O zagrożeniach czyhających w sieci głośno jest cały czas – specjaliści ds. cyberbezpieczeństwa nie ustają w wysiłkach w zakresie informowania społeczeństwa na temat „cyberhigieny”, która pozwala na znaczne zwiększenie poziomu bezpieczeństwa w internecie. Słyszeliśmy już o wielu rodzajach wirusów czy oszustw w sieci, jednak na horyzoncie pojawił się nowy rodzaj hakerskich ataków, który wespół z rozwojem sztucznej inteligencji może być jednym z najbardziej szkodliwych zagrożeń w telekomunikacji i przestrzeni cyfrowej w dziejach. Chodzi oczywiście o spoofing.
Czym dokładnie jest spoofing? Jakie zagrożenia za sobą niesie? Jakie szkody może poczynić w naszym biznesie? Jak się bronić przed spoofingiem i jak na niego reagować? Na te i inne pytania postaramy się odpowiedzieć w niniejszym materiale.
Spoofing – co to jest?
W internecie nie brakuje ostrzeżeń przed wszelkiego typu atakami hakerskimi. Niektóre ich formy stanowią zwykłą złośliwość – inne zaś mogą mieć naprawdę poważne konsekwencje, gdzie utrata pieniędzy z konta bankowego to tylko jedno z nich. Wielu specjalistów uważa, że spoofing – szczególnie w połączeniu z możliwościami oferowanymi przez sztuczną inteligencję – może stanowić największe zagrożenie dla współczesnej cyberprzestrzeni i telekomunikacji. Rezultatem spoofingu może być nie tylko utrata pieniędzy czy wyciek danych, ale także utrudnienia komunikacyjne, destabilizacja w codziennym funkcjonowaniu przedsiębiorstw, czy nawet paraliż służb państwowych.
Spoofing polega na podszywaniu się pod inną osobę, usługę czy instytucję w celu wyłudzenia od ofiary danych osobowych lub innych danych, które posłużą do jej okradzenia podmiotu atakowanego lub wyrządzenia innej szkody – zwykle materialnej, ale nie tylko. Przestępcy mogą wykorzystywać spoofing do przejmowania wrażliwych materiałów przedsiębiorstw (plików, baz danych, dokumentów) na przykład w ramach szpiegostwa gospodarczego, lub wykorzystywać prywatne wiadomości, zdjęcia czy filmy osób poszkodowanych w celu szantażu.
Sam spoofing jest bardzo podstępny – jeżeli nie zachowamy należytej czujności, to bardzo trudno będzie nam dostrzec, że właśnie jesteśmy atakowani przez oszustów. W przypadku pokrewnej metody ataku jaką jest phishing, przestępcy kierują nas na stronę internetową (na przykład bankowości elektronicznej) do złudzenia przypominającą prawdziwą witrynę – wówczas jednak wystarczy przyjrzeć się adresowi URL by wykryć nieprawidłowość. W przypadku spoofingu zaś, hakerzy często podszywają się pod zweryfikowane przez przedsiębiorstwa numery telefonów, co nierzadko całkowicie usypia czujność ofiar.
Spoofing i sztuczna inteligencja – niebezpieczne połączenie (telefoniczne)
Jak już wspomnieliśmy, wyświetlony na ekranie telefonu numer nie musi pochodzić ze źródła, za jakie się podaje – przestępcy mogą z łatwością podszyć się pod zweryfikowany numer banku i prosić nas o podanie wrażliwych danych. Taka prośba powinna natychmiast zapalić nam w głowie „czerwoną lampkę” i zmusić do przerwania połączenia, jednak trudno się dziwić, że wiele osób traci czujność widząc zweryfikowany numer telefonu, szczególnie biorąc pod uwagę fakt, że przestępcy zwykle „łapią” nas w ciągu dnia, gdzie jesteśmy zaaferowani swoją szarą rzeczywistością.
Jeszcze więcej trudności w zweryfikowaniu nadawcy może przysporzyć nam sztuczna inteligencja. Dzięki narzędziom opartym o zaawansowane algorytmy, przestępcy mogą niemal w czasie rzeczywistym bezbłędnie naśladować głos znanej nam osoby, co dla laika może być nie do odróżnienia. Wystarczy drobna próbka głosu osoby pod którą mamy zamiar się podszyć, by dzięki niej generować dowolne treści, „mówiąc” do nas ustami człowieka, do którego mamy zaufanie.
Tego typu ataki spoofingowe są coraz częstsze – ostatnio ofiarą spoofingu padł twórca internetowy i jeden z włodarzy Fame MMA, Michał „Boxdel” Baron. To właśnie pod niego podszyli się przestępcy, którzy informując o podłożeniu bomby w samolocie doprowadzili do zawrócenia go na lotnisko. Na spoofing uskarżał się również dziennikarz Krzysztof Stanowski, który w obszernym materiale na Kanale Zero informował o zagrożeniach płynących z tego rodzaju ataków. Ofiarą spoofingu w ostatnich dniach stał się również Wojciech Gola – „spoofer” podszywający się pod influencera zadzwonił 15 sierpnia do wyżej wymienianego Michała „Boxdela” Barona informując, że wie kto stoi za fałszywym zgłoszeniem o bombie w samolocie. Sprawa jest rozwojowa, a w rozwikłanie zagadki zaangażowana jest policja.
