Spoofing – co to jest i jak się przed nim bronić?

Telefon od banku? SMS od PGE lub Poczty Polskiej o niedopłacie? E-mail od BIK z alertem, że ktoś próbował zaciągnąć na Ciebie kredyt? Biedronka wysłała Ci informację o wygranej? Włącz scam alert i nie daj się oszukać!

W ostatnim artykule przybliżyłam Wam, w jaki sposób oszuści podszywają się pod pracowników banków (zob. fałszywy telefon z banku). Ale nie tylko pod nich. Równie dobrze możesz otrzymać telefon, sms lub e-mail od instytucji, czy firmy ogólnie znanej i teoretycznie zaufanej, np. od BIK czy od PGE. Ale ostrzegam — to wcale nie musi być prawdziwa wiadomość! Chwila nieuwagi może kosztować Cię utratę oszczędności życia.


Spoofing — co to jest?

Spoofing jest to metoda wyłudzenia danych, polegająca na tym, że oszuści podszywają się pod znane instytucje, urzędy państwowe, firmy i banki. Mogą robić to za pomocą fałszywych telefonów, sms-ów czy mailów. Cel jest jeden: uzyskanie dostępu do Twoich danych i kradzież pieniędzy.

Spoofing telefoniczny — jak działa?

Smartfon stał się nieodłącznym elementem życia codziennego większości z nas. Prędzej zapomnę portfela czy torebki, niż telefonu. Ale to urządzenie może stać się przyczyną utraty naszych oszczędności. Tak jak w przypadku spoofingu telefonicznego, który polega na tym, że oszuści kontaktują się z numerów telefonów znanych instytucji i banków.

Połączenie telefoniczne

Oszustwa telefoniczne najczęściej przybierają charakter na pracownika banku. Czyli dzwoni do nas nasz bank, z prawdziwego numeru kontaktowego, który jest podany na stronie internetowej. Jak oni to robią? Bardzo łatwo. Korzystają z bramek do wykonywania połączeń. Taka bramka pozwala wpisać dowolny numer telefonu, np. numer infolinii Twojego banku. Oszuści biorą numery telefonów i Twoje dane z wykradzionych baz danych (np. sklepów internetowych).

Fałszywi pracownicy banku będą próbować przekonać Cię, że pieniądze na rachunku bankowym są w niebezpieczeństwie. Jednak ich prawdziwym celem będzie kradzież Twoich danych lub instalacja złośliwego oprogramowania na telefonie czy komputerze.

Spoofing sms

Oszuści mogą wysłać sms-a, podszywając się pod dowolną firmę. Do tego celu służy bramka sms spoofing. Działa ona w ten sposób, że przestępca w polu, gdzie jest miejsce na nr telefonu nadawcy, wpisuje nazwę firmy, od której otrzymujemy sms-a. Na przykład InPost, PGE, Poczta Polska, OLX, firmy kurierskie, Biedronka i wiele, wiele innych. Najczęściej w takiej wiadomości otrzymasz również link.

Tak wygląda prawdziwy spoofing sms od oszustów, podszywających się pod InPost:

InPost

Twoja paczka już czeka na odebranie, pobierz aplikację wygeneruj kod i wyjmij paczke. Link do aplikacji:…

Lub pod PGE:

(źródło: CSIRT KNF)

Wiecie, co jest w tym najgorsze? Że takie fałszywe wiadomości są kontynuowane w tym samym wątku, co wcześniejsze sms-y od prawdziwej firmy. Jeśli odbierałeś wcześniej paczkę z paczkomatu i dostałeś wiadomość od InPostu, to fałszywy sms będzie kontynuacją tej rozmowy.

Jak rozpoznać spoofing telefoniczny?

Nie jest to łatwe zadanie. O ile w przypadku telefonu od fałszywego pracownika banku czy innej instytucji możemy zachować czujność i wyłapać w rozmowie, że coś jest bardzo nie halo, to w przypadku sms-ów pozostaje tylko jedna zasada, o której trzeba pamiętać: nie klikamy nigdy i pod żadnym pozorem w żadne linki z wiadomości. Nawet jeśli wysłała Ci je babcia Gienia i najprawdopodobniej są to zdjęcia kotów. Nie i już, nie klikaj nic i nigdy. Powtórz to zdanie 20 razy: “Nie będę klikać żadnych linków z sms-ów”. I wcale nie żartuję.

