#CyberMagazyn: Pomówmy o spoofingu. Jak się chronić?

W ostatnich dniach, a wręcz tygodniach, Polacy oswajają się z pojęciem – dla wielu z pewnością nowym – jakim jest „spoofing”. Można odnieść wrażenie, że obok Pegasusa, jest ono odmieniane przez wszystkie przypadki i na wielu płaszczyznach. Piszą o nim media, mówią politycy, a w mediach społecznościowych hula hasztag „#spoofing”. 

To nie może dziwić. Sprawa tego konkretnego cyberzagrożenia zyskała rozgłos, ponieważ dotknęło ono osoby, które są rozpoznawalne w naszym kraju lub ich bliskich. Chodzi o polityków, osoby związane ze służbami czy wymiarem sprawiedliwości. 

O kim konkretnie mówimy? Zapewne wszyscy doskonale wiemy, jednak warto pokrótce przywołać konkretne przykłady. Lista znanych osobistości, które w ostatnim czasie miały do czynienia ze spoofingiem obejmuje m.in.: 

• córkę mecenasa Romana Giertycha. Z telefonu Marii Giertych najpierw ktoś rozsyłał fałszywe alarmy bombowe, aby później grozić jej śmiercią, jeśli jej rodzina nie przestanie mówić o Pegasusie ( Roman Giertych jest jedną z ofiar Pegasusa w naszym kraju); 

• córkę Pawła Wojtunika. Były szef CBA przekazał, że nieznani sprawcy podszyli się pod jego numery telefonu (polski i mołdawski) i wykonali połączenie do córki. Gdy odebrała telefon, usłyszała, że jej ojciec nie żyje. „Nie wiem, kim jesteście - czy gangsterami, czy politykami - ale ja wam nie odpuszczę. Zrobię wszystko, żeby was znaleźć” – mówił Wojtunik na konferencji prasowej po całym zajściu;

• Dorotę Brejzę. Podszywając się pod numer telefonu żony senatora Krzysztofa Brejzy (kolejnej ofiary Pegasusa w naszym kraju), ktoś rozsyłał alarmy bombowe. Ładunki wybuchowe miały znajdować się w szpitalach w ramach zemsty za obowiązek szczepień.

• posłankę partii Razem – Paulinę Matysiak. Polityczka dwukrotnie padła ofiarą spoofingu. Pierwszy raz, gdy podszyto się pod numer wiceprzewodniczącego sejmowej komisji obrony narodowej Pawła Szramka i grożono jej śmiercią. W drugim przypadku odebrała telefon i sprawca ponownie przekazał jej, że zginie, ponieważ popiera szczepienia przeciwko COVID-19;

• wiceprzewodniczący sejmowej komisji obrony narodowej Paweł Szramka. W jego przypadku sprawcy podszyli się pod numer posłanki Pauliny Matysiak i grozili śmiercią. „Zgłosiłem incydent do ABW” – ośiwadczył polityk;

• prof. Marcina Matczaka. Ojciec popularnego rapera „Maty” przekazał, że otrzymał telefon (numer infolinii CBA) z informacją, że jego syn nie żyje. Była to fałszywa wiadomość. 

• jednego z liderów PO Borysa Budkę oraz jego żonę Katarzynę. Oboje dostali telefony, podczas których ktoś przekazał im informacje o śmierci swojej drugiej połówki. Gdy incydenty miały miejsce, małżeństwo przebywało razem. Rozmowę od nieznanego sprawy udało się zarejestrowac.

• Mateusza Czuchnowskiego. Syn dziennikarza śledczego „Gazety Wyborczej” Wojciecha Czuchnowskiego odebrał telefon i usłyszał groźbę śmierci. Na wyświetlaczu widniał numer infolinii CBA;

Biorąc pod uwagę ostatnie wydarzenia, uzasadnione wydaje się stwierdzenie, że kolejne, głośne przypadki spoofingu w naszym kraju, to tylko kwestia czasu. Należy jednak mieć na uwadze, że mówimy o zjawisku, które może dotknąć każdego z nas. Dlatego tak ważne jest jego zrozumienie i wyczulenie się na działalność przestępców. 

Co kryje się pod pojęciem „spoofing”?

Jak tłumaczą specjaliści CERT Polska, którzy na co dzień mają do czynienia z cyberzagrożeniami, mówimy o technice mającej na celu sprawienie, aby odbiorca danej wiadomości na wyświetlaczu swojego urządzenia widział fałszywą informację o jej nadawcy. 

