Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ktoś podszył się pod numer telefonu posłanki Pauliny Matysiak i zadzwonił z obelgami do innego posła…
Sprawę opisuje w telegraficznym (twitterowym) skrócie Paweł Szramka:
Paulina Matysiak ma już świadomość, że ktoś podszył pod jej numer:
Czy telefon / telefony zostały zhackowane? Nie – najprawdopodobniej doszło tutaj do spoofingu numeru telefonu. W bardziej przystępnej formie: chodzi o użycie specjalnego oprogramowania (często, chociaż nie zawsze jest to po prostu strona webowa), które umożliwia:
- wybranie dowolnego numeru, z którego zostanie wybrane połączenie (na dowolny inny numer)
- i/lub wysłanie SMSa – również z dowolnego numeru (można podać również nazwę; patrz przypadek, który opisywaliśmy w kontekście podszywania się pod Sanepid)
Od czasu do czasu przestępcy podszywają się w ten sposób pod autentyczne numery infolinii bankowych, próbując wyłudzać dane. Jeśli przed tego typu działaniem nie mogą chronić się banki, to co dopiero ma powiedzieć „zwykły” Kowalski?
Często zadawane pytania:
1. Czy ofiara wie, że jej numer jest wykorzystywany do wykonywania połączeń do innych osób? Nie (chyba, że zgłosi jej to osoba do której zadzwoniono, podszywając się)
2. Czy odbierając telefon, można w jakiś sposób stwierdzić, że ktoś stosuje technikę spoofingu? Nie.
3. Czego podszywający potrzebuje aby wykonać spoofing? W zasadzie tylko numeru telefonu osoby, pod którą chce się podszyć.
4. Dlaczego jest to w ogóle możliwe? W obecnych czasach tanią metodą jest wykorzystanie operatorów VoiP, którzy są w pewien sposób zintegrowani z sieciami GSM:
In the past, caller ID spoofing required an advanced knowledge of telephony equipment that could be quite expensive. However, with open source software (such as Asterisk or FreeSWITCH, and almost any VoIP company), one can spoof calls with minimal costs and effort.
Operator VoIP umożliwiając nawiązanie połączenia do sieci GSM, może umieścić w polu „numer dzwoniącego” dowolna wartość i sieć przyjmie to za dobrą monetę.
5. Podrzucicie trochę więcej technicznych szczegółów?
Można zacząć np. od tej pracy: Research of caller id spoofing launch, detection, and defense. Jednak nie oczekujcie cudów, we wstępie (ponownie) czytamy:
Caller ID spoofing is uncomplicated to lunch nevertheless difficult to detect and defend from, even in 4G LTE networks
6. Jestem ofiarą spoofingu. Co może mi grozić? Niestety, np. przeszukanie mieszkania / konfiskata telefonu / komputera (protestuj, jeśli taka sytuacja jak poniżej ma miejsce):
~Michał Sajdak
Najgorsze jest to, że mogą z rana zapukać smutni panowie zabrać ci telefon, komputer i zakuć, bo ktoś wykorzystał twój msisdn.
Bardzo niepokojące, skoro takie incydenty pojawiają się między zwykłymi osobami. Taki spoofing prywatnych numerów jako narzędzie do wyłudzeń może być niebezpiecznie skuteczne…
Coś dużo tego typu akcji ostatnio. Wygląda jakby ktoś urządził polakom akcję informacyjną na temat spoofingu…
Pamiętając, że to to organizacje rządowe i powiązane organizowały kampanie hejterskie, kontrolowały wycieki danych lub „wycieki 'danych'” /dezinformację/ na niekorzyść osób z opozycji i niepokornych urzędników, należy brać pod uwagę możliwość, że i w tych przypadkach źródłem są osoby/organizacje powiązane politycznie z kręgami rządzącymi.
„Nie (chyba, że zgłosi jej to osoba do której zadzwoniono, podszywając się” – obydwa przecinki zbędne. Teraz wychodzi na to, że podszywa się osoba do której zadzwoniono. Prawidłowa wersja: „Nie, chyba że zgłosi jej to osoba do której zadzwoniono podszywając się.”
na pewno powinien być przecinek przed „do którego”
Pierwsza zasada to nie ułatwiać niczego.
Komputer zaszyfrowany Serpent kilkudziesięcio znakowym hasłem dzięki LUKS. Telefon zaszyfrowany od Pine64 z Ubuntu Touch i jak chcą coś to mają obowiązek udowodnić bo na ładne oczy sąd nie zaakceptuje zarzutów prokuratora. Kilkadziesiąt takich akcji tygodniowo i zaczną myśleć a potem działać a nie na odwrót.
Bitlocker nie wystarczy?
Przecież operator powinien posiadać IMEI dzwoniącego. Z drugiej strony operator ma obowiązek retencji danych związanych z połączeniami. Więc w czym problem, by służby sprawdziły kto „dzwonił/smsował”. Wystarczy porównać z IMEIem posiadacza prawdziwego telefonu… i do widzenia, ślepa gienia.
A spoofing telefonu pracownika NASK? Policja gościa wyciągnęła z domu i wzięła na przesłuchanie. Czy oni nie mają billingów? Nie wiedzą, że nie nawiązał takiego połączenia? Bo skoro spoofing to źródło jest zupełnie gdzieś indziej… Słabo
W bardziej „cywilizowanych” krajach pole „sender” musi byc zarejestrowane dla bramek voip/sms. To moze nie jest rozwiazanie 100% problemu ale mocno go ograniczajace.
no to są jakieś jaja. za tą POWAŻNĄ DZIURĘ BEZPIECZEŃSTWA odpowiadają w 100% sieci komórkowe i powinny być pociągnięte do odpowiedzialności. niech sobie operator bramki wpisuje cokolwiek – sieć ma obowiązek go zidentyfikować a nie pozwalać na oszustwa!!!!!
Dodam, że na poczcie mail mogą być dane wrażliwe jak numery dowodu.