Spoofing to metoda, która bazuje na jednym, pozornie niewinnym założeniu: ufamy nadawcom, których znamy. Gdy otrzymujemy SMS-a od banku, e-mail od urzędu czy telefon z infolinii – rzadko zastanawiamy się, czy to naprawdę oni. Cyberprzestępcy doskonale to wykorzystują. Dlatego liczba przypadków spoofingu w Polsce dynamicznie rośnie, a scenariusze stają się coraz bardziej wyrafinowane.
Zamiast atakować systemy, hakerzy atakują naszą uwagę, wykorzystując znajome logo, zaufany numer telefonu czy fałszywą domenę różniącą się jedną literą od oryginału. W tym artykule pokazujemy aktualne przykłady spoofingu i wyjaśniamy, jak je rozpoznać, zanim będzie za późno.
Phishing a spoofing – czym się różnią, a co je łączy?
Choć pojęcia phishing i spoofing często pojawiają się razem, nie oznaczają tego samego – choć obie techniki służą jednemu celowi: oszukać odbiorcę i wyłudzić dane lub pieniądze.
Phishing to całościowa kampania oszustwa, której celem jest zmanipulowanie ofiary – najczęściej poprzez e-mail, SMS lub komunikator – i nakłonienie jej do kliknięcia linku, pobrania załącznika lub podania danych (np. loginu, hasła, danych karty płatniczej). Przykład: wiadomość od rzekomego banku z prośbą o „potwierdzenie danych konta”.
Spoofing natomiast to technika podszywania się, która często stanowi element phishingu. Polega na fałszowaniu danych nadawcy (adresu e-mail, numeru telefonu, adresu strony internetowej), tak by wyglądały na zaufane. Spoofing ułatwia phishing — bo odbiorca widząc znaną nazwę, łatwiej da się oszukać.
Przykład:
- Phishing: Dostajesz SMS z linkiem do fałszywej strony płatności.
- Spoofing: Nadawcą wiadomości wydaje się być „InPost” lub „Twój bank”, choć w rzeczywistości to atakujący.
Spoofing można więc traktować jako narzędzie techniczne, a phishing – jako scenariusz ataku. Obie techniki są dziś powszechnie wykorzystywane razem i to właśnie ich połączenie czyni cyberoszustwa tak trudnymi do wykrycia.
Podszywanie się w e-mailach i SMS-ach
Z danych CERT Polska wynika, że phishing i spoofing to dziś najczęściej zgłaszane formy incydentów. W 2024 roku blisko połowa zgłoszeń dotyczyła właśnie prób podszywania się pod znane serwisy lub instytucje. Szczególną popularnością wśród przestępców cieszyły się wiadomości rzekomo pochodzące z OLX, Allegro czy Facebooka. Cel był prosty – wyłudzenie danych logowania lub danych kart płatniczych.
Co ciekawe, cyberprzestępcy potrafią tak spreparować wiadomość, że widoczny nadawca wygląda identycznie jak zaufana instytucja. Zamiast [email protected], widzimy np. [email protected] lub jeszcze bardziej zmyślne wariacje z homonimami i znakami specjalnymi.
Microsoft w swoim globalnym raporcie zwraca uwagę na to, że najczęściej wykorzystywane metody spoofingu obejmują fałszywe subdomeny (login.twoj-bank.pl.atakujacy.com) oraz zamienniki znaków (micros0ft.com zamiast microsoft.com). Problem w tym, że takie różnice trudno wychwycić „na pierwszy rzut oka”.
Fałszywe domeny i mylące linki
Spoofing domen to dzisiaj jedno z głównych zagrożeń w sieci. Przykład podany przez CERT Polska mówi o stronie allegrolokalnie.pl-oferta5815015105198474.cfd, która tylko z pozoru wygląda na bezpieczną. W rzeczywistości nie ma nic wspólnego z Allegro. Analiza takich linków wymaga znajomości podstaw działania adresów URL — a to nie jest jeszcze wiedza powszechna.
Kluczem do rozpoznania spoofingu jest umiejętność czytania domeny od końca: to segment przed końcówką .pl lub .com decyduje, do kogo naprawdę należy strona. Reszta – nawet jeśli zawiera słowa typu „allegro”, „login”, „konto” – może być tylko subdomeną i nie daje żadnej gwarancji autentyczności.
Spoofing telefoniczny – zaufany numer, nieznana intencja
Wzrost liczby zgłoszeń spoofingu telefonicznego jest równie niepokojący. Przestępcy potrafią dziś podszyć się pod dowolny numer infolinii – banku, ZUS-u, a nawet Policji. Dzwonią, informują o rzekomej próbie włamania na konto, pytają o dane logowania lub proszą o zainstalowanie „narzędzia do weryfikacji”. Schemat rozmowy jest zwykle dobrze przygotowany i działa na emocjach: strachu, panice, chęci natychmiastowego działania.
W 2024 roku CERT Polska odnotował m.in. wzrost oszustw „na dziecko”, prowadzonych przez WhatsApp lub SMS. Oszust podszywał się pod syna lub córkę, informował o „nowym numerze” i prosił o szybki przelew. Kampanie te modyfikowano tak, aby ominąć filtry antyspamowe — np. celowo popełniając błędy ortograficzne lub używając zamienników znaków.
Fałszywe komunikaty i QR kody
Spoofing nie ogranicza się do wiadomości tekstowych. W Polsce odnotowano przypadki fizycznych „mandatów” umieszczanych za wycieraczkami samochodów. Kartki zawierały QR kody, które prowadziły do fałszywej strony płatności, przypominającej bramkę urzędową.
Innym przykładem są strony z fałszywymi CAPTCHA – prośba o „potwierdzenie, że nie jesteś robotem” może aktywować złośliwy kod, np. uruchamiając pobieranie pliku lub instalację oprogramowania szpiegującego.
W obu przypadkach – zarówno QR kodów, jak i fałszywych CAPTCHA – wygląd strony lub komunikatu jest łudząco podobny do oryginału. Różnicę zdradza dopiero domena lub działanie po kliknięciu.
Co robić, by uniknąć spoofingu?
Spoofing opiera się na jednym założeniu – zaufaniu. Dlatego najważniejszą bronią w walce z nim jest edukacja. Firmy, które szkolą pracowników z rozpoznawania prób podszywania się, znacznie rzadziej padają ofiarą takich ataków.
Warto:
- dokładnie sprawdzać nadawców wiadomości (również e-mail i SMS),
- analizować adresy URL przed kliknięciem,
- unikać podawania danych pod wpływem emocji,
- korzystać z mechanizmów technicznych w poczcie firmowej (SPF, DKIM, DMARC),
- testować czujność pracowników poprzez symulacje i szkolenia.
Zadbaj o cyberodporność swojej firmy
Jeśli chcesz, by Twoja firma nie padła ofiarą ataku, który zaczyna się od fałszywego SMS-a, telefonu lub linku – zainwestuj w edukację zespołu.
W ODO 24 oferujemy:
- Szkolenie e-learningowe z cyberbezpieczeństwa, które możesz wdrożyć zdalnie w całej organizacji:
Sprawdź e-learning dla cyberbezpieczeństwa pracowników » - Szkolenie zamknięte prowadzone przez ekspertów, z możliwością dopasowania treści do specyfiki Twojej firmy:
Zobacz szkolenie dla swojej firmy »
Spoofing będzie ewoluować. Twoi ludzie powinni być o krok przed nim.