Caller ID Spoofing - Redsaber Security

Spoofing, jest atakiem pozwalającym na podszywanie się atakującemu pod wybrany adres e-mail, adres IP, a nawet pod numer telefonu. W naszym artykule przyjrzymy się temu ostatniemu przypadkowi, jak przebiega taki, atak, dlaczego ostatnio co raz więcej osób pada jego ofiarą i dlaczego tak trudno z tym walczyć.

Spoofing numeru telefonu

Spoofing numeru telefonu, znany również jako Caller ID spoofing, to rodzaj ataku, który manipuluje systemem identyfikacji numeru dzwoniącego w sieci telefonicznej. Dzięki temu osoba odbierająca połączenie widzi na wyświetlaczu numer telefonu, który nie odpowiada rzeczywistemu źródłu połączenia. Może to prowadzić do sytuacji, gdzie wyświetlany numer jest zupełnie inny niż numer telefonu, z którego rzeczywiście wykonano połączenie.

Może to prowadzić do sytuacji, w których atakujący podszywa się pod zaufane instytucje, takie jak banki. Dzięki manipulacji identyfikatorem dzwoniącego, nasz telefon może wyświetlić nazwę naszego banku, mimo że to oszust zainicjował rozmowę.
Jeszcze bardziej niepokojące jest, gdy atakujący podszywa się pod nasz własny numer telefonu. Daje mu to możliwość wykonywania połączeń i wysyłania SMS-ów w naszym imieniu. Oszust może w ten sposób kontaktować się z naszą rodziną, próbując wyłudzić od nich pieniądze. Atakujący może również używać naszego numeru telefonu do nielegalnych celów, przez co służby w pierwszej kolejności trafią do nas.

Ostatnio coraz częściej słyszymy o przypadkach, gdy ktoś podszywa się pod influencerów, dziennikarzy oraz polityków. Przykładem takiego zdarzenia jest historia opisana na portalu X (dawniej Twitter), dotycząca Krzysztofa Stanowskiego. Nieznany sprawca, wykorzystując spoofing numeru telefonu, zadzwonił na policję, fałszywie przyznając się do poćwiartowania swojej żony – wszystko to podając się za Stanowskiego i używając jego rzeczywistego numeru telefonu. Niedługo po tym zdarzeniu, policja pojawiła się u drzwi Stanowskiego, tylko po to, aby stwierdzić, że zgłoszenie było całkowicie fałszywe.

Bardzo miła wizyta policji w nocy. Dostali telefon z mojego numeru, że… poćwiartowałem żonę. Potem jeszcze sporo innych zgłoszeń, rzekomo ode mnie.

Funkcjonariuszom bardzo dziękuję za rozsądek i że nie obudzili mi dzieci.

Definitywnie trzeba poprzedni numer dezaktywować.
— Krzysztof Stanowski (@K_Stanowski) April 13, 2024

Ofiarami padają również politycy. Podobną sytuację jak Krzysztof Stanowski, miał Sławomir Mentzen. W jego przypadku, ktoś podszywając się pod jego numer telefonu, zadzwonił do służb zgłaszając, że podłożył bombę w szpitalu.

To jest coraz mniej zabawne. Przyjechała dziś do mnie do firmy policja z informacją, że ktoś podszył się pod mój stary numer telefonu i zadzwonił do szpitala z informacją, że jest tam bomba.
— Sławomir Mentzen (@SlawomirMentzen) April 11, 2024

Podobnych przypadków było więcej:

szkoda tylko mojej Mamy bo jej wjazd na chatę zrobili, nie chcieli powiedzieć ocb, tylko że coś z lotniskiem – a ja dzień wcześniej zza granicy wracałem więc ona najgorsze zakładała
— Mandzio (@xmandzio) April 19, 2024

Caller ID Spoofing – Jak to jest możliwe?

Możliwość manipulacji numerem telefonu, znana jako spoofing, wydaje się być nieporozumieniem. Wykorzystywane są do tego słabości współczesnych technologii telekomunikacyjnych. Kluczową technologią umożliwiającą spoofing jest VoIP (Voice over Internet Protocol), która przekształca tradycyjne sygnały głosowe w dane cyfrowe przesyłane przez internet. W praktyce, kiedy wykonujesz połączenie za pomocą VoIP, możesz dowolnie manipulować informacją o numerze nadawcy, jaki jest prezentowany odbiorcy.

Redsaber - Caller ID Spoffing, za pomocą VoIP, możesz manipulować informacją o numerze nadawcy.

