Skip to main content
Szukaj
Logowanie
Dane logowania.
Nie masz konta? Załóż je tutaj.
Zarejestruj się
Zarejestruj się
Masz konto? Zaloguj się tutaj.
  1. Strona główna
  2. Wydania
  3. Artykuł
Powrót

Skrócone linki, spoofing telefoniczny – jak nie dać się cyberoszustom?

05 listopad 2024

Skrócone linki, spoofing telefoniczny – jak nie dać się cyberoszustom?
Mateusz Ossowski

Mateusz Ossowski

Nie otwierasz wiadomości od nieznajomych i nie odbierasz połączeń z nieznanych numerów? Potakujesz. Wydaje Ci się, że wiesz, jak radzić sobie z potencjalnymi oszustami. A cyberprzestępca mówi: potrzymaj mi piwo. Wystarczy literówka w adresie e-mail, skrócony adres URL czy telefon od mamy i tracimy czujność.

Narzędzia do skracania linków – cyberprzestępcy w natarciu

Przywykliśmy już do tego, żeby z ostrożnością podchodzić do wiadomości e-mail  czy SMS od nieznajomych osób, nie klikać w załączniki czy linki, których się nie spodziewamy. Ewentualnie sprawdzać – czytając adres URL – czy linki rzeczywiście prowadzą do stron, na które nadawca chce nas przekierować.

Cyberprzestępcy też przywykli do tego, że jesteśmy lepiej wyedukowani. Dlatego stosują w swoich atakach mechanizmy, na które jesteśmy mniej lub w ogóle nieprzygotowani. 

Badacze Barracuda przeanalizowali latem tego roku 69 milionów ataków na 4,5 miliona skrzynek pocztowych przeprowadzonych w ciągu 12 miesięcy. Co zauważyli? Liczba ataków Business Email Compromise wzrosła i stanowi dziś 10,6% wszystkich ataków z wykorzystaniem wiadomości e-mail. Atakujący chętnie wykorzystują także kody QR oraz narzędzia do skracania adresów URL. W 40% ataków zawierających taki skrócony link przestępcy wykorzystali aplikację bit.ly. Znaną i na co dzień niebudzącą naszych wątpliwości.

Przyjrzyjmy się przez chwilę technikom, które mogą uśpić naszą czujność. Stosowane przez atakujących aplikacje skracające adresy URL kondensują link, przez co rzeczywisty link do strony jest maskowany przez losowe litery lub cyfry. Użycie tej taktyki może ukryć prawdziwą naturę i cel linku. Odbiorca wiadomości nie widzi bowiem, do jakiej strony kieruje go taki adres URL. Cyberprzestępcy właśnie o to chodzi – aby użytkownik stracił czujność i zwyczajnie dał się oszukać.

Na co dzień tego typu narzędzia są oczywiście bardzo pożyteczne. Skrócone linki są wykorzystywane w kampaniach e-mailowych, w SMS-ach, w mediach społecznościowych – wszędzie tam, gdzie zbyt długi, skomplikowany i trudny do zapamiętania adres URL źle wygląda i zajmuje za dużo miejsca. Dlatego my – użytkownicy Internetu i poczty elektronicznej – zwyczajnie przywykliśmy do tych skondensowanych adresów. 

Nie jesteśmy bezradni

Warto pamiętać o tym, że każdy z nas może sprawdzić, dokąd kieruje skrócony link – bez konieczności klikania w niego. Są do tego różnego rodzaju narzędzia. Można między innymi wpisać link w pasek przeglądarki, dodając na jego końcu znak +. W rezultacie otrzymamy informację o oryginalnym linku kryjącym się pod tym skróconym. Można także skorzystać z wielu narzędzi dostępnych online, które przeanalizują dla nas dowolny adres URL i poinformują, czy jest bezpieczny.

A co zrobić ze skróconymi linkami w SMS-ach? W tym przypadku nigdy za wiele ostrożności. Jeśli nie mamy możliwości albo nie potrafimy skopiować takiego linku i dotrzeć do jego źródła, korzystając ze wspomnianych wyżej narzędzi, lepiej po prostu w niego nie klikać. Jeśli wiadomość przyszła od znajomej nam osoby – dobrym rozwiązaniem jest skontaktowanie się z nią i zapytanie o to, czy przysłała nam SMS-a i do jakiej strony prowadzi załączone hiperłącze.

A może by tak zlikwidować takie narzędzia…

Tak, zabronienie rozwoju i stosowania narzędzi, które mogą zostać wykorzystane przez cyberprzestępców brzmi z pozoru całkiem rozsądnie… Ale tylko z pozoru. Pamiętajmy o tym, że atakujący używają w swoich działaniach środków i rozwiązań, które są nam bliskie. I robią to z pełną premedytacją – im popularniejsze narzędzie, tym większa szansa na powodzenie cyberataku.

Narzędzia do skracania linków są pożyteczne. Tak samo jak e-maile czy smartfony. Nikomu do głowy nie przyszłoby zakazanie ich używania tylko dlatego, że bywają atakowane przez cyberprzestępców. Nic – żaden zakaz – nie zastąpi w tym przypadku czujności użytkownika.

