Spoofing – ekspert Perceptus w audycji Cyberprzezorny na antenie Radio Zachód

Zapis rozmowy:

Piotr Kuśnierz: Czas na nasz program na temat cyberbezpieczeństwa. Dziś w naszym studiu Przemysław Sobczyk – Dyrektor Działu Technicznego w firmie Perceptus. Dzień dobry

Przemysław Sobczyk: Dzień dobry.

P.K.: Witam państwa. Dzisiaj porozmawiamy o spoofingu, jak się przed nim bronić – na przykład w firmie, ale nie tylko. Powinniśmy na początku przypomnieć czym w ogóle jest spoofing

P.S.: Spoofing jako taki ma wiele typów. Jednym z najbardziej popularnych, który ludzie zauważają i mogą doświadczyć jest tak zwany call spoofing. Czyli ktoś dzwoni do nas i próbuje się podszyć. Ogólnie spoofing to jest podszywanie się pod kogoś, pod coś, pod jakąś usługę w internecie, jakąś stronę internetową albo właśnie pod jakiegoś atakującego, pod jakiegoś człowieka – najczęściej.

P.K.: Może też być to osoba którą znamy, jest bardzo blisko nas – to może być nasza mama, nasz tata, ktoś się może pod nich podszyć.

P.K.: Dokładnie tak. Może niektórzy próbują się podszywać pod szefów, niektórzy pod osoby bliskie i to jest najczęstsza powiedzmy metoda. Kolejnym z typów spoofingu jest tak zwany spoofing SMS, gdzie dostajemy różnego rodzaju powiadomienia – a to o dopłacie paru groszy do przesyłki od jakiejś firmy kurierskiej, czy z poczty i to najczęściej występuje w takiej formie dla użytkownika. Innym typem spoofingu jest na przykład spoofing internetowy, charakteryzujący się tym, że atakujący wystawia dla nas taką stronę internetową, która wygląda w identyczny sposób jak na przykład strona bankowa, jak strona jakaś portalu jakiegoś społecznościowego – po to, żeby ktoś wprowadził te swoje dane logowania i spróbował się złapać prostu na jakiś atak.

P.K.: Tutaj w przypadku stron internetowych ważne są detale, żebyśmy sprawdzili adres internetowy, bo często jest tak, że gdzieś jest dodatkowa kropka, gdzieś jest jakiś przekręcone dosłownie jedno słówko i to już powinno u nas wzbudzić zainteresowanie i powinniśmy wtedy się zastanowić, czy warto w ogóle wchodzić na taką stronę internetową, czy w ogóle jakąkolwiek interakcję z taką stroną prowadzić. Powiedzieliśmy czym jest spoofing i jakie są jego rodzaje. Myślę, że warto przejść do technik socjotechnicznych używanych przez oszustów podczas takiego ataku. Załóżmy taką sytuację, że ktoś do nas dzwoni i w jaki sposób taka osoba przekonuje swojego rozmówcę, że jest osobą godną zaufania?

P.S.: To wszystko zależy od sposobu ataku, bo jeżeli ktoś dzwoni powiedzmy do nas i podszywa się pod naszą bliską osobę, to najczęściej taki atak działa na emocjach. Ktoś chce w jakiś sposób szybko, jak najszybciej uzyskać jakiś przelew blikiem, jakąś korzyść w możliwie najszybszym czasie. Najczęściej dochodzi najczęściej to jest coś takiego, że ktoś mówi, że uległ jakiemuś wypadkowi, albo aresztowali go i trzeba mu wpłacić jakąś kaucję, natomiast ci atakujący w tym momencie niestety używają sztucznej inteligencji. Kiedyś tego nie było, więc podszycie się pod taką osobę zaufaną wymagało kogoś kto ma podobny do niej głos, natomiast w tym momencie niestety sztuczna inteligencja bardzo mocno nam ułatwia podszywanie się właśnie pod kogoś.

P.K.: Czyli wystarczy próbka głosu, wystarczy że ktoś podsłucha naszą rozmowę – oczywiście nie zachęcam do tego – i wtedy może włożyć w nasze usta słowa, których tak naprawdę nie wypowiedzieliśmy i gra na emocjach presja czasu. To są bardzo ważne kwestie dotyczące tych technik socjotechnicznych. No a teraz pytanie dotyczące bezpośrednio firmy – wdrożenie jakich procedur według Pana uchroni firmę przed takim przykładowym atakiem?