„Spoofing najczęściej wykorzystywany jest w atakach socjotechnicznych, w których atakujący fałszują informację o prawdziwym nadawcy w wiadomościach e-mail, SMS oraz połączeniach telefonicznych” – wskazują eksperci dla naszego portalu. 

Zagrożenie, jakie wzięliśmy pod lupę jest jednak bardziej złożone i posiada swoje rodzaje. Możemy wyróżnić spoofing tekstowy oraz telefoniczny. 

Spoofing tekstowy

Do pierwszej kategorii zaliczamy m.in. wiadomości e-mailowe. W tego typu przypadkach sprawca manipuluje nagłówkiem „From” (od, nadawca), którego klienty pocztowe używają do wyświetlenia nadawcy. 

Rozsyłając wiadomości, przestępcy najczęściej podszywają się banki, organy państwowe czy inne instytucje, aby wzbudzić u ofiary zaufanie. „Oszuści wciągają nas w swój proceder i wyłudzają dane wrażliwe, takie jak loginy i hasła do bankowości elektronicznej, numery kart kredytowych lub bankomatowych czy też numer PESEL. Dzięki temu mogą dostać się na nasze konta bankowe lub zaciągać kredyty” – tłumaczy polska Policja. 

Dodaje, że e-maile mogą zawierać również linki, które po kliknięciu przenoszą nas na stronę, łudząco podobną do zaufanej witryny (np. banku). „Również tam, niczego nie świadomi, możemy wprowadzać hasła i loginy. W ten sposób udostępniamy swoje oszczędności przestępcom” – wskazuje Policja.

Metoda ta jednak staje się coraz mniej popularna (co nie oznacza, że w ogóle już nie występuje), co wynika z wdrażania przez dostawców poczty e-mail specjalnych mechanizmów weryfikacji nadawcy. 

Spoofing tekstowy obejmuje również wiadomości SMS. W tym przypadku najczęściej sprawcy ustawiają tzw. nadpis – wówczas na telefonie odbiorcy wyświetla się krótki tekst, zamiast numeru telefonu. 

„Wykorzystanie tej techniki można najczęściej zauważyć w złośliwych kampaniach SMS-owych podszywających się np. pod firmy kurierskie, w których ofiara nakłaniana jest do wykonania dopłaty do przesyłki na stronie z fałszywym panelem logowania do bankowości internetowej albo do instalacji złośliwego oprogramowania” – tłumaczy na naszych łamach CERT Polska. 

Spoofing telefoniczny

Jednak w ostatnim czasie najwięcej mówi się o spoofingu telefonicznym. Opisane wyżej incydenty z udziałem rozpoznawalnych w naszym kraju osób, to konkretne jego przykłady. Mówimy tu o podszywaniu się pod numery telefonów (najczęściej bliskich ofiar, aby nie wzbudzać podejrzeń), aby po odebraniu połączenia przekazać np. groźby. 

Polska Policja wyjaśnia, że spoofing telefoniczny jest obecnie możliwy dzięki nowym rozwiązaniom technologicznym. „Przy ich wykorzystaniu dzwoniący może w niemal dowolnej usłudze ręcznie wprowadzić numer, który ma się wyświetlić adresatowi połączenia jako numer dzwoniącego” – twierdzi. Do zniekształcenia głosu używane są najczęściej komputerowe syntezatory mowy. 

Specjaliści CERT Polska wskazują na konkretny motyw tego typu działań: „Chcą (sprawcy – red.) w ten sposób zaszkodzić osobom z branży cyberbezpieczeństwa, politykom czy aktywistom, a także zaangażować do tego znaczne zasoby służb państwowych”. 

Warto pamiętać, że spoofing telefoniczny najczęściej używany jest do podszywania się pod instytucje lub banki (a w zasadzie ich infolinie), aby w ten sposób wyłudzić pieniądze lub dane od ofiary. Popularnym pretekstem podczas takiej rozmowy jest konieczność zweryfikowania transakcji, przekazanie informacji o rzekomym włamaniu na konto czy atrakcyjnej ofercie inwestycji. „Ofiary nakłaniane są do podania swoich danych uwierzytelniających do bankowości internetowej, kodów BLIK, danych karty płatniczej albo instalacji oprogramowania umożliwiającego dostęp do komputera" – podkreślają eksperci. 

Skąd o nim tak głośno?

No dobrze, ale dlaczego akurat teraz tak głośno zrobiło się spoofingu? Po pierwsze, w ostatnim czasie dotknął on osoby powszechnie znane i rozpoznawalne, które dodatkowo nagłośniły incydenty, czy to za pomocą swoich oficjalnych kanałów na social mediach, czy w rozmowach z mediami. 

