Influencer padł ofiarą spoofingu. Policja zabezpieczyła jego telefon. To może spotkać każdego

Nie milkną echa wczorajszej akcji z informacją o bombie na pokładzie samolotu PLL LOT lecącego z Warszawy do New Jersey. Maszyna musiała zawrócić i lądować w asyście służb na lotnisku Chopina. Jeszcze przed lądowaniem policja do sprawy zatrzymała 8 osób, w tym influencerów, w jednym z domów w powiecie legionowskim. Główny uczestnik oszustwa Michał Boxdel Barton został przesłuchany w charakterze świadka. Śledczy zabezpieczyli jego komórkę, jest sprawdzana przez techników. Wynika z tego, że mógł paść ofiarą spoofingu, czyli podszywania się pod niego i kradzieży numeru telefonu. Sztuczna inteligencja poszła tak do przodu, że powoli nie da się odróżnić prawdziwej osoby od AI.

Po złożeniu wyjaśnień influencer został wypuszczony. Wcześniej ofiarami spoofingu padli m.in. Krzysztof Stanowski, czy ówczesna grupa GOATS. Kiedy policjanci przeprowadzali czynności procesowe z Boxdelem okazało się, że w tym czasie z jego numeru wykonano około 30 połączeń. Były one kierowane do innych influencerów, a także rodziny. Aktualnie nie wiadomo kto tak na prawdę stoi za atakiem hakerskim. Czy uda się zatrzymać prawdziwych sprawców tego zdarzenia?

Art. 224a. KK

Fałszywe zawiadomienie o zagrożeniu

§ 1. 

Kto wiedząc, że zagrożenie nie istnieje, zawiadamia o zdarzeniu, które zagraża życiu lub zdrowiu wielu osób lub mieniu w znacznych rozmiarach lub stwarza sytuację, mającą wywołać przekonanie o istnieniu takiego zagrożenia, czym wywołuje czynność instytucji użyteczności publicznej lub organu ochrony bezpieczeństwa, porządku publicznego lub zdrowia mającą na celu uchylenie zagrożenia,
podlega karze pozbawienia wolności od 6 miesięcy do lat 8.

§ 2. 

Jeżeli sprawca czynu określonego w § 1 zawiadamia o więcej niż jednym zdarzeniu,
podlega karze pozbawienia wolności od lat 2 do 15.

Do sytuacji odniósł się też Krzysztof Stanowski w swoim najnowszym materiale na YouTube.

Dzięki uprzejmości Niezbezpiecznik.pl : https://niebezpiecznik.pl/post/spoofing-rozmow-telefonicznych/ udostępniamy jak działa spoofing, jak przeciwdziałać i jak się bronić:

1. Na czym polega spoofing?

Tak naprawdę, fachowa nazwa tego ataku to CallerID Spoofing. Polega on na podszyciu się pod czyjś numer telefonu (Abonent A) i wykonaniu połączenia telefonicznego do innej osoby (Abonent B).

W tym ataku poszkodowane są dwie osoby. Pierwsza to Abonent B, który jest wprowadzany w błąd co do tego kto do niego dzwoni i nierzadko jest też obrażany/straszony. Druga to Abonent A, pod którego sprawca się podszywa i “wrabia” w atak.

2. Jak zespoofować/zadzwonić z czyjegoś numeru?

Zacznijmy od tego, że nikt tu nie “hakuje” a nie “nie włamuje się” na telefony osób, z których numerów wykonywane są zespoofowane rozmowy. Nie ma takiej potrzeby. Aby taką rozmowę zestawić wystarczy skorzystać z jednego z wielu internetowych serwisów. Nie będziemy tu podawać ich nazw, ale każdy z nich za niewielką opłatą pozwala wpisać numer osoby, do której chcemy zadzwonić i numer, jakim chcemy się przedstawić. A potem naciska się przycisk “zadzwoń” i tyle.

Te usługi są płatne, ale niektóre z nich można opłacić anonimowo (nie tylko przy użyciu kryptowalut) i można się z nimi połączyć anonimizując swój adres IP. To oznacza, że nawet jeśli organy ścigania namierzą operatora który zainicjował zespoofowane połączenie (a namierzyć mogą bez większych problemów), to operator wskaże administratora serwisu a ten przekaże adres IP usługi anonimizującej ruch. I tu ślad się urywa.

Tak, anonimowość w internecie jest trudna, ale jak widać w tej sytuacji możliwa. Zwłaszcza, że sprawca ataków w Polsce korzysta z syntezatora mowy do przekazywania swoich komunikatów, a więc nie zdradza swojego prawdziwego głosu.

Na marginesie, spoofingi z użyciem syntezatora mowy w Polsce po raz pierwszy odnotowaliśmy 16 marca 2021 roku. Była to seria połączeń z numeru “512787619” na nasz, niebezpiecznikowy redakcyjny numer i numer kilku innych osób z branży cyberbezpieczeństwa.

3. Skąd podszywacz bierze numery telefonów swoich ofiar?

Analiza znanych nam przypadków ofiar podszywacza (ale uwaga! nie znamy wszystkich!) wskazuje, że numery telefonów pozyskano wprost ze stron internetowych należących do ofiar (zakładki typu “kontakt”) lub z innych publicznie dostępnych źródeł. A jeśli ich tam nie było, to zawsze były w wykradzionych bazach danych pochodzących z różnych serwisów internetowych (np. Morele, Facebook), które od dawna są publicznie dostępne w internecie.

4. Dlaczego spoofing jest możliwy?

Krótka, uproszczona odpowiedź brzmi tak: bo operatorzy na to pozwalają. Nie wszyscy sprawdzają czy abonent inicjujący połączenie używa numeru, który został mu przypisany.

Dłuższa, również uproszczona odpowiedź: Protokoły w sieciach telefonii komórkowej są stare i nie umożliwiają wiarygodnego uwierzytelnienia rozmówców i weryfikacji czy danym numerem posługuje się faktycznie jego właściciel (por. SS7). Kiedy te protokoły były projektowane, nikomu do głowy nie przyszło, że jakiś operator może zachować się nie fair w stosunku do innych operatorów i zestawiając połączenie, zamiast prawdziwego numeru telefonu abonenta, wprowadzi inny, cudzy numer telefonu. Rozwój internetu wygenerował potrzebę takich zastosowań. Przykładowo Skype zaczął oferować dzwonienie ze swojego numeru, przez internet (SkypeOut).

To co robi Skype to właśnie spoofing naszego numeru, choć w dobrej wierze i po wcześniejszym sprawdzeniu, czy faktycznie ten numer posiadamy. Niestety nie wszyscy dostawcy usług telekomunikacyjnych to sprawdzają.

5. Czy można wykryć, że połączenie jest zespoofowane?

Ty, jako abonent, nie masz takiej możliwości. Patrząc na numer telefonu wyświetlany na ekranie Twojego smartfona podczas rozmowy przychodzącej nie jesteś w stanie wiarygodnie określić, czy rozmowa jest prawdziwa czy zespoofowana. Dopóki tej rozmowy nie odbierzesz, nie będziesz wiedział, czy to faktycznie dzwoni ciocia Zosia czy ktoś, kto spoofuje jej numer.

Zespoofowane połączenie może za to wykryć operator: w trakcie jego trwania jak i po fakcie. Ale tego nie robi. Dlaczego? O tym za chwilę.

To, czy połączenie było zespoofowane mogą ustalić (po fakcie) także organy ścigania. Bo o ile w billingu Abonenta B będzie połączenie przychodzące z numeru Abonenta A, to w billingu Abonenta A nie będzie połączenia wychodzącego do Abonenta B. I właśnie po tym organy ścigania mogą poznać, że mają do czynienia ze spoofingiem CallerID a nie prawdziwym połączeniem.

Niestety, nie zawsze taka analiza billingu jest dokonywana, co powoduje że policja daje się zmanipulować podszywaczowi i zatrzymuje wrabianą osobę (właściciela numeru telefonu Abonenta A). Polecamy lekturę artykułu pt. Operacja kompromitacja opisującego zatrzymanie niewinnego pracownika CERT Polska w związku z fałszywym alarmem bombowym podczas sylwestra w Zakopanem.

