Nie ma obrony przed spoofingiem? Polskie banki pokazują, że można z tym walczyć
Spoofing bardzo szybko w Polsce stał się sprawą polityczną. Kiedy jednak pojawiły się pierwsze fałszywe połączenia, obawialiśmy się przede wszystkim wykorzystania tego narzędzia przez cyberprzestępców. Banki również są świadome zagrożenia, dlatego zaczynają uczulać swoich klientów i pomagają ustalić, kiedy faktycznie ma się do czynienia z prawdziwym pracownikiem. PKO BP i mBank wykorzystują do tego swoje aplikacje.
Schemat ataków spoofingowych jest identyczny. Połączenie przychodzące wyświetlane jest zwykle ze znanego numeru (czyli telefon podstawia wpis z książki telefonicznej), natomiast po odebraniu odtwarzany jest wygenerowany za pomocą syntezatora mowy komunikat. W przypadku polityków były to groźby lub informacje o śmierci bliskich, ale możliwych scenariuszy wykorzystania ataku jest wiele. Mówił o tym nam Witold Tomaszewski, rzecznik Urzędu Komunikacji Elektronicznej.
Za pomocą spoofingu można nie tylko destabilizować opinię publiczną, ale też ją oszukiwać. Wystarczy, że głos w słuchawce poda się za pracownika banku, poprosi o poufne dane, następnie przeczytanie kodu SMS, który właśnie przyszedł, i gotowe – konto wyczyszczone. Niemożliwe? Niestety jest to bardzo prawdopodobny scenariusz, którego od początku nie wykluczaliśmy.
Wiedzą o tym banki, które już mówią, jak się chronić
Oszustwa "na pracownika banku", "operatora", "policję" czy "wnuczka" nie są wprawdzie niczym nowym, ale spoofing sprawia, że zagrożenie staje się bardziej powszechne. Na szczęście banki reagują.
W aplikacji IKO klienci PKO Banku Polskiego mogą od niedawna zweryfikować tożsamość pracownika banku. Klient otrzyma w aplikacji wiadomość (push) z danymi pracownika. Następnie będzie mógł poprosić go o podanie np. imienia i nazwiska - jeśli dane się zgadzają, zatwierdza je PIN-em do IKO i dalej prowadzi rozmowę.
Jak informuje Sekurak, podobne rozwiązanie przygotował mBank. Pracownik w rozmowie telefonicznej najpierw się przedstawi, a potem w aplikacji przyjdzie potwierdzenie z danymi. Jeśli wszystko się będzie zgadzać, klient zatwierdzi rozmowę z konsultantem.
Niestety nie wszystkie wychodzące połączenia od mBanku mają tę funkcję. Bank zapewnia jednak, że pracuje nad tym, aby "inne jednostki również mogły się w ten sposób identyfikować".
Banki, które nie mają jeszcze takich metod weryfikacji, przypominają, że w rozmowach nigdy nie proszą swoich klientów o podanie takich danych jak hasło do konta czy PIN-u do karty. Trzeba o tym pamiętać, bez względu na to, kto i kiedy do nas dzwoni.
Nie licząc dodatkowego zabezpieczenia od banku, póki co skutecznej metody ochrony przed spoofingiem nie ma. Filtry spamowe nic nam nie dadzą, kiedy na ekranie pojawi się numer, który znamy i kojarzymy. Trzeba więc zachować czujność i nie dać się podejść. Brzmi prosto, ale o zachowanie spokoju nie zawsze jest łatwo, gdy głos w słuchawce mówi nam o niepokojących rzeczach, jak jest to w przypadku ostatnich ataków.