Tego jeszcze w Polsce nie było! Oszuści zadzwonili do programu na żywo
W zeszłym tygodniu chyba po raz pierwszy w ogóle mieliśmy okazję na żywo oglądać atak z wykorzystaniem spoofingu, czyli podszycia się pod cudzy numer telefonu. Ofiarami zostali Boxdel i Wojtek Gola, jedni z najpopularniejszych influencerów w Polsce.
Czym jest spoofing numeru telefonicznego?
Podczas jednej z transmisji na żywo na kanale Aferki doszło do niespotykanej dotąd sytuacji. Mianowicie w trakcie programu do prowadzącego Boxdela zadzwonił oszust, podszywający się pod Wojtka Golę. Obaj to jedni z najpopularniejszych w Polsce influencerów, współwłaściciele federacji freak fight Fame MMA.
OBEJRZYJ WIDEO Z ATAKIEM NA ŻYWO:
Na tym polega spoofing. Oszust podszywa się pod numer telefonu danej osoby i dzwoni jako ta osoba. Innymi słowy dzwoni do was na przykład mama, brat, dziecko, tzn. wyświetla się połączenie z jego numeru, ale tak naprawdę dzwoni oszust. I oczywiście nie ma fizycznie telefonu twojego dziecka, tylko podszywa się za pomocą specjalnej bramki.
Polacy tracą miliony złotych przez spooferów, którzy tą metodą podszywają się pod infolinie banków, przedstawiają jako pracownicy tych banków i wyłudzają od ludzi hasła, loginy, pieniądze.
Ostatnio głośno było o samolocie LOT-u, który musiał zawrócić do Warszawy, będąc już nad Norwegią, bo ktoś zadzwonił z informacją, że na jego pokładzie znajduje się bomba. Co więcej, oszust podszył się pod numer telefonu Boxdela, jednego z najbardziej znanych influencerów w kraju, współtwórcę i współwłaściciela Fame MMA. Ale i to nie koniec, bo oszust mówił nawet głosem Boxdela. To niestety też da się zrobić i jest dość proste. Kłania się sztuczna inteligencja - wystarczy próbka głosu osoby, pod którą oszust chce się podszyć, by dosłownie mówić cudzym głosem.
Sprawa nie jest przyjemna. Boxdel został zatrzymany, a nadgorliwa policja skuła go kajdankami. Został przesłuchany i wypuszczony, ale zarekwirowano mu telefon.
Oszust dzwoni do Boxdela podczas programu
I właśnie na livie Boxdela w zeszłym tygodniu mogliśmy na żywo zobaczyć, jak działa spoofing. W pewnym momencie zadzwonił do niego ktoś podszywający się pod Wojtka Golę, kolejnego influencera i współwłaściciela Fame MMA. Tutaj akurat oszust nie zmienił głosu, więc miejmy nadzieję, że to pomoże w jakiś sposób organom ścigania.
Kilkanaście minut później z kolei prawdziwy Wojtek Gola zdzwonił z informacją, że pod Boxdela też się podszywają. I w tym momencie wydarzyła się najbardziej kuriozalna sytuacja tego wieczoru. Gdy prawdziwy Wojtek Gola zadzwonił na telefon Amadeusza Ferrariego, który też był w studiu, w tym samym czasie do Boxdela zadzwonił oszust podszywający się pod numer Wojtka Goli. W efekcie wyglądało to tak, jakby Gola jednocześnie rozmawiał przez dwa telefony z dwiema różnymi osobami.
W tym przypadku akurat oszust użył głosu Mikro Cypka, jeszcze innego influencera, ale co ciekawe, nie miał złych zamiarów. Boxdel zaczął z nim rozmawiać, ten wyjaśnił, że zadzwonił dla żartu, a nawet wskazał, kto mógł stać za fałszywym alarmem bombowym.
Wygląda na to, że i Wojtek Gola, i policja znają to nazwisko. W pewnym momencie Boxdel wyłączył fonię i ten gość, który podszywał się pod Wojtka Golę, podał im jakieś informacje, ale nie wiemy, jakie dokładnie.
