Czym jest spoofing i jak się przed nim bronić?

Metoda na wnuczka, policjanta, pracownika banku – cyberprzestępcy odgrywają różne role, aby szybko wzbudzić zaufanie ofiar i wywołać strach, który sprzyja podejmowaniu nieprzemyślanych, pochopnych decyzji. Oszuści sięgają po spoofing, czyli podszywanie się pod m.in. numery telefonów bliskich osób, firm, instytucji finansowych, a nawet urzędów, aby wyłudzać dane i pieniądze¹. Na czym polegają różne rodzaje spoofingu i jak można się przed nimi obronić?

Spoofing – co to jest?

Spoofing to oszustwo polegające na fałszowaniu danych identyfikacyjnych w systemach teleinformatycznych przez przestępców, którzy podszywają się pod osoby godne zaufania, np. doradcę klienta w banku, pracownika administracji publicznej bądź policjanta. Jeśli uwierzysz w historię opowiedzianą przez przestępcę, np. próbę zrealizowania przelewu na wysoką kwotę z Twojego rachunku bankowego, i postąpisz według instrukcji oszusta, narazisz się na utratę pieniędzy.

Spoofing skutecznie usypia czujność ofiar, ponieważ cyberprzestępcy wykorzystują technologie, które umożliwiają im imitowanie realnych adresów e-mail, numerów telefonów czy adresów URL². Gdy numer osoby dzwoniącej pokrywa się z numerem infolinii na stronie banku, rozmówca może nie podejrzewać, że to oszustwo, zwłaszcza jeśli targają nim silne emocje, np. strach o utratę oszczędności.

Spoofing bywa wykorzystywany jako technika wspomagająca phishing – ataki socjotechniczne mające na celu wyłudzenie danych osobowych lub pieniędzy. Szczególną odmianą phishingu jest smishing, który bazuje głównie na fałszywych wiadomościach SMS. Jeśli cyberprzestępca podszywa się pod bank, odbiorca SMS-a może być przekonany, że otrzymał prawdziwy komunikat od instytucji finansowej, ponieważ wiadomość będzie pochodzić – pozornie – z tego samego numeru, co np. kody autoryzujące transakcje.

Rodzaje i przykłady spoofingu

Co do zasady, spoofing dotyczy przede wszystkim rozmów telefonicznych, ale oszuści docierają do ofiar również za pomocą spreparowanych stron internetowych i fałszywych e-maili i SMSów. Mniej znane – lecz tak samo groźne – cyberzagrożenia to m.in. ARP spoofing, który polega na przechwyceniu komunikacji między urządzeniami w sieci lokalnej, czy GPS spoofing, czyli manipulowanie sygnałami GPS w celu sfałszowania lokalizacji.

Spoofing telefoniczny

Najczęstsze scenariusze spoofingu numeru telefonu (Caller ID (CLI) Spoofing) zakładają wywołanie strachu u odbiorcy, np. za pomocą informacji o zablokowaniu podejrzanej transakcji czy próbie zawarcia umowy kredytowej. Przestępcy nakłaniają zestresowane ofiary do natychmiastowego działania, m.in. podania loginu i hasła do bankowości internetowej lub zainstalowania aplikacji mobilnej, która jest tak naprawdę złośliwym oprogramowaniem do przechwytywania poufnych danych. Spoofing telefoniczny może się charakteryzować wieloetapowym scenariuszem. Ofiara najpierw odbiera połączenie od rzekomego pracownika banku, który powiadamia o np. nieautoryzowanym dostępie do konta, a następnie informuje o konieczności odebrania następnego telefonu – tym razem od działu technicznego, który ma zabezpieczyć pieniądze klienta.

Spoofing e-mailowy

Spoofing e-mailowy polega na fałszowaniu nazwy nadawcy wiadomości. W efekcie odbiorca e-maila jest przekonany, że rzeczywiście otrzymał wezwanie do zapłaty zaległego podatku od urzędu skarbowego, rachunku od dostawcy prądu czy faktury od wykonawcy usługi. Ostatni scenariusz jest szczególnie niebezpieczny dla przedsiębiorców. Zdarza się, że dział księgowy otrzymuje e-maila z prośbą o natychmiastowe opłacenie faktury. Na pierwszy rzut oka dane nadawcy, np. prezesa zarządu, oraz dane wystawcy faktury nie wzbudzają podejrzeń, a stosunkowo niska kwota sprzedaży nie obliguje do weryfikacji numeru rachunku bankowego na tzw. białej liście podatników VAT. W efekcie pracownik niezwłocznie realizuje polecenie służbowe, które potem okazuje się oszustwem.

Ponadto cyberprzestępcy stosujący spoofing e-mailowy mogą nakłaniać odbiorców do klikania w linki wiodące do fałszywych stron albo pobierania załączników ze złośliwym oprogramowaniem.