Innym ważnym elementem tej układanki jest samo zainteresowanie przestępców tą metodą. Wynika to z faktu, że spoofing znacząco podnosi wiarygodność wysłanej wiadomości lub szansę na odebranie przez ofiarę połączenia. To wpływa bezpośrednio na skutek powodzenia ataku, o czym doskonale wiedzą sprawcy. 

Zachętą dla przestępców jest również poziom trudności i koszty związane z przeprowadzeniem tego typu działań. „Jego (spoofingu – red.) wykonanie jest coraz prostsze i tańsze” – tłumaczą nam specjaliści CERT Polska. Jak dodają, „wynika to bezpośrednio ze słabości używanych powszechnie protokołów wymiany wiadomości SMS i rozmów telefonicznych pomiędzy operatorami telekomunikacyjnymi, trudności w technicznej weryfikacji numerów abonentów, a także dużej liczby wirtualnych operatorów pozwalających na prawie bezpośredni dostęp do sieci telekomunikacyjnych”. 

Policja nie ma możliwości zablokowania spoofingu

Kolejne pytanie, jakie się nasuwa to, w jaki sposób – z perspektywy użytkowników – możemy zorientować się, że mamy do czynienia ze spoofingiem, zwłaszcza w kontekście połączeń telefonicznych?

Idąc po kolei, skupmy się wpierw na wiadomościach e-mailowych. Tutaj z pomocą wychodzą dostawcy poczty lub używany przez nas klient, którzy mogą skutecznie pozwolić na wykrycie wiadomości ze zespoofowanym polem nadawcy, a następnie całkowite jej zablokowanie, bądź stosowane oznaczenie np. jako spam czy ostrzeżenie. 

Zdecydowanie inaczej wygląda sprawa ze spoofingiem SMS-owym i telefonicznym. Eksperci CERT Polska mówią wprost: „nie istnieją obecnie środki techniczne, które pomogłyby użytkownikowi w identyfikacji zespoofowanej wiadomości albo rozmowy”. Z tego względu „odbiorca musi polegać na innych mechanizmach oceny takiej wiadomości, np. analizie jej treści, a w razie wątpliwości dodatkowo ją zweryfikować”.  

Podobnie mówi Polska Policja. Funkcjonariusze podkreślają, że „nie mają możliwości technicznego zablokowania spoofingu, gdyż telefon przestępcy nie jest podłączony do sieci komórkowej, lecz komputerowej”. 

Rząd jednak postanowił zająć się problemem. Janusz Cieszyński, sekretarz stanu w KPRM i pełnomocnik rządu ds. cyberbezpieczeństwa, podczas konferencji prasowej z okazji CYBERSEC Global, podkreślił, że spoofing „jest teraz ważnym tematem”. „Poza fatalnym wymiarem dla ofiar tego procederu, (spoofing - red.) jest cenną lekcją, bo w bardzo praktyczny sposób pokazuje jak dezinformujące, mylące, podstępne mogą być te metody cyberprzestępców” - mówił.

Zadeklarował, że „będziemy (rząd - red.) proponowali szereg rozwiązań, które mają na celu nadgonienie, jeśli chodzi o legislację w zakresie spoofingu i pishingu oraz innych nadużyć w cyberprzestrzeni. Myślę, że taka ustawa jeszcze w pierwszym kwartale tego roku zostanie przez nas przedstawiona”.

Ale...

Istnieją jednak pewne rozwiązania, które pozwalają się chronić przed tym cyberzagrożeniem. „W przypadku wiadomości e-mail powstały już techniczne mechanizmy pozwalające na weryfikację nadawcy. Problemem jest to, że aby ochrona była powszechna i skuteczna, wdrożyć je musi każdy dostawca poczty e-mail. Nawet jeżeli dostawca odbiorcy poprawnie je wdrożył, a nie zrobił tego dostawca, który obsługuje adres nadawcy, weryfikacja będzie niemożliwa” – wskazuje CERT Polska. 

Eksperci zwracają uwagę, że do walki ze spoofingiem głosowym niedawno opracowano rozszerzenia protokołów telekomunikacyjnych pod nazwami „STIR” i „SHAKEN”. „Pozwalają one weryfikować numer połączeń przychodzących przez operatora i automatycznie odrzucić połączenie albo przekazać dodatkową informację do telefonu odbiorcy o braku możliwości weryfikacji numeru. Wdrożenie tych mechanizmów jest od zeszłego roku wymagane przez operatorów telekomunikacyjnych działających w Stanach Zjednoczonych i Kanadzie” – podkreślają specjaliści na łamach naszego portalu.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.