P.S.: Najprostszą metodą jest tak naprawdę weryfikacja na jakieś dwa składniki, weryfikacja wieloetapowa – tak, jak robimy przelew i dostajemy SMS albo powiadomienie w aplikacji bankowej,  tak w firmie również można wdrożyć systemy, które opierają się na dwuskładnikowej autoryzacji. Można wdrożyć rozwiązania, które są tak zwanymi menadżerami haseł. W takim menadżerze haseł jest zapisany link do strony. Jeżeli to, o czym pan wspomniał wcześniej – w domenie będzie jakaś inna literka, dwie cyfry będą zmienione, jedna litera będzie gdzieś tam przemieniona gdzieś się pojawi kropeczka, to taki menedżer haseł już nie pozwoli na wprowadzenie tego zapamiętanego hasła. To jest jeden ze sposobów. Drugi sposób to tak naprawdę szkolenia pracowników bo niestety, ale najgorzej jest przed takim spamem mailowym/smsowym obronić osobnego użytkownika. Są metody techniczne, które da się wdrożyć – systemy techniczne, informatyczne które da się uruchomić natomiast niestety najsłabszą częścią jest człowiek i to od niego tak naprawdę zależy, czy na taki atak ktoś się nabierze, czy nie.

P.K.: Tak naprawdę zawsze powinniśmy dwa razy pomyśleć, zanim cokolwiek klikniemy, tym bardziej, że w każdej szanującej się firmie jest dział IT, do którego można zadzwonić i zapytać, jeśli mamy jakieś wątpliwości. Porozmawiajmy o naszych najbliższych, bo to już pojawiało się w naszej rozmowie. Wcześniej mówiliśmy o firmie – czym jest hasło bezpieczeństwa, dlaczego w ogóle warto takie hasło sobie ustalić z naszymi najbliższymi?

P.S.: Takie hasło bezpieczeństwa umożliwia tak naprawdę potwierdzenie, że ktoś rozmawia z konkretną osobą. Jeżeli ktoś próbowałby podszyć się pod głos za pomocą sztucznej inteligencji, to takiego hasła bezpieczeństwa raczej nie będzie znał. To hasło bezpieczeństwo może mieć różne formy – może być bardzo abstrakcyjne, jak na przykład: garnek, kot, ale chodzi o to, żeby te dwie osoby które ze sobą rozmawiają, na przykład ja z siostrą – żebyśmy to hasło bezpieczeństwa znali i w przypadku, gdy będzie taka konieczność i ktoś z nas będzie miał wątpliwość, że ktoś się pod kogoś podszywa, wtedy po prostu pytamy o takie hasło bezpieczeństwa. Bardzo podobnie, jak to się ma w przypadku firm ochroniarskich. Jeżeli mamy jakiś budynek i jest on chroniony przez jakąś firmę ochroniarską, to żeby odwołać taki alarm, najczęściej trzeba podać albo jakiś PIN, albo właśnie hasło bezpieczeństwa.

P.K.: Myślę, że jeszcze jedna kwestia powinna wybrzmieć, chociaż już o tym mówiliśmy, ale nie tak szczegółowo. Mówię tutaj o metodach oszustw na spoofing poprzez połączenie telefoniczne czyli caller ID spoofing. Chodzi mi o to, że może być tak, że ktoś do nas zadzwoni i wyświetli się jako mama, tata czy dowolna nazwa naszego przyjaciela lub najbliższej osoby i to wcale nie musi być ta osoba, którą mamy zapisaną w książce telefonicznej. Jak najlepiej zweryfikować taką osobę w danej sytuacji? Myślę, że chyba najważniejsze jest to, żeby się rozłączyć i oddzwonić, korzystając z tablicy numerycznej po prostu manualnie wpisać numer telefonu, prawda?