6. Czy operatorzy mogą zablokować możliwość spoofowania?

W teorii tak. W praktyce jest to bardzo ciężkie z kilku powodów. Usiądźcie i trzymajcie się poręczy. Zaczynamy:

• Wymaga zmian w protokołach komunikacyjnych używanych przez operatorów. Odpowiednie rozwiązania zostały już opracowane (np. STIR/SHAKEN) i są stosowane w USA. Ale wdrożenie tych rozwiązań jest problematyczne z wielu powodów. Aby te zmiany były naprawdę skuteczne, należałoby do nich przekonać wszystkich operatorów na całym świecie. To jest moment w którym umieracie ze śmiechu.
• Polscy operatorzy mogą więc wdrażać je lokalnie i/lub dodatkowo próbować ograniczać ruch od zagranicznych operatorów, od których przychodzą połączenia identyfikujące się polskimi numerami. Ale wtedy wytną wszystkich Polaków korzystających z roamingu na wakacjach. Ten problem da się jeszcze rozwiązać, umiejętnie odpytując “sieć”, gdzie polski abonent w danej chwili przebywa. Ale co z usługami typu SkypeOut, z których korzystają Polacy? Wtedy takie usługi nie będą działać.

• Sprawę komplikuje także to, że niektórzy polscy operatorzy swoje połączenia (z polskich na polskie numery) puszczają przez łącza operatorów zagranicznych, bo tak jest taniej. I wtedy “ogwiazdkowane” będzie połączenie faktycznie od cioci Zosi, która użyła taniej preselekcji na międzymiastowej.
• Cokolwiek zostanie przez operatorów wybrane jako próba ograniczenia spoofingu, to ktoś będzie musiał to nie tylko sfinansować (a to niemałe pieniądze) ale także przygotować pod to zmiany prawne. Chęci do zmian prawnych ze strony Ministerstwa Cyfryzacji są. Co do finansowania… to jest moment w którym umieracie ze śmiechu po raz drugi 😉

Podsumowując, nic nie wskazuje na to, ze problem spoofingu zostanie z polskich sieci szybko wyeliminowany. Dobrze, że zaczęto się tym tematem zajmować. Szkoda, że tak z 10 lat za późno i dopiero po tym jak problem zaczął dotykać polityków…

O perspektywie operatora w kwestii spoofingu rozmawialiśmy w naszym ostatniom odcinku podcastu Na Podsłuchu razem z Przemkiem Dębą z Orange. I nie zgadniecie, pod pracowników jakiej firmy sprawca zaczął się podszywać po publikacji tego docinka… Jak widać, wciąż pilnie obserwuje rodzimą branżę cyberbezpieczeństwa.

7. To co ja, abonent, mam robić? Jak żyć?

Zapamiętaj, aby nie ufać temu co pojawia się na ekranie Twojego smartfona, kiedy ktoś do Ciebie dzwoni (lub pisze SMS).

Zachowaj ostrożność zwłaszcza jeśli dzwoni do Ciebie jakaś instytucja (Bank, BIK, ZUS, Policja) i nie znasz głosu rozmówcy. To mogą być oszuści, którzy chcą Cię okraść. Oni są serio bardzo przekonujący i właśnie ten sam spoofing CallerID im w tym pomaga. Od dwóch lat okradają Polaków na grube miliony w scenariuszu “na fałszywego pracownika banku“.

Dlatego zapoznaj się z naszym opisem kilku aktualnych wariantów tych oszustw (i roześlij je znajomym). Zapisz się też na nasze darmowe cyberalerty, dzięki czemu otrzymasz powiadomienie o nowym wariancie tego (i innych) ataków.

Cały ten tekst o spoofingu oraz jego szczegółach przeczytacie na stronie Niebezpiecznik.pl. https://niebezpiecznik.pl/post/spoofing-rozmow-telefonicznych/