Spoofing. Czym jest i jak się przed nim chronić?

Spoofing, czyli plaga naszych czasów. Czym jest? Czym różni się od phishingu?

W języku angielski słowo spoofing oznacza podszywanie się. Sam spoofing często wykorzystywany jest do innego groźnego procederu zwanego phishingiem, który polega na wyłudzaniu naszych danych.

Spoofing, a phising

W trakcie phisingu atakujący stara się tak przygotować odpowiednie narzędzia, by przy ich pomocy wydobyć od nas dane, które pomogą mu w osiągnięciu jego celów. Takimi danymi mogą być loginy, hasła, hasła jednorazowe czy też adresy mailowe lub inne dane wrażliwe wykorzystywane w zabezpieczeniach systemów internetowych.

By osiągnąć swój cel i pozyskać od nas dane, przestępcy do phishingu mogą sięgnąć właśnie po spoofing. Może on mieć charakter celowany w naszą konkretną osobę, ale zazwyczaj jest to jakaś większa operacja, mająca na celu zaatakowanie większej grupy ludzi.

Przykłady spoofingu

Przykładowym działaniem opartym o spoofing może być podmiana strony internetowej portalu lub nawet banku po to, by wyłudzić od nas dane. Taka podmiana może odbywać się w sieci, gdy dojdzie do infekcji danej witryny, ale może odbywać się również lokalnie. Jeśli na naszym urządzeniu zainstalowane zostanie złośliwe oprogramowanie, to przeglądarka może wyświetlić nam na przykład fałszywą stronę banku. Sfałszowana może również zostać jedynie jej część, po to, by na przykład, przelew wyszedł do innego odbiorcy.

Spoofing przez telefon? Dlaczego nie!

Spoofing może również dotyczyć połączeń telefonicznych. Osoba dzwoniąca na nasz numer telefonu będzie przedstawiała się jako pracownik instytucji, które jesteśmy klientem. Tutaj, podobnie jak w przypadku poprzedniego przykładu, przestępca po drugiej stronie słuchawki będzie starał się podszyć pod pracownika banku, używając takich samych jak on zwrotów, pytań, formułek i określeń. Dzięki temu będzie liczył na pozyskanie naszego zaufania, a stąd już mały kroczek do phishingu i wyłudzenia od nas danych.

Reasumując, podstawowym celem spoofingu jest podszycie się pod kogoś lub coś (kradzież tożsamości), a w przypadku phisingu chodzi o pozyskanie informacji wrażliwych, do czego przydatny jest spoofing.

Gdzie jeszcze wykorzystywany jest spoofing?

W poprzednim akapicie poruszyliśmy tylko dwa obszary spoofingu. Teraz przyjrzymy się większej liczbie miejsc, w których możemy spotkać się ze spoofingiem.

Spoofing mailowy

Najpopularniejszą metodą jest spoofing mailowy. Na naszą skrzynkę przychodzi wiadomość, która w założeniu ma wyglądać dokładnie tak, jak standardowy mail z jakiegoś usługodawcy. Oczywiście tylko w założeniu. Wprawne i uważne oko w większości przypadków od razu wyłapie, że wiadomość ta nie do końca wygląda tak, jak dotychczas otrzymane maile z banku.

Jak się przed tym bronić? Podstawową rzeczą, jaką możemy sprawdzić, to nadawca wiadomości. Najczęściej w polu tym widnieć będzie jakiś inny adres. Zdarzyć się może, że adres będzie prawidłowy, ale jeśli sprawdzimy szczegóły wiadomości, widać będzie, że ktoś się pod danego usługodawcę podszywa.

Spoofing GPS

Spoofing może być również wykorzystywany do oszukiwania sygnałów satelitów systemu GPS. Jak skuteczne mogą to być manewry, przekonali się liczni armatorzy wysyłający swoje statki na rejsy po Morzu Czarnym. Kapitanowie potrafili widzieć na ekranach monitorów swoje jednostki płynące w głębi lądu. Na szczęście Spoofing GPS to już wyższa szkoła jazdy i jeśli nie poruszamy się po terenach przygranicznych, spornych lub zapalnych, to raczej nie powinniśmy się z nim zetknąć.