Nie jest to trudne technicznie, a wiele dostępnych komercyjnie usług VoIP umożliwia użytkownikom wybór wyświetlanego numeru wychodzącego,. To pierwotnie miało służyć legalnym potrzebom, na przykład przedsiębiorcom chcącym prezentować jednolity korporacyjny numer, niezależnie od miejsca, z którego dzwonią. Niestety, ta elastyczność może być również wykorzystywana w mniej etycznych celach. Prawo często nie nadąża za technologią, pozostawiając luki, które mogą być wykorzystywane do oszustw i manipulacji.

Tak naprawdę wystarczy użyć jednego z wielu internetowych serwisów oferujących takie usługi. Większość z nich za drobną opłatą pozwala wpisać numer z jakiego chcemy skorzystać, oraz numer osoby do której chcemy zadzwonić. Tyle wystarczy, aby wykonać spoofing. Dodatkowo serwisy te umożliwiają płatność kryptowalutami, a więc to w połączeniu z anonimizacją adresu IP oznacza, że organy ścigania będą miały duży problem z namierzeniem osoby wykonującej połączenie. Ślad urwie się na operatorze VoIP.

Dlaczego to jest takie proste?

Protokoły sieci telefonii komórkowej są przestarzałe, a operatorzy VoIP nie weryfikują, czy połączenia wychodzą z numerów, które należą do abonamenta. Z drugiej strony operatorzy telefonii komórkowej mają też problem z weryfikowaniem połączeń pochodzących od innych operatorów. Gdyby zaczęli blokować połączenia od innych, zagranicznych operatorów to okazałoby się, że osoba korzystająca z roamingu na wakacjach nie mogła by się dodzwonić do bliskich, albo dzwonienie na telefon z komunikatora Skype przestałoby działać.

Co prawda jest nadzieja w walce ze spoofingiem. Pod koniec września 2023 roku weszła w życie (https://orka.sejm.gov.pl/proc9.nsf/ustawy/3069_u.htm)ustawa o zwalczaniu nadużyć w komunikacji elektronicznej. Ma ona na celu stworzyć mechanizmy, które pozwolą ograniczyć takie zjawiska jak spoofing. Natomiast 26 marca 2024 został uruchomiony wykaz DNO. Wykaz ten obejmuje numery telefoniczne, który obejmuje numery telefoniczne używane wyłącznie do odbierania połączeń, a nie do inicjowania kontaktu. Oznacza to, że na przykład połączenie z infolinią banku będzie blokowane przez naszego operatora, jeśli ktoś spróbuje je wykonać.

Od 26 marca banki, SKOKi, fundusze inwestycyjne, operatorzy telekomunikacyjni i inne instytucje i firmy z sektora finansów mogą składać wnioski o wpis numeru do wykazu DNO. Niestety minął miesiąc, a jak na razie wpisów do wykazu brak. Miejmy nadzieję, że wkrótce to się zmieni.

Jak się bronić?

Podstawową zasadą w obronie przed spoofingiem jest nie ufaj temu co widzisz na wyświetlaczu telefonu. Jeżeli widzisz, że dzwoni, lub pisze do ciebie babcia, tata, syn, córka to nie znaczy, że to muszą być oni. Jeśli osoba dzwoniąca prosi o pieniądze lub o wykonanie jakichś nietypowych czynności, powinna zapalić się nam czerwona lampka. Warto ustalić z bliskimi jakieś hasło potwierdzające tożsamość lub zadać pytanie, na które jest w stanie odpowiedzieć tylko i wyłącznie osoba z którą rozmawiamy. Czasem wystarczy nawet się rozłączyć i oddzwonić bezpośrednio na znany i sprawdzony numer. Podobnie postępuj w przypadku kontaktów z bankami czy innymi instytucjami – zawsze lepiej zweryfikować połączenie, dzwoniąc na oficjalny numer podany na stronie internetowej lub w dokumentacji.

Ochrona przed możliwością podszywania się pod nasz numer również wymaga przestrzegania zasad cyberhigieny. Bądź ostrożny, gdzie i komu podajesz swój numer telefonu. Monitoruj regularnie, czy twój numer nie pojawił się w miejscach publicznych lub w bazach danych. W przypadku wycieku informacji, przygotuj się na potencjalne nadużycia i bądź szczególnie czujny na wszelkie nieoczekiwane i podejrzane połączenia czy wiadomości. Przestrzeganie tych prostych zasad może znacząco zwiększyć twoją ochronę przed spoofingiem i innymi formami oszustw telekomunikacyjnych.

Szukasz sposobu na przetestowanie podatności Twojej firmy? Kliknij i sprawdź, co możemy zaoferować!