Spoofing, czyli wilk w owczej skórze
Napastnicy próbujący wyłudzić pieniądze lub wrażliwe dane podszywają się pod urzędników, pracowników banków, czy też policjantów. Tego typu oszustwa nie zawsze udaje się wykryć, bądź zatrzymać za pomocą narzędzi bezpieczeństwa.
Do 61-letniej mieszkanki Lubelszczyzny zadzwoniła kobieta podająca się za pracownicę banku. Niedługo potem do rozmowy z 61-latką dołączyli dwaj mężczyźni. Jeden twierdził, że pracuje również dla instytucji finansowej, zaś drugi przedstawił się jako policjant. Cała trójka próbowała wmówić kobiecie, że ktoś chciał zaciągnąć kredyt, posługując się jej danymi, a żeby zatrzymać rzekomego sprawcę, sama musi wziąć pożyczkę. Jak się łatwo domyślić, byli to oszuści, którzy chcieli wyłudzić od niedoszłej ofiary pieniądze. W tym przypadku kobieta wykazała się rozsądkiem i nie dała się nabrać na przekręt. Niemniej jednak media opisują wiele podobnych przypadków, z tą różnicą, iż nie miały one szczęśliwego zakończenia.
Mniej rozsądna okazała się mieszkanka Podkarpacia. W jej przypadku oszuści podszyli się pod pracownika Biura Informacji Kredytowej i prokuraturę z Warszawy. Za ich namową kobieta wzięła kredyt w wysokości 110 tysięcy złotych, a pieniądze wpłaciła na podane przez oszustów konto.
Czym jest spoofing
W opisanych sytuacjach napastnicy posługują się tak zwanym spoofingiem telefonicznym (inna nazwa tego zjawiska to vishing). Oszustwo polega na tym, że oszuści podszywają się pod pracowników banków, przedstawicieli urzędów i prowadzą szereg działań mających na celu wyłudzenie pieniędzy od potencjalnej ofiary.
Scenariusze działań przestępców posługujących się vishingiem są do siebie na ogół bardzo podobne i różnią się szczegółami, dostosowywanymi do sytuacji osobistej oraz wieku potencjalnych ofiar. Oszuści nie zawsze proszą ofiary o wykonanie przelewu na podane przez siebie konto. Czasami ich działania są bardziej wysublimowane i polegają na wysyłaniu ofierze SMS-a z prośbą o kliknięcie w link lub zainstalowanie aplikacji dającej zdalny dostęp do telefonu komórkowego. Dopiero potem napastnik przejmuje dane osobowe, hasła oraz pieniądze z konta bankowego ofiary.
“Niestety, spoofing telefoniczny w ostatnim czasie stał się jedną z najskuteczniejszych metod wyłudzania pieniędzy. Dzieje się tak, ponieważ jego ofiary działają pod wpływem impulsu, chcąc szybko wyjaśnić rzekomy problem. Zalecamy, aby w takich sytuacjach zachować spokój. Jeśli rozmowa wzbudza wątpliwości, należy ją przerwać, a następnie zadzwonić po upływie minuty do instytucji, na którą powołuje się jej rzekomy przedstawiciel. Przy czym nie można oddzwaniać na wcześniejsze połączenie, lecz wpisać samodzielnie numer. Nigdy nie należy podawać loginu i hasła do serwisu bankowości elektronicznej ani karty kredytowej” - mówi Robert Dziemianko Marketing Manager G DATA Software.
Oszustwa w Internecie
Ostatnio w Polsce dużo mówi się o vishingu, aczkolwiek istnieją inne odmiany tego oszustwa. Przestępcy podszywający się pod firmy, bądź instytucje zmieniają adres e-mail czy IP, z których się kontaktują z potencjalną ofiarą. Poza tym tworzą fałszywe witryny internetowe do złudzenia przypominające strony znanych marek, urzędów czy też instytucji finansowych. Następnie oszuści starają się pozyskać potencjalne ofiary, wysyłając im linki za pomocą metod takich jak phishing, smishing (SMS-y), podszywanie się pod marki w mediach społecznościowych, płatne reklamy w wynikach wyszukiwania oraz nawet wykorzystując kody QR.
Ostatnio w Polsce jednym z ulubionych sposobów stosowanych przez oszustów była informacja o oczekującej paczce. Jej odbiór był możliwy dopiero po uiszczeniu drobnej opłaty. W tym celu należało wejść na stronę internetową wskazaną przez nadawcę. Choć witryna do złudzenia przypominała prawdziwą, była imitacją przygotowaną przez oszustów. Nieświadoma ofiara pobierała ransomware, malware czy oprogramowanie szpiegujące, a przy okazji często pozostawiała wrażliwe dane, takie jak imię, nazwisko, hasło do konta, numer dowodu czy numer karty kredytowej w celach weryfikacji odbiorcy.
Spoofing stron internetowych jest zjawiskiem dość powszechnym, przynoszącym poważne straty. W samych tylko Stanach Zjednoczonych w 2022 roku kosztował konsumentów aż 8,8 mld dolarów - informuje Federalna Komisja Handlu.
“Spoofing internetowy jest trudny do wykrycia, tym bardziej, że napastnicy potrafią doskonale podrabiać strony internetowe czy format firmowych e-maili. Najlepszym zabezpieczeniem jest w tym przypadku zdrowy rozsądek podczas przeglądania stron internetowych i odpowiadania na e-maile. Pewnego rodzaju ochronę stanowi antywirus, który ostrzega przed nieprawdziwymi witrynami, a także usuwa wirusy, próbujące dostać się do firmowej sieci” – dodaje Dziemianko.
Nowa ustawa przeciw spoofingowi
Od 25 września bieżącego roku obowiązuje ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Ma ona na celu ograniczenie oszustw polegających na podszywaniu się pod instytucje, osoby fizyczne i wysyłaniu zainfekowanych wiadomości SMS - czytamy na stronie gov.pl. Przedsiębiorstwa telekomunikacyjne mają od 6 do 12 miesięcy na wdrożenie rozwiązań przeciwdziałającym tym nadużyciom. Ustawa nakłada też nowe obowiązki dostawców poczty elektronicznej obsługujących co najmniej pół miliona użytkowników. Będą oni zobowiązani stosować zabezpieczenia antyphishingowe SPF/DKIM/DMARC.
Czytaj także: Nowy numer alarmowy: 8080. Kiedy użyć?
Gdata