Oszuści posunęli się technologicznie na tyle „do przodu”, że już dziś, wykonując połączenie, mogą wyświetlić na Twoim smartfonie numer telefonu kogoś znajomego lub nawet… członka rodziny. Co więcej, zaawansowany schemat wyłudzenia zakłada podłożenie głosu zbliżonego do osoby, którą bardzo dobrze znasz. Jak to możliwe? Za pomocą sztucznej inteligencji. Oczywiście najpierw trzeba w ogóle znaleźć się w pobliżu takiego człowieka i nagrać jego głos, ale… dla najbardziej zaawansowanych i zdeterminowanych oszustów to nie problem. Jak więc uchronić się przed spoofingiem? Czy pomimo największych zbieżności głosu lub numeru telefonu da się wykryć, że mamy do czynienia z cyberprzestępcą?
Co to jest spoofing? Na czym polega spoofing?
Spoofing to termin pochodzący z języka angielskiego, od słowa „spoof”, co można przetłumaczyć jako „naciąganie” lub „oszukiwanie”. Jest to technika cyberprzestępcza polegająca na podszywaniu się pod inną osobę, instytucję lub firmę w celu wyłudzenia danych lub pieniędzy. Najczęściej oszuści podszywają się pod numer telefonu, adres e-mail lub nawet IP danej instytucji. Wszystko to sprawia, że ofiary często nawet nie podejrzewają, że mogą mieć do czynienia z bardzo niebezpiecznym oszustem.
Co ważne, spoofing nie wymaga doświadczonego naciągacza. Spoofing opiera się na wykorzystaniu najbardziej podstawowych i naturalnych reakcji człowieka. Oszuści bazują na socjotechnice, czyli manipulacji emocjami. Wywołują poczucie presji czasu i fałszywego poczucia bezpieczeństwa. Naciągacze często nie muszą się nawet zbytnio starać, by dostać dostęp do informacji lub pieniędzy. Dajemy im to „za darmo” pod pozorem komunikowania się z zaufaną osobą, podmiotem lub instytucją.
Spoofing – jak rozpoznać oszustwo „na pracownika banku”?
Oszust korzysta z narzędzi umożliwiających wyświetlenie na ekranie telefonu ofiary dowolnego numeru – profesjonalnie nazywa się to „Caller ID Spoofing”. Przykładowo, na ekranie telefonu może pojawić się numer infolinii banku, co sugeruje, że rozmówca jest autentycznym pracownikiem instytucji finansowej. W rzeczywistości jednak jest to przestępca, który próbuje wyłudzić dane logowania do konta bankowego. Oszuści często stosują technikę wywoływania poczucia pilności. Informują, że doszło do podejrzanych transakcji na koncie i wzywają do natychmiastowego działania.
Oszuści mogą prosić również o zainstalowanie dodatkowego oprogramowania „zabezpieczającego”, które w rzeczywistości pozwala im przejąć pełną kontrolę nad urządzeniem ofiary. To bardzo istotne sygnały ostrzegawcze.
Jak możemy się upewnić, że nie mamy do czynienia ze spooferem udającym pracownika banku?
Odpowiedzią jest dwuetapowa weryfikacja w aplikacji mobilnej banku. Niektóre instytucje wprowadziły tę możliwość jako zabezpieczenie przed naciągaczami. Jeden z nich to Bank BNP Paribas, który jest partnerem cyklu o bezpieczeństwie cyfrowym w dzisiejszej zaawansowanej technologicznie bankowości.
Aplikacja BNP Paribas GOmobile za każdym razem, gdy dzwoni do nas pracownik banku, wysyła do nas unikatowe powiadomienie w aplikacji mobilnej. Tym samym uwierzytelnia się i udostępnia swoje dane (np. imię i nazwisko). Co więcej, by konsultant w ogóle mógł kontynuować z nami rozmowę, musi poczekać, aż zatwierdzimy powiadomienie w czasie rzeczywistym. Jest to swego rodzaju dowód na to, że rozmowa z prawdziwym pracownikiem rzeczywiście się odbywa. Jest to idealne zabezpieczenie. Dlaczego?
