Przyczyną popularności oszustw telefonicznych są słabości systemów. Jak to możliwe w erze zaawansowanych technologii? W programie „Technologiczne Zero” tłumaczyli to Tomasz Rożek i Mateusz Chrobok. Wyjaśniali, czym jest spoofing i jak się przed nim bronić.
- Spoofing polega na podszywaniu się pod numer telefonu osoby prywatnej, banku czy policji i wyłudzaniu pieniędzy lub danych. Systemy telefoniczne są podatne na takie ataki, bo działają na podstawie przestarzałych protokołów.
- Zagrożenia obejmują również SMS-y (np. fałszywe dopłaty do paczek) czy e-maile.
- Podstawowe metody ochrony: ograniczone zaufanie i rezygnacja z podawania wrażliwych danych. Zawsze warto oddzwonić, jeśli mamy wątpliwości, czy rozmawiamy z właściwą osobą. Klucz to spokój – presja emocjonalna wyłącza rozsądek.
- Wszelkie próby oszustwa warto zgłaszać CERT Polska na numer 8080 lub poprzez stronę internetową incydent.cert.pl.
– System telefoniczny, z którego korzystamy, jest nieprzygotowany na sytuację, w której się znaleźliśmy technologicznie (…) w całym protokole związanym z telefonią, to nadawca mówi, z jakiego numeru dzwoni – powiedział Mateusz Chrobok, ekspert ds. cyberbezpieczeństwa, który był gościem „Technologicznego Zera” w Kanale Zero.
– Czekaj, bo ja się już troszkę zgubiłem. Czy ty chcesz powiedzieć, że system nie jest na tyle nowoczesny, żeby rozumieć, kto do kogo dzwoni? – dopytywał prowadzący program Tomasz Rożek.
– Mniej więcej tak – odparł Chrobok.
Spoofing był kolejnym tematem „Technologicznego Zera”, programu Kanału Zero poświęconego najnowszym zdobyczom techniki. Tomasz Rożek i Mateusz Chrobok dyskutowali o przyczynach sukcesów oszustów wykorzystujących tę metodę. Jak zauważył Chrobok, spoofing przez telefon polega na prostej sztuczce.
Co to jest spoofing i na czym polega?
Spoofing to technika fałszowania danych identyfikacyjnych – podszywania się pod kogoś innego. Najpopularniejsza forma to caller ID spoofing, czyli dzwonienie z numeru, który na ekranie telefonu ofiary wygląda jak numer prawdziwej osoby lub instytucji, np. banku – właśnie o takiej sytuacji rozmawiali Rożek z Chrobokiem.
Jak tłumaczył dalej ekspert ds. cyberbezpieczeństwa, wszystko przez archaiczny system telefonii, zaprojektowany w czasach, gdy operatorzy w pełni kontrolowali połączenia. Protokół telefoniczny polega bowiem na tym, że to nadawca deklaruje, z jakiego numeru dzwoni.
Przez wiele lat nie było to problemem, ale po wprowadzeniu technologii VoIP użytkownik uzyskał pewną kontrolę nad połączeniem. Już w latach 90. pojawiły się narzędzia umożliwiające podszywanie się pod dzwoniącego. Rozpoczęła się era oszustw, na które łatwo się nabrać.
Inne rodzaje spoofingu polegają na fałszowaniu SMS-ów, e‑maili, adresów IP czy GPS. Można nawet mówić o spoofingu głosu i obrazu – choć w tym przypadku częściej stosuje się określenie deepfake.
Kto organizuje oszustwa i jakie ma cele?
– Na tym absolutnie robi się pieniądze – powiedział w „Technologicznym Zerze” Mateusz Chrobok. – Jeżeli grupy przestępcze mają jakąś metodę, dzwonią i mówią, że są bankiem, albo dzwonią i chcą od ciebie jakichś danych osobowych, to mają w tym interes – wyjaśniał. Podkreślił, że grupy przestępcze stale inwestują w tego rodzaju przedsięwzięcia, bo nie ma w tej chwili metody, która uporałaby się z problemem globalnie.
Mateusz Chrobok mówił dalej, że ochroną przed spoofingiem są kolejne regulacje. W 2024 r. rząd amerykański zabronił wykorzystywania generatywnej sztucznej inteligencji do generowania głosów w zautomatyzowanych połączeniach telefonicznych.
W Polsce od września 2024 r. obowiązuje regulacja anti-phishingowa, która obciąża operatorów telefonii odpowiedzialnością za wysyłane SMS-y. To skutek ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Operatorzy mieli rok na wdrożenie technologii umożliwiających skuteczne monitorowanie i blokowanie fałszywych połączeń.
Jak się chronić przed spoofingiem? Trzy dobre praktyki
Zdaniem Mateusza Chroboka najprostsza metoda walki ze spoofingiem to oddzwanianie. – Jeżeli ktokolwiek do ciebie dzwoni i mówi: jestem bankiem A lub B (…), to najlepszą metodą jest powiedzieć, dobra, to ja do was odzwonię. Sprawdzasz sobie później na stronie internetowej jaki jest numer do tego banku – tłumaczył ekspert.
– Albo jak to jest twój znajomy, to dzwonisz do niego wybierając numer z książki adresowej, bo tylko jak ktoś do ciebie dzwoni, jest w stanie ściemniać z numerem – dodał.
Ekspert odradzał również podawanie przez telefon jakichkolwiek danych. – Nie wiesz, kto jest po drugiej stronie, z jakiego powodu chce te dane – tłumaczył. Zwraca również uwagę na psychologiczne tricki stosowane przez oszustów. – Jak ktoś będzie nalegał: ja muszę teraz już te dane wziąć, dawaj mi je, bo zdarzy się coś strasznego, stracisz dostęp do pieniędzy, coś wybuchnie, to to jest atak – podkreślał Chrobok.
Kolejną dobrą praktyką i metodą na walkę ze spoofingiem jest zgłaszanie podejrzanych SMS-ów czy e-maili do państwowych instytucji przeciwdziałającym cyberprzestępstwom. W Polsce jest to CERT Polska, zespół działający w strukturach NASK – Państwowego Instytutu Badawczego.
– Spoofing istnieje też w świecie maili, istnieje w świecie smsów (…) pojawiło się bardzo dużo wiadomości z hasłem „dopłać do paczki”, albo „kliknij w link” – mówił Mateusz Chrobok. Jak podkreśla, wszystkie takie wiadomości można przekierować do CERT Polska na numer 8080. Na stronie internetowej incysent.cert.pl można również wypełnić prosty formularz.
Spoofing jako zjawisko społeczne
Tomasz Rożek i Mateusz Chrobok podkreślali również, że spoofing nie jest tylko problemem technicznym. Oszuści grają na emocjach – na strachu, trosce o bliskich czy chęci szybkiego działania. Kluczową taktyką obrony jest spokój i sprawdzenie otrzymanych informacji. Również poszerzenie wiedzy o świecie cyfrowym i nowych technologiach.
Przy braku wpływu na błędy techniczne, możemy zmniejszyć ryzyko oszustwa zachowując czujność i rozsądek. Nie klikać podejrzanych linków, nie podawać swoich danych czy oddzwaniać.