Spoofing VoIP

W codziennym funkcjonowania można również spotkać się ze spoofingiem w takich obszarach, jak podszywanie się pod konkretne numery telefonów, ale z perspektywy Kowalskiego, dotyczy to połączeń VoIP, które u nas nie są zbyt popularne.

Spoofing głosowy

Czasem możemy również zetknąć się z podszywaniem się pod czyiś głos. Idealne jego podrobienie jest to trudne, choć dla przestępców może to być istotny wektor ataku, zwłaszcza, że nasz głos może służyć do weryfikacji tożsamości.

Podejrzany adres internetowy

Kolejną metodą na spoofing jest liczenie na pomyłkę w adresie internetowym. W nazwie banku lub instytucji zmieniamy jedną literkę, lub stosujemy inne rozszerzenie i z zewnątrz strona może wyglądać dokładnie tak, jak strona na która chcieliśmy się udać. Gdy nie zauważymy różnicy i podamy dane, to kłopot gotowy.

Jak zabezpieczyć się przed spoofingiem?

Sprawa jest bajecznie prosta w swej istocie, ale trudna w wykonaniu. W Internecie trzeba uważać, w co się klika i gdzie się wpisuje hasła. Prawda, że proste? Żarty na bok. Dobrze jest wyrobić w sobie nawyk sprawdzania pola adresu w przeglądarce, zanim wpiszemy jakiekolwiek wrażliwe dane. Może również pokusić się o sprawdzenie certyfikatu, czy został wystawiony dla instytucji, z którą chcemy się komunikować. Zwracajmy również bacznie uwagę na to, czy strona internetowa wygląda dokładnie tak, jak powinna. Idealnie byłoby mieć osobny komputer jedynie do spraw finansowych i urzędowych, ale umówmy się – jest to czystą abstrakcją. W zbyt wielu punktach codzienne użytkowanie Internetu przenika się z płaceniem i podawaniem danych, by mieć tego typu urządzenie.

Spoofing na smartfonie? Nie klikaj w byle co!

To samo tyczy się smartfonów. Zamiast klikać we wszystko co dostaniemy, przyjrzyjmy się otrzymanemu linkowi, zanim nasz prędki kciuk go kliknie. Zarówno w przypadku komputerów, jak i smartfonów, nie klikajmy zawsze bezmyślnie „tak”, „dalej”, „zainstaluj”, „ok”, ponieważ na to właśnie liczą osoby spod ciemnej gwiazdy. Na nasze odruchy. Jeden taki klik może przerodzić się w kaskadę działań prowadzącą do instalacji niepożądanego oprogramowania, które dopełni dzieła zniszczenia. Idźmy jednak dalej.

Zanim podasz dane, sprawdź, z kim rozmawiasz!

Gdy dzwoni do nas ktoś z banku, lub z ubezpieczalni, albo podaje się za pracownika operatora telefonii komórkowej, nie podawajmy żadnych danych, gdy nie oczekiwaliśmy kontaktu, a numer jest nam nieznany. Zawsze możemy się przecież rozłączyć i samemu zadzwonić na ogólnie dostępny numer telefonu danej firmy służący do kontaktu i ustalić, o co chodzi. Czasem z pomocą przyjdzie nam też technologia.

Banki chronią przed spoofingiem?

Niektóre banki starają się zabezpieczać klientów powiadomieniami push w swoich aplikacjach, które pozwalają weryfikować kontakt telefoniczny i być może jest to dobry kierunek. W przyszłości możemy spodziewać się kolejnych nowinek w tym obszarze, ale nic nie zastąpić zdrowego rozsądku, odrobiny podejrzliwości oraz przynajmniej podstawowej świadomości jak działają urządzenia, które nas otaczają.

Poza tym wszystkim warto, również dbać o aktualizacje systemu operacyjnego oraz oprogramowania, a w przypadku komputerów z Windowsem dobrze mieć włączony jakikolwiek antywirus. Zwiększa to nasze szanse i daje drugą linię obrony, gdy jednak nieopatrznie w coś klikniemy.