Spoofing, phishing, farming… chociaż te angielskie słowa brzmią niewinnie (czy to jakieś minigierki z Facebooka?) wiążą się z nimi często groźne konsekwencje. Każde z tych pojęć jest na tyle szerokie, że zasługuje na oddzielny artykuł. Dziś poświęćmy kilka słów temu pierwszemu, czyli spoofingowi. Odpowiedzmy sobie na następujące pytania:
- Czym jest spoofing?
- Jak oszukać, czyli jak „zespoofować” kogoś?
- Kto może czuć się zagrożony?
- Jak go rozpoznać?
- Czy da się zapobiec?
- Czy to się da zablokować?
1. SPOOF z języka angielskiego oznacza naciąganie, natomiast pełna nazwa samego procederu to CallerID Spoofing. Jest to nic innego jak podszywanie się pod czyjś numer i dzwonienie do kogoś pod przykrywką. Może nie brzmi groźnie, ale wyobraźmy sobie, że nagle ktoś dzwoni do nas z numeru banku, w którym mamy nasze pieniądze… Mózg sam już sobie dopisuje dalszy scenariusz, prawda? I właśnie na tym to polega, na podszywaniu pod instytucje, firmy, ludzi itd. Zgrabna socjotechnika.
Szerszą informację o tym czym jest spoofing dostarczy Ci Baza wiedzy Sejmu RP:
2. By móc bronić się przed zespoofowaniem, musimy najpierw dowiedzieć się jak dokładnie przebiega ten proces, czyli jak ktoś może do nas zadzwonić z czyjegoś numeru, nie będąc w jego posiadaniu.
Musimy uświadomić sobie, że wcale nie musimy „kraść” czyjegoś numeru, ani telefonu. Sprawa jest o wiele prostsza niż nam się wydaje. Wystarczy skorzystać z jednej ze stron, która oferuje takie usługi, a których z przyczyn oczywistych nazw wymieniać nie będę. Każda z tych stron za niewygórowaną cenę pozwala nam wpisać numer, z którego w danej chwili chcemy zadzwonić oraz numer, do którego chcemy się z niego dodzwonić. Klikamy „zadzwoń” i „wsio” znaczy „spoof”. Dzwonimy z numeru A do numeru B, fizycznie wcale nie posiadając numeru A. Tej kwestii artykuł poświęcił także Niebezpiecznik:
Jest to płatne, więc można pomyśleć, że po danych z płatności już wiemy kto oszukał, ale… Jak zwykle są furtki dla nieco bardziej umiejących w Internety. Sama płatność może być anonimowa – to jedna z możliwości, które dają kryptowaluty. Zanonimizować możemy także swój adres IP. To znaczy, że nawet jeśli policja namierzy stronę, która połączyła oszusta, to strona wskaże administratora, a ten poda adres IP – zanonimizowany i oszust jest nieuchwytny.
Niektórzy mówią, że nie ma anonimowości w Internecie i pewnie mają rację. Jednak przy odrobinie umiejętności, skuteczne ukrycie jest możliwe. Wtedy ta teoretycznie nieosiągalna rzecz jaką jest pozostanie niezidentyfikowanym sprawcą jest na wyciągnięcie ręki. Warto także zauważyć, że możliwość wykorzystania syntezatorów mowy, takich jak stworzony przez Microsoft VALL-E, tym bardziej może uwiarygadniać fałszywe połączenia.
Szerzej o tym na:
Nie mamy żadnych poszlak, adresu IP, nawet jego/jej głosu. Szukanie ducha albo wiatru w polu, idealnie odzwierciedla tę sytuację.
3. Kto może czuć się zagrożony? Może to banalne, ale… Każdy. I nie jest to przesadą. Dosłownie, każdy może zostać w ten sposób skutecznie oszukany. Do każdego może zadzwonić bank, ZUS, skarbówka czy jakakolwiek inna instytucja zaufania publicznego. Ceną jaką zapłacimy, gdy damy się oszukać nie zawsze muszę być nasze pieniądze, to mogą być nasze dane osobowe. Często nawet cenniejsze dla oszustów. Mówiąc jednak o pieniądzach należy podkreślić, że konsekwencje mogą być bardzo poważne, jak w przypadku:
- Burmistrza Konstancina-Jeziorny.
Jak podaje Gazeta Wyborcza:
Wobec burmistrza Konstancina-Jeziorny sformułowano zarzut popełnienia przestępstwa polegającego na nieumyślnym niedopełnieniu ciążących na nim obowiązków i w związku z tym wyrządzenia szkody w obrocie w wielkich rozmiarach. Na poczet grożących podejrzanemu – w przypadku uznania go winnym oraz skazania – kary grzywny, orzeczenia obowiązku naprawienia szkody oraz zasądzenia obowiązku zapłaty kosztów sądowych w postępowaniu karnym, dokonano zajęcia nieruchomości w postaci mieszkania stanowiącej własność podejrzanego (…) poprzez ustanowienie hipoteki przymusowej do kwoty łącznie 5.020.000,00 zł. Jedną z hipotez w sprawie, w której gmina założyła w jednym z banków lokatę na 5 mln zł po telefonie od fałszywego przedstawiciela banku jest właśnie SPOOFING numeru GSM.