Ten rodzaj spoofingu jest najłatwiejszy, a tym samym najpowszechniejszy – oszust nie musi bawić się w modyfikowanie i podkładanie głosu, bo przecież i tak dzwoni do nas osoba obca. Co by się nie działo, potencjalny wyłudzacz nie ma fizycznej możliwości wysłać powiadomienia na naszą aplikację mobilną. Stąd też, jeśli dzwoni do nas „ktoś z banku” i nie informuje nas jednocześnie o tym, że właśnie wysłał powiadomienie na naszą aplikację mobilną w celu weryfikacji tożsamości, wiemy na 100%, że mamy do czynienia z oszustem.
Spoofing i e-mail spoofing, czyli phishing. Jak je rozpoznać?
Innym popularnym sposobem na wyłudzenie danych jest e-mail spoofing (tj. phishing). Oszust wysyła wiadomość, która wygląda na pochodzącą od np. znanej instytucji, dostawcy usług internetowych czy nawet pracodawcy. Wiadomości te często zawierają linki prowadzące do fałszywych stron internetowych, które wyglądają jak oficjalne witryny. Użytkownik wprowadza na nich swoje dane logowania lub inne poufne informacje, które następnie trafiają do rąk przestępców.
Warto dodać, że e-maile te często są bardzo dobrze przygotowane pod względem graficznym i treściowym – mogą zawierać logo firmy, profesjonalny język oraz wiarygodne argumenty, co czyni je trudnymi do rozróżnienia od prawdziwej korespondencji. Ten model oszustwa niemal zawsze idzie w parze właśnie z fałszywymi stronami internetowymi, które imitują prawdziwe witryny instytucji finansowych, sklepów internetowych czy portali społecznościowych. Jak się uchronić? Trzeba wychwytywać nieścisłości.
Wielu oszustów wysyła e-maile masowo, używając ogólnych zwrotów takich jak „Szanowny Kliencie” czy „Drogi Użytkowniku”. Zaufane instytucje zazwyczaj zwracają się do swoich klientów imieniem i nazwiskiem oraz zawierają dodatkowe informacje związane z konkretnym kontem, np. numer klienta. Brak personalizacji lub jakichkolwiek szczegółów dotyczących odbiorcy może wskazywać na próbę oszustwa.
Nowoczesne programy pocztowe posiadają również często zaawansowane filtry antyspamowe, które mogą automatycznie wykrywać podejrzane e-maile i przenosić je do folderu ze spamem. Warto regularnie aktualizować takie filtry oraz zainstalować sprawdzone oprogramowanie antywirusowe, które pomoże w walce złośliwymi załącznikami (typu .pdf, .docx itp.) i stronami internetowymi. Oprócz tego, w przypadku podejrzeń zawsze warto skontaktować się z nadawcą za pomocą innego kanału komunikacji, aby zweryfikować autentyczność załącznika.
Czytaj też: Przestępstwa w metawersum, czyli metaverse crime
Kiedy powinniśmy zacząć podejrzewać, że mamy do czynienia z oszustem?
Choć oszuści są coraz bardziej wyrafinowani, istnieje kilka sygnałów ostrzegawczych, które mogą pomóc w rozpoznaniu spoofingu i jego zapobieganiu. Jeśli się do nich zastosujemy, dużo łatwiej będzie nam rozpoznać manipulację i próbę oszustwa. Szczególnie warto zwracać uwagę na:
- Pilny ton rozmowy – jeśli ktoś wywiera presję, mówiąc, że sprawa jest niezwykle pilna, to powód, by się zastanowić, czy wiemy, kto dzwoni. Banki i inne instytucje rzadko kiedy wymagają natychmiastowych działań.
- Prośby o poufne dane – żadna poważna instytucja nie prosi o podanie haseł ani innych wrażliwych danych przez telefon czy e-mail.