Oczywiście warto do tego dodać odpowiednie polityki i praktyki bezpieczeństwa chroniące użytkowników. Przypomnijmy przypadek kreatora reklam na Facebooku. Jeśli popularny serwis społecznościowy pozwala na modyfikowanie linków w postach reklamowych już po przeprowadzeniu ich weryfikacji i sprawdzeniu bezpieczeństwa – możemy spodziewać się kampanii prowadzących do fałszywych stron wyłudzających dane. W takim przypadku na pewno warto byłoby zmodyfikować procedury bezpieczeństwa, aby nie narażać użytkowników.

Nie tylko skrócone linki

Samo zlikwidowanie skróconych linków nie rozwiązałoby zresztą problemów. Cyberprzestępcy używają wielu różnych technik, które pomagają im ukryć ich prawdziwe intencje i zmylić ofiarę. Na przykład w bardzo popularnych atakach Business Email Compromise atakujący wspomagają się innymi złośliwymi działaniami, w tym spoofingiem czy typo-squattingiem.

Gwoli wyjaśnienia: Business Email Compromise to zaawansowane oszustwo wymierzone w firmy współpracujące z różnymi dostawcami i dokonujące przelewów bankowych. Atakujący często podszywają się pod osoby decyzyjne lub pod zaufanych partnerów biznesowych. Oszukują pracowników i wydają im polecenia lub proszą o wykonanie przelewu czy też o udostępnienie wrażliwych informacji. 

Spoofing

Jak to możliwe, że pracownicy nabierają się na takie e-maile? Wszystkiemu winne jest stosowane przez atakujących fałszowanie tożsamości nadawcy. Robią to na różne sposoby. Używają między innymi spoofingu.

  • W e-mail spoofingu manipulują nagłówkami e-maili, aby wyglądało na to, że e-mail pochodzi z zaufanego źródła. Atakujący używają tej techniki, aby ominąć filtry e-mail i oszukać odbiorców.

  • W display name spoofingu zmieniają nazwę wyświetlaną w adresie e-mail nadawcy. Wszystko po to, by udawać zaufany kontakt. Jest to szczególnie skuteczne w przypadku poczty na urządzeniach mobilnych, które wyświetlają tylko nazwę, a nie adres e-mail.

Typo-squatting

Typo-squatting (hijacking URL) to jeszcze inny rodzaj oszustwa. W tym przypadku atakujący rejestrują domeny, które są bardzo podobne do nazw popularnych stron internetowych czy znanych firm lub organizacji. Różnią się drobiazgami – może to być literówka, przestawienie znaków, dodanie lub pominięcie jakiegoś znaku, zastosowanie litery, która jest podobna do tej użytej w oryginalnej nazwie, ale nie identyczna. Na pierwszy rzut oka – wszystko się zgadza. Na drugi – już niekoniecznie. A użytkownicy rzadko kiedy sprawdzają adresy kilkukrotnie.

Mama, która nie jest mamą, czyli spoofing telefoniczny 

Coraz większą plagą jest dziś spoofing telefoniczny. To rodzaj oszustwa, w którym osoba dzwoniąca podszywa się pod inny numer telefonu lub nazwę zapisaną w naszych kontaktach. Przestępcy wykorzystują technologie, które pozwalają im manipulować numerem wyświetlanym na telefonie. Mogą więc sprawić, że na ekranie pojawi się dowolny numer, który wybiorą.

Atak tego rodzaju może nas dotknąć na wiele sposobów. Z jednej strony może do nas dzwonić ktoś podszywający się pod nasz bank lub bliską osobę. Po co? Choćby po to, żeby wyciągnąć od nas wrażliwe informacje czy pieniądze. Z drugiej – atakujący podszywając się pod nas, może zadzwonić do dowolnej instytucji na przykład z komunikatem o podłożonej bombie lub do konkretnej osoby z groźbami. Takie techniki wykorzystywane są między innymi w działaniach stalkingowych, a za winnego uznaje się w pierwszej kolejności tego, którego numer wyświetla się na telefonie prześladowanego.

Czy da się zapobiec tego typu atakom? Operatorzy telekomunikacyjni i producenci rozwiązań z obszaru bezpieczeństwa IT bardzo intensywnie nad tym pracują. Po wielu próbach, które Barracuda przeprowadziła z jedną z wiodących firm telekomunikacyjnych, doszliśmy do etapu, na którym telefony oszustów podszywających się pod tego operatora i dzwoniących pod numery należące do niego są identyfikowane jako „numer prywatny”. Kolejne rozwiązania zwiększające bezpieczeństwo w tym zakresie są tylko kwestią czasu.

Cyberprzestępcy szybko zmieniają swoje taktyki i ciągle próbują nowych rzeczy. Nam pozostaje nieustające edukowanie się i ostrożność. Im lepiej znamy mechanizmy działania atakujących, im więcej wiemy o socjotechnice – tym większe prawdopodobieństwo, że nie damy się nabrać na oszustwo. Pamiętajmy o prostej zasadzie – lepiej dwa razy sprawdzić (adres URL, nadawcę SMS-a czy prośbę o dużą gotówkę od wnuczka) niż raz stracić.

Oceń artykuł

Sprawdź się!

Powiązane materiały

Zapisz się do newslettera

Bądź na bieżąco z najnowszymi informacjami na temat
cyberbezpieczeństwa



Zasady ochrony danych osobowych - polityka prywatności