WP Ważny temat Partner wydania
WP Ważny temat Partner wydania pewniwsieci

Spoofing, czyli atak przez telefon. Zastanów się, kto dzwoni

Partner wydania pewniwsieci
Oszuści wykorzystujący szeroko rozumiane nowe technologie nieustannie sięgają po metody, które dają im pewny zysk. Jedną z nich jest tzw. spoofing, czyli podszywanie się pod numery telefonów instytucji, co zwiększa autorytet fałszywego rozmówcy. Atakujący udaje, że chce pomóc, ale w praktyce to manipulacja, w efekcie której można stracić pieniądze.

Wystarczy jednak poznać kilka zasad, aby bez problemu rozpoznać takie próby. Chociaż poruszanie się po świecie nowych technologii – na czele z internetem – dla wielu osób jest codziennością, dla innych stanowi wyzwanie.

T-Mobile chce to zmienić akcją edukacyjną "Pewni w sieci". Na stronie www.pewniwsieci.pl można znaleźć wiele materiałów, które pomogą początkującym – zgodnie z założeniem – poczuć się pewnie podczas korzystania z internetu. Źródłem wiedzy są też publikacje; z niniejszej można się dowiedzieć, jak rozpoznać tytułowy spoofing i właściwie zareagować.

Spoofing telefoniczny, czyli kto tak naprawdę dzwoni?

Spoofing to nic innego jak podszywanie się przez oszusta pod inną osobę, najczęściej z instytucji związanej z sektorem finansów, takiej jak bank. Oszustwo polega na technicznym podszyciu się pod autentyczną infolinię takiej instytucji (wykorzystanie identyfikatora Caller ID) i wykonaniu połączenia do losowej osoby. W rozmowie deklarowana jest najczęściej konieczność szybkiego podjęcia akcji, by ochronić pieniądze na koncie w banku.

Zważywszy, że rozmówca jest przekonany, że faktycznie rozmawia z pracownikiem banku (w końcu odebrał połączenie z autentycznego numeru, a dzwoniący zna część jego danych) – często takie ataki są skuteczne i prowadzą do kradzieży pieniędzy.

Spoofing to typowe oszustwo socjotechniczne. Oznacza to, że główną rolę odgrywa tu manipulacja słowna i przekonanie przyszłej ofiary, że powinna podjąć konkretne kroki. W znakomitej większości przypadków chodzi o instalację oprogramowania do zdalnego dostępu do komputera lub smartfona. Takie aplikacje są legalne i mają swoje zastosowania (m.in. podczas udzielania zaawansowanej pomocy technicznej w dużych firmach), ale zdecydowanie nie powinny być stosowane podczas jakiejkolwiek interakcji z bankiem czy inną instytucją finansową.

Instalacja programu TeamViewer do zdalnego dostępu

Instalacja programu TeamViewer do zdalnego dostępu

Źródło: dobreprogramy.pl

Aby nie dać się nabrać, wystarczy zachować spokój i z założenia nie wierzyć we wszystkie słowa, które usłyszy się w słuchawce. To trudne zadanie. Oszust może bowiem na przykład zadeklarować, że dzwoni z banku X, ponieważ właśnie zablokował podejrzany przelew i konieczne jest szybkie działanie właściciela konta, by zabezpieczyć wszystkie pieniądze.

Jeśli atakujący trafi na kogoś reagującego impulsywnie, jest na wygranej pozycji. W kolejnych krokach wytłumaczy ofierze, jak zainstalować odpowiednie oprogramowanie, a potem jak zalogować się na konto, by "zabezpieczyć środki". W praktyce przejmie w ten sposób jej dane logowania i docelowo przeleje pieniądze z konta na własne.

W innej wersji tego oszustwa ofiara sama przeleje środki na konto atakującego. Choć może się to wydawać nieprawdopodobne, istnieją przypadki, w których poszkodowany – będąc przekonanym, że przelewa pieniądze na "dodatkowe, bezpieczne konto" – w praktyce sam pozbawia się oszczędności życia, przekazując je prosto w ręce oszustów, a pamiętajmy, że wszystko zaczęło się od słownej manipulacji przez telefon.

Co można zrobić?

Aby nie dać się oszukać, po pierwsze należy oduczyć się impulsywnego reagowania na emocjonujące wieści oznajmiane przez telefon. Po drugie warto wiedzieć, że banki co do zasady nie kontaktują się ze swoimi klientami w taki sposób, a jeśli tak – rozmowa z pewnością ma charakter profesjonalny, pozbawiony prób wywołania strachu u właściciela rachunku.

Co jednak najważniejsze, najlepsza rada to… rozłączenie się, a następnie samodzielne zadzwonienie do banku, by kontynuować lub wyjaśnić temat. Warto bowiem wiedzieć, że techniczny aspekt spoofingu "działa" tylko w jedną stronę – atakujący może podszyć się pod autentyczny numer infolinii bankowej, ale dzwoniąc na ten sam numer samodzielnie, zyskujemy pewność, że dodzwonimy się właśnie do banku, a nie do oszusta. Najlepiej wówczas opowiedzieć całą historię i potwierdzić z bankowcem, czy pieniądze są zagrożone i dowiedzieć się, czy konieczne jest podjęcie jakichkolwiek działań.

Więcej na ten temat można się także dowiedzieć w przygotowanym przez T-Mobile cyberkursie wideo. W szóstym odcinku tej serii Paweł Dobrzański, dyrektor bezpieczeństwa w T-Mobile wyjaśnia zjawisko spoofingu i tłumaczy jak się przed nim chronić. Zachęcamy do oglądania!

„PEWNI W SIECI” Odcinek 6 – Spoofing

Bądź pewny w sieci

Pewność siebie podczas codziennego poruszania się po internecie to wypadkowa wiedzy w wielu tematach. Spoofing to tylko jedno z zagrożeń, któremu trzeba sprostać. Inne to między innymi wszechobecny phishing opisany szerzej w innej publikacji. Wcześniej poruszaliśmy także kwestię bezpiecznych zakupów online, zasad tworzenia haseł , dezinformacji, a także ochrony danych i prywatności w sieci. Lektura wszystkich wymienionych tekstów przygotowuje do stawiania odważnych kroków w elektronicznym świecie.

O wszystkich tych tematach można się dowiedzieć więcej na przygotowanej przez T-Mobile stronie www.pewniwsieci.pl. W ramach projektu można dotrzeć do szeregu cennych materiałów edukacyjnych, a tym samym zwiększyć swoją pewność w sieci.