.