- Nietypowe zachowanie – jeśli rozmówca prosi o wykonanie niestandardowej czynności, np. zainstalowanie nowego oprogramowania, to również powód do niepokoju.
- Wszelkiego rodzaju informacje o potrzebie wpłacenia pieniędzy – np. na opłacenie leczenia poszkodowanego w wypadku członka rodziny.
Spoofing nie odniósłby sukcesu, gdyby nie nasze własne czyny i działania. To właśnie manipulacja emocjami i presja czasu są kluczowe w tego typu atakach. Oszuści często stosują taktykę wywoływania poczucia zagrożenia – np. informują, że ktoś właśnie włamuje się na nasze konto bankowe, i wzywają do natychmiastowego działania. W rzeczywistości chodzi im o to, by ofiara w wyniku stresu oraz niewiedzy popełniła błąd i podała poufne dane.
Najpopularniejsze metody spoofingu
Socjotechnika bazuje na psychologicznych mechanizmach, które są dla nas naturalne. Gdy ktoś wywołuje w nas silne emocje – strach, niepokój czy nawet poczucie winy – nasze zdolności logicznego myślenia zostają osłabione. Wówczas łatwiej podejmujemy decyzje pod wpływem impulsu, co jest „wodą na młyn” dla cyberprzestępców. Zwracajmy uwagę na to, czy ktoś nie próbuje wywołać podobnych emocji u nas. Warto się również zapoznać z najpopularniejszymi scenariuszami, których może użyć spoofer, by nas do siebie przekonać:
- Metoda na wnuczka: oszust podaje się za wnuczka lub krewnego, informując o nagłym wypadku i pilnej potrzebie przesłania pieniędzy.
- Metoda na policjanta lub lekarza: oszust udaje funkcjonariusza policji lub lekarza, twierdząc, że doszło do wypadku z udziałem kogoś bliskiego.
- Metoda na przedstawiciela banku i pomoc techniczną: oszust podszywa się pod pracownika banku, ostrzegając o podejrzanej aktywności na koncie i sugerując konieczność zablokowania środków.
- Metoda na pracownika ZUS lub innej instytucji: oszust udaje pracownika ZUS lub urzędnika, informując o problemach z wypłatą emerytury lub innych świadczeń.
Spoofing jest szczególnie groźny, ponieważ atakuje jedną z najważniejszych cech ludzkiego funkcjonowania w sieci – zaufanie. Oszuści wykorzystują fakt, że codziennie polegamy na autoryzowanych numerach telefonów, e-mailach i stronach internetowych, wierząc, że są one bezpieczne. Fałszując te elementy, cyberprzestępcy mogą łatwo uśpić naszą czujność i „za darmo” zyskać naszą ufność.
Nie przegap najważniejszych trendów w technologiach!
Zarejestruj się, by otrzymywać nasz newsletter!
Spoofing w wersji full, czyli jak rozpoznać najbardziej zaawansowanych oszustów?
Najbardziej zaangażowani w proces naciągacze zadbają o każdy najmniejszy szczegół – wyświetlą numer osoby bliskiej, ułożą scenariusz i stworzą podobny głos. Oszust będzie chciał coś od nas dostać, najczęściej pieniądze lub bardzo wrażliwe dane. Stąd też, nawet jeżeli dzwoni do nas osoba najbliższa, warto zachować wszelkie środki ostrożności. Wystarczy się rozłączyć i oddzwonić na numer z naszych kontaktów.