Wiadomości czyta się odruchowo, w biegu, jednym okiem, nawet nie analizując treści. A klika się jeszcze bardziej odruchowo. Dopiero w momencie, gdy zakodujesz w podświadomości: Uwaga! Link! Nie klikam! Masz szansę na to, że Twój mózg powstrzyma palec na czas :)

Pamiętajmy też, że instytucje i banki na ogół nie wysyłają żadnych linków do pobrania programów. Jeśli nie jesteś czegoś pewien — lepiej zadzwoń na infolinię i się upewnij, czy wiadomość o takiej treści mogła pochodzić od danej firmy.

spoofing jak rozpoznać?

Email spoofing, czyli spoofing mailowy

Kolejnym rodzajem spoofingu jest e-mail spoofing. Polega on na tym, że oszuści wysyłają maile, podszywając się pod znane Ci instytucje i firmy. Często na pierwszy rzut oka trudno zauważyć, że wiadomość jest fałszywa. Przestępcy dokładają wszelkich starań, by zarówno treść maila, jak i jego szata graficzna były maksymalnie zbliżone do oryginału. Jednymi z ulubionych firm oszustów, są firmy kurierskie i powiadomienia o przesyłkach. W mailu otrzymasz link, np. do śledzenia paczki.

Co dzieje się dalej?

  1. Po jego kliknięciu zostajesz przeniesiony do fałszywej strony internetowej. Ta również jest bardzo dopracowana i potrzeba dużej wprawy, by wyłapać, że nie jest to oficjalna strona danej firmy. Następnie albo na Twój komputer/telefon instalowane jest złośliwe oprogramowanie, albo też strona wymaga od Ciebie podania danych osobowych, danych logowania do konta bankowego lub też karty płatniczej.
  2. Może się też zdarzyć, że wystarczy samo kliknięcie linku, by na Twoim urządzeniu zostało zainstalowane oprogramowanie wyłudzające dane.
  3. Inną metodą jest dołączanie do wiadomości załączników, które zawierają złośliwe oprogramowanie. Po ich kliknięciu Twój komputer w łatwy sposób jest zarażany wirusem.

Polecamy: Skimming – co to jest i jak się przed nim chronić?

Zanim otworzysz wiadomość, przyjrzyj się jej bardzo dokładnie. Zwróć uwagę na adresata, adres www strony, do której ma przenieść nas link (oczywiście przed kliknięciem). Popatrz na składnię: bardzo często treść tłumaczona jest przez translator i zdania są niegramatyczne. A najlepiej podejrzane wiadomości po prostu kasować.

Spoofing — przykłady

Aby skutecznie chronić się przed spoofingiem, musisz wiedzieć, jakie formy przybiera najczęściej. Podam kilka przykładów najpopularniejszych ataków.

  • Fałszywe sms-y od PGE o niedopłacie i planowym wyłączeniu energii w przypadku, jeśli należność nie zostanie uregulowana. I oczywiście link do zapłaty. Miałam “przyjemność” otrzymać takiego sms-a jakiś czas temu. Tutaj przestępcy działają na oślep. Po prostu rozsyłają wiadomości po kolei, czy jesteś klientem PGE, czy też nie. Koniec końców trafią.
  • Niedopłaty do paczek. A ponieważ duży % z nas zamawia przez internet, prawdopodobieństwo, że akurat czekamy na jakąś przesyłkę, jest spore.
  • Sms-y od banków o ograniczeniu dostępu do konta. Po kliknięciu linku zostaniesz przekierowany na fałszywą stronę banku, gdzie masz oczywiście podać dane logowania do swojej prawdziwej bankowości.
  • Wiadomości od OLX czy Otomoto. Na Twoim koncie jest zaległość, którą musisz uregulować, inaczej konto zostanie zablokowane.
  • Maile od firm antywirusowych. Twoja subskrypcja zostanie automatycznie przedłużona na kolejne kilka lat, i oczywiście zostanie za to pobrana wysoka opłata. Jeśli chcesz anulować, kliknij link.
  • Maile z fakturami za płatności, np. za abonament telefoniczny.

I wiele, wiele innych. Przykłady spoofingu można niestety mnożyć w nieskończoność.

