Spoofing telefoniczny. Ekspert tłumaczy, jak nie dać się nabrać
Rozmówca podający się za pracownika banku, który chce zadbać o bezpieczeństwo twoich pieniędzy na koncie to najpewniej oszust. Od dawna wykorzystywany jest schemat, w którym stosuje się spoofing telefoniczny. Ekspert z firmy Avast tłumaczy, skąd atakujący wie, w jakim banku ma konto przyszła ofiara.
Spoofing telefoniczny to co do zasady stary model oszustwa, zwykle sprowadzający się do tego samego - zachęcenia w rozmowie do instalacji oprogramowania zdalnego dostępu do komputera, które pozwoli atakującemu odczytać login i hasło do bankowości. Źródłem problemu jest jednak już samo połączenie.
Dzwoniący wykorzystuje tytułowy spoofing, aby zmienić identyfikator i podszyć się pod autentyczny numer kontaktowy z banku. Jeśli ofiara ma go w kontaktach w telefonie, najpewniej uwierzy, że faktycznie dzwoni do niej bankowiec.
Oszuści używają w tym przypadku techniki zwanej spoofingiem telefonicznym. Jest to wykorzystywanie fałszywych informacji o identyfikatorze rozmówcy w celu zamaskowania prawdziwego źródła połączenia przychodzącego. Oszuści zazwyczaj podszywają się pod konkretne numery telefonów, aby sprawić wrażenie, że dzwonią z określonej lokalizacji lub organizacji, co zwiększa prawdopodobieństwo, że ludzie dadzą się nabrać na oszustwo.
Oszuści w rozmowie proszą zazwyczaj o instalację oprogramowania do zdalnej obsługi komputera pokroju TeamViewera lub AnyDesk. Warto tu podkreślić, że obydwie aplikacje są uznanymi programami do tego zadania i nie można w tym kontekście twierdzić, że one są źródłem problemu. Jest nim natomiast nieświadomość przyszłej ofiary, która jest od początku rozmowy manipulowana przez oszusta recytującego jej dane osobowe i te dotyczące konta bankowego.
"Cyberprzestępcy mogą dowiedzieć się na kilka sposobów, w jakim banku ma ktoś konto - na przykład zbierając publicznie dostępne informacje z mediów społecznościowych, wykorzystując wcześniej phishing z prośbą o podanie danych na ten temat, zadając pytania na początku rozmowy lub przez darknet" - tłumaczy dla dobrychprogramów Luis Corrons z firmy Avast.
Dodaje, że co do zasady banki nie dzwonią do swoich klientów w takich sprawach. Aby się zabezpieczyć, poleca zapytać rozmówcę o dane osobowe, a następnie rozłączyć się, samemu zadzwonić do banku i poprosić o połączenie z tą osobą. Wówczas będziemy mieć pewność, że rozmawiamy z właściwym miejscem, co pozwoli zgłębiać temat dalej (lub potwierdzić, że taki problem nie istnieje, bo w rzeczywistości mieliśmy do czynienia z próbą oszustwa) bez obaw, że ktoś podszywa się pod bankowca.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl
