0:000:00

0:00

W sobotę 8 stycznia 2022 o 20:30 Daniel Flis (dziennikarz OKO.press) zobaczył na ekranie swojego telefonu połączenie przychodzące z numeru znajomej. Po odebraniu zaskoczył go sztuczny, metaliczny głos syntezatora mowy. Padło pytanie związane z tekstem, który napisał dwa dni wcześniej, po czym dzwoniący się rozłączył. Połączenie trwało 22 sekundy.

Około dwóch godzin później Daniel odebrał kolejne niespodziewane telefony: dzwoniła policja z Przasnysza, i dwa różne szpitale. Ktoś podszył się pod numer telefonu Daniela i zgłosił fałszywe alarmy bombowe.

To historia, jakich niestety wiele. O przypadkach spoofingu telefonicznego — podszywania się pod cudze numery telefonów — ostatnio w polskich mediach głośno:

To tylko kilka z wielu przykładów z ostatnich kilku tygodni. Dotknięte spoofingiem są zarówno osoby z kręgów rządowych, jak i z szeroko pojętej opozycji.

To nie Pegasus

Coraz głośniejsze przypadki spoofingu nakładają się rzecz jasna na aferę inwigilacji polskiej opozycji za pomocą systemu Pegasus. Jedno nie ma jednak z drugim wiele wspólnego.

Działanie zaawansowanych systemów inwigilacji osobistej (jak Pegasus i wiele innych) polega na włamywaniu się na telefon ofiary, i co za tym idzie uzyskiwaniu dostępu do wszystkich znajdujących się w nim informacji. Pozwala ich operatorom na korzystanie z mikrofonu, modułu GPS, kamery, bez wiedzy i zgody ofiary.

Systemy te są bardzo drogie, niezmiernie inwazyjne, i generalnie niedostępne dla internetowych żartownisiów.

W odróżnieniu od nich, spoofing telefoniczny jest relatywnie prosty i tani. Nie wymaga włamywania się na niczyje urządzenie ani przejmowania niczyjego (nawet fatalnie zabezpieczonego) konta. Nie trzeba też mieć specjalistycznej wiedzy.

Przeczytaj także:

Na czym polega spoofing?

W ogólnym sensie "spoofing" to po prostu podszywanie się, wykorzystujące podatność danego systemu komunikacji (ang. spoof – naciąganie, szachrajstwo).

Na przykład wysłanie fizycznego listu z cudzym adresem zwrotnym byłoby formą spoofingu. Ponieważ poczta nie sprawdza poprawności adresu zwrotnego podczas doręczania, list trafiłby do odbiorcy, który mógłby sądzić, że faktycznie został wysłany z adresu podanego jako zwrotny.

Na podobnej zasadzie działa każda forma spoofingu: możliwe musi być wysłanie wiadomości bądź nawiązanie połączenia podając fałszywe dane nadawcy.

Spoofing numerów telefonu jest możliwy, ponieważ infrastruktura telefoniczna wciąż używa przestarzałych protokołów, takich jak SS7, wprowadzony w latach 80. ubiegłego wieku.

Przy ich projektowaniu nie brano pod uwagę możliwości podszywania się przy wykonywaniu połączeń, ponieważ mało kto (poza operatorami telefonicznymi) miał wtedy dostęp do niezbędnego sprzętu i oprogramowania, o odpowiedniej wiedzy nie wspominając.

Dziś wystarczy laptop. Niezbędne oprogramowanie można pobrać z sieci; tam też można znaleźć odpowiednie przewodniki. Pozostaje wykupić usługę u operatora SIP, i możemy podszywać się pod dowolny numer telefonu na świecie.

Nie trzeba jednak zadawać sobie nawet tyle trudu: zamiast uruchamiać własny system, można po prostu wykupić odpowiednią usługę. Znalezienie dwóch różnych usługodawców oferujących możliwość wykonywania połączeń telefonicznych podszywając się pod dowolny numer telefonu zajęło mi całe dziesięć minut.

Ich aplikacje na smartfony umożliwiają nagrywanie połączeń, zmianę głosu dzwoniącego, czy podanie nagrania do odtworzenia. Koszt: poniżej złotówki za wykonane połączenie.

Nie tylko głupie dowcipy

Wydzwanianie do ludzi jako Adam Haertle, szef portalu Zaufana Trzecia Strona, można uznać za głupie dowcipy. Dzwonienie do dziecka, podszywając się pod numer rodzica, i informowanie, że rodzicowi coś się stało, jest bezduszne i podłe.

