Zamiast atakować systemy, hakerzy atakują naszą uwagę, wykorzystując znajome logo, zaufany numer telefonu czy fałszywą domenę różniącą się jedną literą od oryginału. W tym artykule pokazujemy aktualne przykłady spoofingu i wyjaśniamy, jak je rozpoznać, zanim będzie za późno.
Phishing a spoofing – czym się różnią, a co je łączy?
Terminy phishing i spoofing często pojawiają się razem. Nie oznaczają jednak tego samego, mimo że obie techniki służą jednemu celowi: oszukać odbiorcę i wyłudzić dane lub pieniądze.
Phishing to całościowa kampania oszustwa, której celem jest zmanipulowanie ofiary – najczęściej przez e-mail, SMS lub komunikator – i nakłonienie jej do kliknięcia w link, pobrania załącznika lub podania danych (np. loginu, hasła, danych karty płatniczej). \
Spoofing natomiast to technika podszywania się, która często stanowi element phishingu. Polega na fałszowaniu danych nadawcy (adresu e-mail, numeru telefonu, adresu strony internetowej), tak by wyglądały na zaufane. Spoofing zwiększa skuteczność phishingu – bo gdy odbiorca widzi znaną nazwę, łatwiej da się oszukać.
Przykłady:
- Phishing: Dostajesz SMS z linkiem do fałszywej strony płatności.
- Spoofing: Nadawcą wiadomości wydaje się „InPost” lub „Twój bank”, choć w rzeczywistości jest nim atakujący.
Spoofing można więc traktować jako narzędzie techniczne, a phishing – jako scenariusz ataku. Obie techniki są dziś powszechnie wykorzystywane razem i to właśnie ich połączenie czyni cyberoszustwa tak trudnymi do wykrycia.
Podszywanie się w e-mailach i SMS-ach
Z danych CERT Polska wynika, że phishing i spoofing to dziś najczęściej zgłaszane formy incydentów. W 2024 roku blisko połowa zgłoszeń dotyczyła właśnie prób podszywania się pod znane serwisy lub instytucje. Szczególną popularnością wśród przestępców cieszyły się wiadomości rzekomo pochodzące z OLX, Allegro czy Facebooka. Cel był prosty – wyłudzenie danych logowania lub danych kart płatniczych.
Co ciekawe, cyberprzestępcy potrafią tak spreparować wiadomość, że widoczny nadawca wygląda identycznie jak zaufana instytucja. Zamiast [email protected] widzimy np. [email protected] lub jeszcze bardziej zmyślne wariacje z homonimami i znakami specjalnymi.
Microsoft w swoim globalnym raporcie zwraca uwagę na to, że najczęściej wykorzystywane metody spoofingu obejmują fałszywe subdomeny (login.twoj-bank.pl.atakujacy.com) oraz zamienniki znaków (micros0ft.com zamiast microsoft.com). Problem w tym, że takie różnice trudno wychwycić na pierwszy rzut oka.
Fałszywe domeny i mylące linki
Spoofing domen to dzisiaj jedno z głównych zagrożeń w sieci. Przykład podany przez CERT Polska mówi o stronie allegrolokalnie.pl-oferta5815015105198474.cfd, która tylko z pozoru wygląda na bezpieczną. W rzeczywistości nie ma nic wspólnego z Allegro. Analiza takich linków wymaga znajomości podstaw działania adresów URL – a to nie jest jeszcze wiedza powszechna.
Kluczem do rozpoznania spoofingu jest umiejętność czytania domeny od końca: to segment przed końcówką .pl lub .com decyduje, do kogo naprawdę należy strona. Reszta – nawet jeśli zawiera słowa typu „allegro”, „login”, „konto” – może być tylko subdomeną i nie daje żadnej gwarancji autentyczności.
Spoofing telefoniczny – zaufany numer, nieznana intencja
Wzrost liczby zgłoszeń spoofingu telefonicznego jest równie niepokojący. Przestępcy potrafią dziś podszyć się pod dowolny numer infolinii – banku, ZUS-u, a nawet policji. Dzwonią, informują o rzekomej próbie włamania na konto, pytają o dane logowania lub proszą o zainstalowanie „narzędzia do weryfikacji”. Schemat rozmowy jest zwykle dobrze przygotowany i działa na emocjach: strachu, panice, chęci natychmiastowego działania.
W 2024 roku CERT Polska odnotował m.in. wzrost oszustw „na dziecko”, prowadzonych przez WhatsApp lub SMS. Oszust podszywał się pod syna lub córkę, informował o nowym numerze i prosił o szybki przelew. Kampanie te modyfikowano tak, aby ominąć filtry antyspamowe, np. celowo popełniano błędy ortograficzne lub używano zamienników znaków.
Fałszywe komunikaty i kody QR
Spoofing nie ogranicza się do wiadomości tekstowych. W Polsce odnotowano przypadki fizycznych „mandatów” umieszczanych za wycieraczkami samochodów. Kartki zawierały kody QR, które prowadziły do fałszywej strony płatności, przypominającej bramkę urzędową.
Innym przykładem są strony z fałszywymi CAPTCHA. Prośba o „potwierdzenie, że nie jesteś robotem” może aktywować złośliwy kod, np. uruchomić pobieranie pliku lub instalację oprogramowania szpiegującego.
W obu przypadkach – zarówno kodów QR, jak i fałszywych CAPTCHA – wygląd strony lub komunikatu jest łudząco podobny do oryginału. Różnicę zdradza dopiero domena lub działanie po kliknięciu.
W obu przypadkach – zarówno QR kodów, jak i fałszywych CAPTCHA – wygląd strony lub komunikatu jest łudząco podobny do oryginału. Różnicę zdradza dopiero domena lub działanie po kliknięciu.
Co robić, by uniknąć spoofingu?
Spoofing opiera się na jednym założeniu – zaufaniu. Dlatego najważniejszą bronią w walce z nim jest edukacja. Firmy, które szkolą pracowników z rozpoznawania prób podszywania się, znacznie rzadziej padają ofiarą takich ataków.
Warto:
- dokładnie sprawdzać nadawców wiadomości (również e-mail i SMS),
- analizować adresy URL przed kliknięciem,
- unikać podawania danych pod wpływem emocji,
- korzystać z mechanizmów technicznych w poczcie firmowej (SPF, DKIM, DMARC),
- testować czujność pracowników poprzez symulacje i szkolenia.
Zadbaj o cyberodporność swojej firmy
Jeśli chcesz, by Twoja firma nie padła ofiarą ataku, który zaczyna się od fałszywego SMS-a, telefonu lub linku – zainwestuj w edukację zespołu.
W ODO 24 oferujemy:
- szkolenie e-learningowe z cyberbezpieczeństwa, które możesz wdrożyć zdalnie w całej organizacji:
Sprawdź e-learning dla cyberbezpieczeństwa pracowników » - szkolenie zamknięte prowadzone przez ekspertów, z możliwością dopasowania treści do specyfiki Twojej firmy:
Zobacz szkolenie dla swojej firmy »
Spoofing będzie ewoluować. Twoi ludzie powinni być o krok przed nim.