Zagrożenia płynące ze spoofingu – dla biznesu i dla konsumentów
Zagrożenia płynące ze spoofingu są ogromne – zarówno dla osób prywatnych, które najczęściej są ofiarami tego typu ataków, ale również dla przedsiębiorstw, dla których konsekwencje mogą być bardzo poważne. W wyniku ataku spoofingowego możemy utracić dostęp do konta bankowego czy kont na portalach społecznościowych. W rezultacie oczywiście możemy utracić zgromadzone oszczędności lub prywatne pliki, co do których nie chcielibyśmy, by trafiły w niepożądane ręce. Jak się sprawa ma w przypadku biznesu?
Okazuje się, że w przypadku przedsiębiorstw atak spoofingowy może mieć dużo poważniejsze konsekwencje. Utrata pieniędzy z kont firmowych to jedno – niekiedy skończy się na utracie płynności finansowej i odzyskaniu funduszy w sytuacji, w której przestępca zostanie ujęty. Niemniej, celem ataku „spooferów” mogą być poufne informacje przedsiębiorstwa. Ich wyciek może poważnie zaszkodzić przyszłym interesom spółki, narażając przy tym na szwank jej reputację.
Co trzeba jednak szczególnie podkreślić to fakt, że w wyniku spoofingu wyciec mogą dane osobowe klientów i kontrahentów firmy, a to już może mieć katastrofalne konsekwencje dla całej firmy. Jako administrator danych osobowych jesteśmy odpowiedzialni za ich ochronę. Jeżeli my lub którykolwiek z naszych pracowników padnie ofiarą spoofingu, na tle czego wycieknie baza danych z wrażliwymi informacjami dot. osób trzecich, to będziemy musieli niezwłocznie powiadomić o tym fakcie prezesa UODO i podążać za właściwymi procedurami. Co więcej, najpewniej nie obejdzie się bez dotkliwych kar finansowych, które mogą wynieść nawet 20 milionów euro (!) lub 2-4% całkowitego rocznego obrotu firmy z poprzedniego roku.
Jak się bronić przed spoofingiem?
Z uwagi na przebiegłe działanie „spooferów”, obrona przed tym rodzajem ataków nie jest łatwa. Najpotężniejszym orężem w walce ze spoofingiem jest wiedza potencjalnych ofiar, wobec czego firmy powinny zadbać o kompleksowe szkolenie pracowników w zakresie fundamentów cyberbezpieczeństwa.
Przede wszystkim musimy pamiętać, że podstawą dla bezpiecznego poruszania się po cyberprzestrzeni jest weryfikowanie nadawców maili czy dzwoniących do nas osób, a także weryfikowanie stron na które wchodzimy. W pierwszej kolejności należy zwracać uwagę na to, z jakiego adresu email została wysłana wiadomość, czy nie ma choćby najdrobniejszych zmian w adresie strony internetowej, a także czy numer z którego ktoś do nas telefonuje jest zweryfikowany przez właściwy podmiot. Oczywiście, niestety w przypadku spoofingu to nie wystarczy.
W przypadku zagrożenia spoofingiem musimy zachować dużo większą czujność. Pamiętajmy, że pracownik banku czy administrator dowolnej innej usługi nigdy nie zapyta nas o hasło dostępu, numery PIN, kody SMS czy inne dane, które umożliwiają uzyskanie dostępu do konta. Jeżeli słyszysz w słuchawce taką prośbę – rozłącz się! Rozmawiasz z oszustem, nawet jeżeli numer który wyświetlił Ci się na ekranie jest potwierdzony przez dany podmiot, na przykład bank.
Jak zadbać o bezpieczeństwo w internecie poza wyżej wskazanymi metodami? Oto lista:
- Używaj silnych haseł – nie ułatwiaj zadania hakerom. Upewnij się, że Twoje hasło jest długie, zawiera wielkie i małe litery, cyfry i znaki interpunkcyjne. I nigdy nikomu go nie podawaj!
- Stosuj weryfikację dwuetapową – dzięki weryfikacji dwuetapowej możemy potwierdzać próbę logowania kodem SMS lub w aplikacji na telefonie. Wobec tego, jeżeli Twoje hasło wycieknie do internetu, przestępcy i tak nie będą mogli zalogować się na Twoje konto, jeżeli nie będą posiadać dostępu do Twojego telefonu.
- Dbaj o aktualizację oprogramowania – wszelkie luki bezpieczeństwa w systemach operacyjnych i innych programach są na bieżąco aktualizowane przez deweloperów. Posiadając aktualne oprogramowanie zmniejszasz szansę na to, że padniesz ofiarą ataku.
- Używaj oprogramowania antywirusowego – programy antywirusowe skutecznie blokują złośliwe oprogramowanie, które z różnych źródeł próbuje się wkraść na nasze komputery i telefony. Oferowane w internecie darmowe programy antywirusowe mogą nie wystarczyć; warto zainwestować kilkadziesiąt złotych rocznie w sprawdzone antywirusy.
- Uważaj na załączniki w mailach – nawet posiadając aktualne oprogramowanie i programy antywirusowe, musimy zwracać uwagę na załączniki, które pobieramy. Szczególne ważne w tej materii są zastosowane rozszerzenia; pliki .exe czy .scr powinny wzbudzić naszą czujność, ponieważ są to pliki wykonywalne, których uruchomienie może doprowadzić do zainstalowania na urządzeniu złośliwego oprogramowania.