Zgłaszanie alarmów bombowych z numerów dziennikarek i aktywistów, kończące się ich aresztowaniem i zabraniem sprzętu komputerowego, to sprawianie ludziom konkretnych problemów i narażanie na konkretne koszty.

To jednak tylko najbardziej widoczne efekty braku podstawowych zabezpieczeń na poziomie protokołów używanych w sieciach telefonicznych.

Te same narzędzia pozwalają przecież podszyć się pod numer banku, z którego korzystamy, co może ułatwić przestępcom przekonanie nas do podania danych logowania lub PINu. To problem na tyle poważny, że ostrzega przed nim Związek Banków Polskich. Jednak tak długo, jak nie dotykał osób znanych, mało kto się nim interesował.

Nie tylko spoofing

Podatności protokołu SS7 pozwalają na znacznie więcej niż tylko podszywanie się pod czyjś numer telefonu.

Możliwe jest na przykład przechwytywanie wysyłanych do nas SMSów. To tym bardziej niebezpieczne, jeśli korzystamy z SMSów do uwierzytelniania dwuetapowego (lub "dwuskładnikowego", 2FA). Atakujący mogą przechwycić wysłany do nas podczas logowania kod i użyć go do przejęcia naszego konta.

Na szczęście wymaga to znacznie więcej pracy, czasu i lepszej koordynacji (aby atak się powiódł, atakujący muszą też mieć nasze dane logowania i, rzecz jasna, numer telefonu) niż włamywanie się na konta niezabezpieczone w ten sposób!

Koniecznie więc zabezpieczajmy nasze konta za pomocą uwierzytelnienia dwuetapowego, ale (gdy to możliwe) korzystajmy z metod innych, niż SMS.

Problemy z bezpieczeństwem SS7 mogą też być wykorzystywane do nadzorowania i podsłuchiwania połączeń telefonicznych, globalnie, bez konieczności włamywania się na same urządzenia osób inwigilowanych. Korzystają z tego oczywiście... rządy.

Powstały nawet firmy specjalizujące się w takich usługach, na przykład zarejestrowana w Bułgarii firma Circles Bulgaria, chętnie współpracująca ze służbami od Australii po Zimbabwe.

Sedno problemu

W gorącej medialnej dyskusji na temat spoofingu w Polsce mało kto dotyka sedna problemu: operatorzy sieci telefonicznych wciąż nie wdrożyli niezbędnych w XXI wieku zabezpieczeń.

Hakerzy ostrzegali o braku podstawowych zabezpieczeń w SS7 przynajmniej od 2008 roku! Doniesienia o firmie Circles Bulgaria są z roku 2015. Znalezione przez nas strony firm oferujących usługę dzwonienia z dowolnie zmienionym numerem telefonu dostępne były już ponad piętnaście lat temu.

Oprogramowanie pozwalające uruchomić własny system umożliwiający podszywanie się pod dowolny numer telefonu to po prostu oprogramowanie do uruchamiania central abonenckich, czyli lokalnych systemów telefonicznych, często uruchamianych w większych firmach czy instytucjach.

Każdy taki system technicznie rzecz biorąc umożliwia spoofing, bo... tak po prostu działa system telefoniczny.

To wszystko oznacza też, że nie ma co czczo spekulować, kto za tą najnowszą, nagłośnioną falą spoofingu stoi. Może to być w zasadzie każdy. Nie jest to nowy problem, a internetowi żartownisie ze skrzywionym poczuciem humoru to tylko wierzchołek góry lodowej.

Zamiast koncentrować naszą uwagę na nich (dając im tym samym satysfakcję z ich dziecinnych wybryków), czas na poważnie skupić się na firmach telekomunikacyjnych, których lata zaniechań umożliwiają nie tylko rzeczone wybryki, ale też całkiem realne i kosztowne przestępstwa.

Jak się obronić?

Zła wiadomość jest taka, że jako zwykła użytkowniczka czy użytkownik systemu telefonicznego tak naprawdę nic nie możemy zrobić, by obronić się przed spoofingiem. Jeśli ktoś ma nasz numer, przy odrobinie wysiłku może się pod niego podszyć dzwoniąc do innych osób. Jeśli ktoś zna numer naszej rodziny, znajomych czy banku, może się podszyć pod nich dzwoniąc do nas.