Szerzej te sprawę opisał Sekurak:
- Czy jednego z banków w Zjednoczonych Emiratach Arabskich, który poprzez sklonowanie głosu Prezesa stracił przeszło 100 mln złotych.
Także pisał o tym Sekurak:
Nie każdemu jednak uda się osiągnąć taki spektakularny wynik. Mimo to pozyskane informacje mogą zostać spieniężone i wykorzystane w różnoraki sposób (np. wprost sprzedane na portalach dla „cyberzłoczyńców” takich jak Cebulka). Prosty i szybki sposób „na biznes”.
4. Jak go rozpoznać? Mówiąc prosto NIE DA SIĘ. W żaden sposób nie można rozpoznać czy dany dzwoniący do nas numer to faktycznie ten, który właśnie nam się wyświetla. W jednej chwili siedzimy na kanapie oglądając TV, dzwoni telefon, spoglądamy w ekran i widzimy np. numer naszego banku, odbieramy, a tam przemiły kobiecy głos, który zanim odsłoni sedno sprawy, musi nas przecież zweryfikować… Zabawa się zaczęła – oczywiście nie dla nas.
5. Jak sobie poradzić ze spoofingiem?
- Jak już wspomniałem, takiego oszukanego połączenia nie jesteśmy w stanie sami rozpoznać. Mógłby to natomiast zrobić nasz operator. W trakcie trwania połączenia, jak i po zakończeniu. Niestety tego nie robi. W efekcie organy ścigania zatrzymują Bogu ducha winnego wrabianego (prawdziwego właściciela numeru, który w tej sprawie też jest ofiarą). Proste rozwiązanie to prosta analiza bilingu numeru A oraz numeru B, bo o ile w numerze B będzie ślad, że numer A do nas dzwonił, o tyle w bilingach numeru A nie będzie żadnego śladu połączenia do numeru B, bo w rzeczywistości numer A do B nigdy nie wtedy zadzwonił.
- Dla nas istotniejsze jest więc to by, być czujnym. Masz wątpliwość, że to prawdziwe połączenie. Rozłącz się, znajdź numer Twojego banku/dostawcy energii na jego stronie internetowej, skontaktuj się z konsultantem i zapytaj czy faktycznie jest do Ciebie jakaś sprawa. „Ograniczone zaufanie” powinno być ogólną zasadą, która będzie Ci towarzyszyć w kontaktach zdalnych. Nie ma żadnego powodu by wierzyć na słowo osobie, której nie widziałeś nigdy na własne oczy.
6. Czy operatorzy mogę zablokować możliwość spoofowania? Teoretycznie tak. Niemniej jest to trudne, a nawet bardzo trudne.
Primo: należałoby dokonać zmian w protokołach komunikacyjnych wykorzystywanych przez operatorów sieci. Na całym świecie. Także tam gdzie nie ma RODO. Prawda, że to nie wykonalne?
Secundo: takie zmiany mogą zrobić tylko polscy operatorzy, lokalnie, ale wtedy problem będą mieć Ci, którzy np. korzystają z roamingu przebywając na wakacjach. Można wtedy jeszcze „dopytać” sieć, gdzie użytkownik się znajduje w danym momencie, ale to nadal nie rozwiązuje problemu.
Tertio: cokolwiek nie zostanie przez operatorów wykorzystane, by zatrzymać czy ograniczyć proceder jakim jest spoofing, będzie musiało zostać sfinansowane… Przez kogoś, a to niestety droga sprawa. Dodatkowo będą musiały zostać przygotowane odpowiednie, nowe realia prawne – może rozwiązaniem będzie nowe Prawo Komunikacji Elektronicznej chociaż i tu pojawiają się poważne wątpliwości – co do praktyk tam forsowanych.
O czym pisze między innymi Fundacja Panoptykon:
Finalnie: niestety nic nie zwiastuje rychłego rozwiązania problemu jakim jest spoofing. Niemniej dobrze, że o problemie zaczęto mówić. Oby częściej i coraz głośniej. Nie czekając na kolejne głośne medialne sprawy.
W tym momencie mogę jedynie jeszcze raz przypomnieć złotą zasadę kontaktów na odległość: „Ogranicz zaufanie i w razie wątpliwości sprawdzaj. Nigdy nie możesz mieć pewności kto jest po drugiej stronie. Numer telefonu można sfałszować, a głos sklonować i to całkiem łatwo”.
Autor: Kamil Lewicki – Kierownik Projektu CompNet Sp. z o.o.