Jak się bronić przed spoofingiem?

Pamiętaj, jeśli masz wątpliwości, choćby najmniejsze, że dana wiadomość lub telefon mogą pochodzić od oszustów — nie otwieraj jej, nie odbieraj telefonu lub jeśli to zrobiłeś, to się rozłącz. Poniżej podam wskazówki, z których możemy skorzystać, by zminimalizować ryzyko kradzieży naszych danych.

  • Nie podawaj swoich danych logowania czy danych osobowych dla innej osoby. Nawet jeśli miałby to być pracownik banku. Oni proszą tylko o kilka podstawowych danych do weryfikacji, a nie poproszą nigdy o login czy hasło do konta.
  • Zainstaluj dobre oprogramowanie antywirusowe, zarówno na komputerze, jak i na smartfonie. Dbaj o to, by było aktualizowane.
  • Nie klikaj linków z podejrzanych sms-ów i maili. Sprawdzaj dokładnie adresy mailowe, z których dostaniesz nietypową wiadomość.
  • Nie otwieraj załączników, które budzą Twoje wątpliwości.
  • Nie podawaj swoich poufnych danych w internecie, m.in. w mediach społecznościowych.
  • Korzystaj z najnowszej wersji przeglądarki internetowej.
  • Nie zapisuj loginów i haseł w plikach tekstowych. Jeśli na Twoim urządzeniu zostanie zainstalowany wirus, bardzo szybko trafią do złodzieja. Również nie stosuj tych samych haseł do wszystkiego, w szczególności do logowania do bankowości. Zadbaj o to, by je regularnie zmieniać (lub korzystaj z menadżera haseł).
  • Zachowaj czujność w momencie, gdy otrzymujesz sms-a autoryzacyjnego od banku. Sprawdź dokładnie, jaką operację zatwierdzasz.

Skradzione dane osobowe — co robić?

Ale co zrobić, jeśli mimo wszystko Twoje dane osobowe zostały skradzione? Musisz działać naprawdę szybko, żeby zdążyć przed złodziejami.

Po pierwsze, skontaktuj się jak najszybciej ze swoim bankiem

Bierz telefon do ręki i dzwoń! Za pośrednictwem infolinii banku zastrzeż dostęp do bankowości internetowej, swoją kartę/karty płatnicze, a jeśli trzeba, to również dowód osobisty. Wystarczy, że zastrzeżesz go w jednym banku, inne dostaną o tym informację.


Polecamy: Jak zastrzec kartę płatniczą w banku?


Zgłoś sprawę na policję

Nawet jeśli nie wierzysz w ich skuteczność, idź i zrób to. Wszystkie próby oszustwa powinny być zgłaszane, a Ty zachowuj wszelkie dokumenty i dowody. Mogą przydać się podczas ewentualnej reklamacji w banku w przypadku kradzieży środków z konta czy zaciągnięcia kredytu na Twoje dane.

Zmień hasła

Wszędzie, gdzie możesz, pozmieniaj hasła dostępu. Najlepiej ustaw dwuskładnikowe uwierzytelnienie. Zadbaj o to, by hasła były różnorodne i trudne do odgadnięcia. Tak samo pozmieniaj kody pin do aplikacji, których używasz.

Unieważnij dowód w urzędzie gminy

Jeśli dane z Twojego dowodu zostały skradzione, unieważnij go w urzędzie gminy.

Oszuści w natarciu — nie daj się spoofingowi!

Ofiarami spoofingu zostają osoby w każdym wieku. I te starsze, i te nieco młodsze – a nawet te, które mają dużą wiedzę na temat zagrożeń w sieci. Ponieważ wygląda na to, że podszywanie się pod banki, firmy i instytucje pozostanie z nami na długo, musisz pamiętać o jednym: zachowuj czujność w każdej sytuacji!

Jak podobała Ci się treść?
5 - ciekawa, 1 - nieciekawa
4.4/5 - (8 votes)
Komentarze (0)

Odpowiadasz na komentarz:

Komentarz zostanie opublikowany pod tą nazwą

Adres e-mail nie będzie widoczny publicznie

Treści, które udostępniasz w serwisie są weryfikowane

Polecane artykuły

Zobacz wszystkie
Zobacz wszystkie