P.S.: Dokładnie tak – najlepiej podczas jakiejś wątpliwości, co do osoby dzwoniącej w naszą stronę po pierwsze – rozłączyć się, po drugie – zweryfikować, albo wpisać z klawiatury numerycznej numer telefonu tej osoby, lub zweryfikować, czy ten numer, który mamy zapisany w książce adresowej w naszym w telefonie jest właściwy. Jeżeli tak, to najlepiej oddzwonić do takiej osoby i w ten sposób powstrzymać atak. Wtedy osoba atakująca tego połączenia nie otrzyma zwrotnie. Otrzyma je faktycznie osoba, która tak naprawdę jest właścicielem tego numeru i to jest jedyna forma weryfikacji, lub jakimś drugim kanałem. Jeżeli ktoś do nas dzwoni poprzez sieć komórkową to można oddzwonić na przykład w jakimś medium społecznościowym, jakimś komunikatorem – napisać, odpytać czy faktycznie to jest ta osoba, która do nas zadzwoniła przez telefon po prostu.

P.K.: Na koniec muszę zadać pytanie o instytucje, jakie powinniśmy poinformować. Zostaliśmy zaatakowani metodą spoofing lub była próba ataku na nas i wiemy, że coś się stało. Mi przychodzi na myśl przede wszystkim incydent.cert.pl, ale można też wysłać sms-a jeśli padliśmy ofiarą smishing lub ktoś chciał nas w ten sposób oszukać (numer 8080) to są takie główne instytucje. O czymś jeszcze powinniśmy pamiętać?

P.S.: Dokładnie tak – dla przeciętnych osób, tak naprawdę dla nas wszystkich to jest główny cel, w którym powinniśmy tak naprawdę zgłaszać takie incydenty bezpieczeństwa i dla większości użytkowników to wystarczy. W przypadku firm – na stronie cert.pl, na górze po prawej stronie jest taka zielona duża ikonka, która mówi właśnie zgłoś incydent. Jeżeli jesteśmy instytucją lub jakąś firmą, to w zależności od tego co, kto i pod kogo się podszywa, należy zgłosić dodatkowo jeszcze na policję, ponieważ jeżeli ktoś podszywa się pod instytucję finansową, sądową, pod jakiś urząd to to jest już ścigane po prostu prawnie i tak naprawdę powinno to być zgłoszone poza CERTem na policję, ponieważ CERT nie przekazuje tego dalej. Natomiast jeżeli jesteśmy na przykład instytucją finansową, urzędem to tak naprawdę CERT jest pierwszym miejscem, w którym powinniśmy to zgłosić, ponieważ tam wybieramy, czy jesteśmy osobą prywatną, czy osobą prawną i wybieramy rodzaj ataku którego tak naprawdę doświadczyliśmy.

P.K.: Ja na koniec jeszcze przytoczę pewną bardzo ważną informację, na którą natrafiłem na stronach rządowych gov.pl. Od końca Września, oczywiście tego roku, przedsiębiorcy telekomunikacyjni muszą analizować ruch telefoniczny pod kątem ewentualnego oszustwa. Mówimy tutaj oczywiście o spoofingu telefonicznym. Jeśli połączenie wzbudza zastrzeżenie, powinien (to jest bardzo ważne słowo) nam wyświetlić się komunikat numer zastrzeżony, a w przypadku zaniechania możliwe są kary w wysokości do 3% przychodu rocznego. To jest oczywiście teoria – zobaczymy, jak to wyjdzie w praktyce.

P.S.: Dokładnie tak. Orientowałem się mniej więcej, jak to wygląda w tej kwestii. Generalnie to prawo weszło już jakiś czas temu u nas do Polski, natomiast niestety, ale operatorzy komórkowi nie chcieli go wdrożyć, dopóki nie ma tak naprawdę jakichś sankcji, jakichś kar, ponieważ uniemożliwi to w dużej mierze w kwestii technicznej wykonywanie połączeń reklamowych. Czyli instytucje, które mają być chronione, nie będą mogły wtedy dzwonić z ofertami do swoich klientów, bo jeżeli ilość tych połączeń wykrytych przez operatora komórkowego będzie zbyt duża, to oni po prostu będą to właśnie w taki sposób komunikować odbiorcy, że jest numer jest zastrzeżony na przykład.

P.K.: Kończy nam się czas, musimy kończyć choć rozmowa wydaje mi się, że mogłaby potrwać jeszcze zdecydowanie dłużej. Moim i Państwa gościem w naszej audycji na temat cyberbezpieczeństwa był dzisiaj Przemysław Sobczyk – Dyrektor Działu Technicznego w firmie Perceptus. Dziękuję bardzo za to spotkanie.

P.S.: Dziękuję serdecznie

P.K.: I pamiętajmy, żeby być cyberprzezorni i cyberbezpieczni.