Kiedy kilka lat temu na jednym z podstawowych szkoleń o cyberbezpieczeństwie prezentowaliśmy i ostrzegaliśmy, między innymi, o spoofigu, to choć ta metoda oszustwa jest znana od wielu lat, wiele osób było zaskoczonych i nie miało pojęcia o takiej możliwości. Dziś o spoofingu słyszymy w mediach głównego nurtu, a kolejni politycy donoszą, że padli ofiarą takiego działania.

Spoofing, mówiąc krótko i wprost, to podszywanie się pod inny numer telefonu (lub np. adres e-mail, bo spoofing ma kilka rodzajów). Kiedy dochodzi do spoofingu nie mamy do czynienia z włamaniem, ani na telefon ofiary przyjmującej połączenie, ani na telefon ofiary, której numer został wykorzystany. Dość często w przekazach medialnych taka błędna informacja jest podawana. W przypadku spoofingu nie jest wymagane złamanie zabezpieczeń żadnego systemu, czy aparatu. Niestety spoofing do wykonania jest dość prosty i jest wielu operatorów w sieci, którzy taką usługę świadczą.

Spoofing możliwy jest do wykonania z prozaicznego powodu. Protokoły sieci telefonii komórkowych są po prostu stare i były projektowane w czasach, kiedy tego typu oszustwo nie było możliwe – protokoły SS7 zaprojektowane zostały w 1975 roku i uruchomione  wroku 1984. 

Standard SS7 identyfikuje i określa, jaką funkcjonalność musi posiadać cyfrowa sieć sygnalizacyjna oraz jakich protokołów należy użyć, aby umożliwić jej poprawne działanie. Możliwe jest także tworzenie wariantów (rozszerzeń), takich jak standard ETSI lub ANSI. System sygnalizacji SS7 jest szeroko wykorzystywany w sieciach telekomunikacyjnych, zarówno w sieciach PSTN jak i GSM.

Dla ofiary, która odbiera fałszywe połączenie, choć na ekranie wyświetla się znany (bądź nie) numer telefonu, wykrycie takiego oszustwa nie jest możliwe. Widoczne będzie to jedynie w bilingach ofiary z której numeru skorzystano. Jako, że ofiara nie wykonywała takiego połączenia, a zostało ono zaspoofowane, na liście wykonywanych połączeń nie będzie ono widnieć. Niestety, wprowadzenie ograniczeń, lub całkowite wyeliminowanie spoofingu z sieci telefonii komórkowych, jest niemal całkowicie niemożliwe. Wymagałoby to bowiem zmian w protokołach komunikacyjnych i aby stały sie one skuteczne, musiałyby być zastosowane przez operatorów na całym świecie. 

Co równie ważne, spoofing może dotyczyć również wiadomości SMS czy e-mail, a więc, w przypadku jakichś wiadomości, które choć odrobinę wydają nam się podejrzane, należy podchodzić z olbrzymim dystansem i, jesli mamy jakiekolwiek wątpliwości, skontaktujmy się zwrotnie z nadawcą wiadomości, aby osobiście dopytać i rozwiać te obawy. Jeśli zaś padliśmy ofiarą takiego oszustwa i ktoś wykorzystał numer telefonu lub adres e-mail (np. do spowodowania alarmu bombowego) zarejestrowany na nasze nazwisko zgłośmy to odpowiednim służbom, jako osoba poszkodowana, i powołajmy się na bilingi w celu oczyszczenia z ewentualnych zarzutów.

{loadmoduleid 1123}