Jak działa spoofing numeru telefonicznego?
W sieci dostępnych jest mnóstwo tego typu stron czy aplikacji, które pozwalają podszyć się pod cudzy numer. Już nie wspomnę nawet o tym, że pod cudzy adres mailowy. Te usługi bywają nawet darmowe, ale oszuści zapewne płacą, by zachować więcej ostrożności i zapewne płacą anonimowo, i zapewne zmieniają swój adres IP, zanim w ogóle się z tą usługą, bramką czy stroną internetową do dzwonienia połączą. Zatem faktycznie, jak mówił jeden z dzwoniących, policja nic z tym nie może zrobić. Chyba, że oszust popełni błąd tak jak ten, który pierwszy dzwonił na livie do Boxdela i nie zmienił głosu.
Swoją drogą usługi podrabiania głosu, czyli po prostu mówienia cudzym głosem, też są ogólnodostępne. Policja może wykryć, że doszło do oszustwa, po billingach ofiary - tej, pod której numer się podszyto. W billingach będzie widać, że faktycznie dana osoba nie dzwoniła na przykład z informacją o bombie.
Skąd oszuści w ogóle mają numery telefonów tych osób, pod które się podszywają i do których dzwonią? Ludzie albo sami podają swoje numery w różnych miejscach sieci, albo te numery stają się publiczne przy okazji najróżniejszych wycieków danych. A ci, którzy oszukują, udając pracownika banku? Skąd wiedzą, że ofiara ma konto w tym konkretnym banku i dlatego pod ten konkretny bank się podszywają? Wystarczy, że ofiara wrzuciła kiedyś skrin przelewu, albo udzielała się na grupce czy forum dla klientów tego banku. Śladów w sieci może być mnóstwo. I właśnie tak się ich zostawianie kończy. Tu coś o sobie upublicznię, tam coś napiszę w sieci, a oszuści zbierają te puzzle i szykują się do ataku.
Jak to w ogóle możliwe, że można się podszyć pod cudzy numer? Przytoczę fragment artykułu Niebezpiecznika: “Protokoły w sieciach telefonii komórkowej są stare i nie umożliwiają wiarygodnego uwierzytelnienia rozmówców i weryfikacji czy danym numerem posługuje się faktycznie jego właściciel (por. SS7). Kiedy te protokoły były projektowane, nikomu do głowy nie przyszło, że jakiś operator może zachować się nie fair w stosunku do innych operatorów i zestawiając połączenie, zamiast prawdziwego numeru telefonu abonenta, wprowadzi inny, cudzy numer telefonu. Rozwój internetu wygenerował potrzebę takich zastosowań”.
Czy dałoby się to zmienić? W skrócie dałoby się, ale byłoby to bardzo drogie, a i tak powodowałoby mnóstwo komplikacji. Żeby spoofing przestał być w ogóle możliwy, zmiany w protokołach komunikacyjnych musieliby wprowadzić wszyscy operatorzy na całym świecie.
Jak się bronić przed spoofingiem?
A zatem jak się bronić? Pozostaje nam przede wszystkim czujność. Warto pamiętać, że bank ani żadne firmy czy instytucje finansowe nie dzwonią i nie proszą przez telefon o hasła, loginy czy kody PIN. A jeśli dzwoni ktoś znajomy i wygaduje jakieś głupoty, albo rzeczy niepokojące, dziwne. Jeśli brzmi jak nie on, to pierwsze po rozłączeniu się, co należy zrobić, to zadzwonienie do tego znajomego, z którym rzekomo rozmawialiście, by sprawdzić, czy to był on.
Dobrą metodą jest też ustalenie ze swoimi bliskimi wspólnego hasła bezpieczeństwa. Jeśli ktoś miałby się podszywać pod bliską osobę, zawsze można zapytać ją o takie hasło. O ile ustalimy je tylko pomiędzy najbliższymi osobami, oszust nie będzie miał prawa go znać.