Możemy jednak znacznie zmniejszyć szanse, że za pomocą spoofingu ktoś wyrządzi nam krzywdę bądź narazi na straty.

1. Uważajmy, gdzie i komu udostępniamy nasz numer telefonu

Jeśli żartowniś bądź cyberprzestępca nie ma naszego numeru, nie może się pod niego podszyć! Trudniej też do nas zadzwonić, podszywając się pod kogoś innego.

Uważajmy więc, komu dajemy nasz numer telefonu. Nie udostępniajmy go w mediach społecznościowych, unikajmy też podawania go w różnych formularzach: bardzo często nie jest on faktycznie wymagany, a wycieki danych zdarzają się regularnie.

2. Pamiętajmy, że zwykłe telefony i SMS-y nie są bezpieczne

Pamiętajmy, że numer, który wyświetla się przy przychodzącym połączeniu, albo który jest podany jako nadawca wiadomości SMS, może nie być faktycznym numerem osoby do nas dzwoniącej bądź nadawcy wiadomości.

Jeśli mamy jakiekolwiek, nawet najmniejsze, wątpliwości, że dzwoni do nas ktoś faktycznie trzymający w ręku telefon kogoś z naszej rodziny, rozłączmy się i oddzwońmy. Jeśli nie jesteśmy absolutnie pewni, że wiadomość, którą otrzymaliśmy, wysłał nasz bank, zadzwońmy tam i się upewnijmy.

Spoofing pozwala się tylko podszyć pod numer telefonu, nie pozwala przejąć połączenia.

3. Nigdy nie podawajmy haseł, PIN-ów, itp.

Wiele systemów bankowych wymaga od nas podania PINu w celu uzyskania dostępu do pewnych operacji.

Wszelkie kody uwierzytelniające, PINy, czy hasła można podawać przez telefon tylko, gdy sami zadzwoniliśmy na znany nam uprzednio numer banku czy danej usługi. Nigdy nie należy tego robić, gdy ktoś zadzwoni do nas, nawet jeśli wyświetla się właściwy numer telefonu.

Jeśli faktycznie dzwoni do nas bank i prosi o uwierzytelnienie, możemy kontynuować rozmowę (i podać odpowiednie dane) po tym, gdy rozłączymy się i sami zadzwonimy na znany nam numer banku.

4. Uwierzytelnianie dwuetapowe innymi metodami niż SMS

Uwierzytelnianie dwuetapowe jest konieczną metodą obrony przed włamaniami na nasze konta. Ale jeśli tylko mamy taką możliwość, korzystajmy z innych metod niż SMS czy telefon z kodem.

Popularne generatory kodów jednorazowych (jak Aegis czy Google Authenticator) są znacznie lepszym rozwiązaniem. Fizyczne klucze bezpieczeństwa (jak NitroKey) są nawet bezpieczniejsze (jeśli usługi, z których korzystamy, je wspierają).

Jeśli jednak nie mamy innego wyboru, uwierzytelnianie dwuetapowe z SMS jest lepsze, niż jego kompletny brak!

5. Korzystajmy z bezpiecznych komunikatorów

Szyfrowane komunikatory internetowe (jak Signal) nie są w ogóle podatne na spoofing, a pozwalają na komunikację zarówno tekstową, jak i głosową (i wideo), również w grupach.

Zamiast polegać na archaicznych systemach telefonicznych, warto rozważyć przejście na szyfrowany komunikator. Ale uwaga, komunikator komunikatorowi nierówny! Nie bez powodu wspominam tu tylko o Signalu.

Udostępnij:

Michał rysiek Woźniak

(https://rys.io/) jest specjalistą ds. bezpieczeństwa informacji w rejestrze domen IS. Studiował filozofię, był członkiem Rady ds. Cyfryzacji, jest współzałożycielem warszawskiego Hackerspace’a. Pracował jako Dyrektor ds. Bezpieczeństwa Informacji w OCCRP – The Organised Crime and Corruption Reporting Project, konsorcjum ośrodków śledczych, mediów i dziennikarzy działających w Europie Wschodniej, na Kaukazie, w Azji Środkowej i Ameryce Środkowej, a wcześniej zarządzał Fundacją Wolnego i Otwartego Oprogramowania. Współpracuje z szeregiem organizacji pozarządowych zajmujących się prawami cyfrowymi w kraju i za granicą. Współautor „Net Neutrality Compendium”, oraz “Katalogu Kompetencji Medialnych”.

Komentarze