Rzeczywiście, czasami możemy przez to wyjść na przewrażliwionych lub nawet „lekko szalonych” w oczach bliskich, ale… mimo wszystko lepiej mieć te cechy niż stracić kilka tysięcy złotych w wyniku oszustwa. Jeżeli ktokolwiek prosi nas o pieniądze lub dane – nawet najbliżsi – zawsze powinniśmy zachować szczególną ostrożność i upewnić się, że kontaktuje się z nami ta osoba, która powinna. Oszuści często, by uniemożliwić weryfikację tożsamości bliskiego, powołają się na zdarzenia trzecie, jak np. poważny wypadek. W takich sytuacjach rzeczywiście weryfikacja tożsamości może wydawać niezbyt w porządku, ale w czasach cyfryzacji jest to swego rodzaju konieczność, jeśli na 100% nie chcemy paść ofiarą naciągacza.
Czytaj też: Nowe zagrożenia: ataki na klientów Booking, właścicieli stron www
Rodzaje oszustw internetowych – najważniejsze pojęcia
Oprócz tego warto jest mieć w swojej głowie słowniczek najważniejszych pojęć. Świadomość możliwości wystąpienia ataku jest bardzo często kluczowa w jego zapobieganiu. Oto kilka terminów, które warto znać:
- Vishing to wykorzystanie do ataku komunikacji głosowej (telefon/komunikator). Rozmówca może udawać np. pracownika banku i prosić o podanie danych do logowania do konta.
- Smishing to wykorzystanie do ataku komunikacji tekstowej np. SMS z linkiem przekierowującym do płatności (zaległej faktury/przesyłki).
- Phishing to technika umożliwiająca bezprawne pozyskanie poufnych informacji np. fałszywa widomość mailowa bądź fałszywa witryna internetowa, która przypomina prawdziwą.
- Spoofing to podszywanie się pod dowolny numer telefonu, nazwę użytkownika lub instytucję. Przykładowo na ekranie telefonu wyświetli się numer infolinii banku, pomimo że osobą inicjującą połączenie jest oszust.
Spoofing i inne techniki oszustw internetowych, takie jak phishing, vishing czy smishing, są stale rozwijane przez cyberprzestępców, a ich celem jest jedno – wykorzystanie ludzkiej ufności oraz chwili nieuwagi, aby zdobyć poufne informacje lub pieniądze. Chociaż oszuści stają się coraz bardziej wyrafinowani, najskuteczniejszym zabezpieczeniem nadal jest zdrowy rozsądek oraz zastosowanie kilku prostych zasad.
Cyberprzestępcy liczą na naszą nieuwagę – chrońmy się!
Zawsze warto weryfikować nadawcę wiadomości, nie ulegać presji czasu, dokładnie sprawdzać adresy e-mail i linki, a przede wszystkim pamiętać, że żadna poważna instytucja – zwłaszcza bank – nigdy nie będzie prosić o podanie haseł ani kodów przez telefon czy e-mail. Wprowadzenie dodatkowych środków ochrony, takich jak uwierzytelnianie dwuskładnikowe, korzystanie z oprogramowania antywirusowego oraz regularne aktualizacje systemów, również mogą znacząco zwiększyć poziom naszego bezpieczeństwa.
Pamiętajmy, że cyberprzestępcy liczą na naszą nieuwagę i emocje – to właśnie w momentach presji jesteśmy najbardziej narażeni na podjęcie błędnych decyzji. Dlatego zwracajmy uwagę na każdy pojedynczy przypadek, w którym ktoś – nawet na pozór osoba bliska – na tych emocjach próbuje otrzymać od nas jakąkolwiek formę świadczenia. W przypadku jakichkolwiek podejrzeń zawsze warto wstrzymać się z działaniem i samemu zainicjować kontakt z pierwotnym nadawcą. Działajmy rozważnie i nie dajmy się zwieść manipulacjom oszustów. Nasze bezpieczeństwo w sieci zależy przede wszystkim od naszej wiedzy i rozwagi.
Źródło zdjęcia tytułowego: DC Studio, Freepik
Jeżeli chcesz dowiedzieć się więcej o cyberbezpieczeństwie, dołącz do webinaru Banku BNP Paribas 11.02.2025 i bądź o krok przed hakerem!
0 komentarzy
ZALOGUJ SIĘ I ZOSTAW KOMENTARZ