Spoofing IP

Spoofing adresu IP pozwala przestępcom na m.in. omijanie mechanizmów uwierzytelniania bazujących na adresach IP. Cyberprzestępcy modyfikują adres źródłowy w nagłówku pakietu danych, aby ukryć prawdziwą tożsamość i uzyskać nieautoryzowany dostęp do poufnych informacji.

DNS spoofing

DNS spoofing służy do przechwytywania żądań wysyłanych przez użytkowników przeglądarek internetowych i przekierowywania ofiar na fałszywe strony internetowe. Spreparowane witryny często imitują serwisy bankowości elektronicznej lub strony urzędowe.

Gdzie zgłosić spoofing telefoniczny?

Spoofing należy zgłaszać za pomocą formularza na stronie CERT Polska. Dostępne kategorie incydentów cyberbezpieczeństwa obejmują nie tylko podejrzane telefony, ale także złośliwe domeny, fałszywe wiadomości SMS i e-mail czy pliki będące prawdopodobnie złośliwym oprogramowaniem. Pamiętaj, że jeśli oszuści zdobędą Twoje dane, np. login i hasło do bankowości elektronicznej, musisz poinformować o tym incydencie instytucję finansową, aby zabezpieczyć swoje środki.

Jak się chronić przed spoofingiem?

Niestety za pomocą protokołów identyfikacji używanych w Polsce, nie da się całkowicie wyeliminować ryzyka spoofingu. Na szczęście możesz uniknąć kradzieży tożsamości i utraty pieniędzy, jeśli będziesz przestrzegać tych prostych zasad:

Nie podawaj loginu i hasła do bankowości internetowej, kodu PIN do aplikacji mobilnej oraz danych karty kredytowej rzekomemu pracownikowi banku.
Nie przekazuj rozmówcy żadnych kodów autoryzujących transakcje.
Jeśli masz wątpliwości wobec tożsamości osoby dzwoniącej, przerwij rozmowę. Sprawdź numer kontaktowy na oficjalnej stronie organu administracji publicznej, instytucji finansowej lub firmy. Wpisz numer odręcznie (nawet jeśli zgadza się z numerem podejrzanego rozmówcy!) i zadzwoń, aby zweryfikować otrzymane informacje.
Zachowaj szczególną ostrożność, kiedy usłyszysz obco brzmiący akcent lub odczytasz wiadomość z błędami językowymi.
Nie klikaj w podejrzane, skrócone linki, jeśli nie masz pewności, kto jest nadawcą.
Nie pobieraj i nie otwieraj załączników z rzekomymi wezwaniami do zapłaty. O ile to możliwe, najpierw skontaktuj się z daną firmą lub urzędem i dowiedz się, czy masz nieuregulowane należności.

Pamiętaj, że cyberprzestępcy usiłują się podszywać nie tylko pod instytucje finansowe, popularne przedsiębiorstwa czy organy administracji publicznej, ale także pod osoby bliskie ofiarom. Oszuści wykorzystują nowoczesne technologie do generowania tzw. deepfake’ów, czyli sfabrykowanych nagrań. Spoofing z wykorzystaniem deepfake’a polega np. na imitowaniu zestresowanego znajomego, który został napadnięty i potrzebuje pieniędzy na zakup nowego telefonu. W takiej sytuacji można m.in. spróbować się skontaktować z prawdziwym rozmówcą z innego urządzenia, za pomocą mediów społecznościowych lub zaproponować zgłoszenie sprawy na policję. Ostatnie rozwiązanie powinno odstraszyć oszusta.

Podsumowanie

Spoofing to poważne zagrożenie, które wykorzystuje zaufanie i emocje ofiar, by wyłudzać dane oraz pieniądze. Choć metody cyberprzestępców stają się coraz bardziej zaawansowane, kluczową bronią w walce z nimi pozostaje świadomość i zdrowy rozsądek. Weryfikacja tożsamości rozmówcy, ostrożność w kontaktach elektronicznych oraz znajomość typowych scenariuszy ataków znacząco zwiększają nasze bezpieczeństwo. Pamiętaj - zawsze lepiej przerwać podejrzaną rozmowę lub sprawdzić informacje samodzielnie, niż podjąć pochopną decyzję i paść ofiarą oszustwa.

Źródła:
1. https://samorzad.gov.pl/web/powiat-garwolin/spoofing-czyli-podszywanie-sie-pod-inny-numer-telefonu-jak-sie-bronic---bankowcy-dla-edukacji
2. https://www.gov.pl/web/baza-wiedzy/czym-jest-spoofing-jak-go-rozpoznac-i-nie-dac-sie-nabrac

Najnowsze posty

Edukacja finansowa

01 wrz 2025 03:00

Promesa kredytowa – czym jest?

Jeśli planujesz większy wydatek, który znacząco wykracza poza Twój budżet domowy i poduszkę finansową, możesz się zastanawiać nad zaciągnięciem kredytu. Zdarza się, że musisz...

Więcej