Odber
Spoofing - skrytá identita pod niekým známym

Spoofing : keď ti volá známe číslo, no na druhej strane sedí kriminálnik

ToSho
Analýza útokov a vírusov
Nenechaj v tom známych samých – zdieľaj
Začiatočník

Predstav si situáciu: Zvoní ti telefón. Pozrieš na displej a vidíš nápis „Banka – Klientske centrum“ alebo dokonca číslo, ktoré máš uložené ako „Šéf“. Zdvihneš to. Na druhej strane sa ozve seriózny hlas, ktorý tvrdí, že tvoje peniaze sú v ohrození a musíš ich okamžite previesť na bezpečný účet.

Znie to dôveryhodne, však? Veď číslo sedí! Bohužiaľ, práve si sa stal terčom útoku. Vitaj vo svete, kde spoofing mení realitu na ilúziu. Je to dôvod, prečo dnes už nestačí pozerať na to, čo vidíš na displeji alebo v inboxe – musíš začať riešiť, komu naozaj veríš.

V tomto článku sa pozrieme na to, ako je technicky možné ukradnúť identitu telefónneho čísla, prečo sú podvodné telefonáty takzvaným miliardovým biznisom a ako nenaletieť, keď ti „kolega“ pošle mail so žiadosťou o urgentnú platbu.

Čo je spoofing a prečo je to také jednoduché?

Spoofing je technika, pri ktorej si útočník nasadí digitálnu masku. Upraví informácie, ktoré sa zobrazujú príjemcovi (tebe), aby vyzeral ako niekto iný – dôveryhodný.

Existujú dva hlavné typy, s ktorými sa stretneš najčastejšie:

1. Caller ID Spoofing (Telefónny podvod)

Na displeji tvojho mobilu sa zobrazí číslo tvojej banky, polície, alebo dokonca tvoje vlastné číslo (áno, aj to sa stáva), ale hovor v skutočnosti prichádza z internetovej (VoIP) linky kdesi z druhého konca sveta. Prečo to funguje? Pretože telefónna sieť bola navrhnutá v dobe, keď si všetci dôverovali. Operátori často neoverujú, či ten, kto hovor iniciuje, naozaj vlastní číslo, ktoré prezentuje. Je to ako napísať na obálku listu falošnú spiatočnú adresu – pošta to doručí, nerieši, kto to tam napísal.

2. Email Spoofing (Falošný odosielateľ)

Útočník pošle e-mail, ktorý vyzerá, akoby prišiel od [email protected]. Robí to dvoma spôsobmi:

  • Typosquatting: Zaregistruje podobnú doménu, napr. tvojaf1rma.sk alebo zamení písmeno „l“ za číslo „1“.
  • Header Spoofing: Priamo v technickej hlavičke e-mailu natvrdo prepíše odosielateľa, ak firma nemá nastavenú ochranu (SPF/DMARC).

Cieľ je vždy rovnaký: získať si tvoju dôveru a potom z teba vytiahnuť peniaze, heslá alebo citlivé dáta.

Reálne prípady: Keď falošná identita volajúceho stojí milióny

Aby sme nehovorili len teoreticky, pozrime sa na prípady z praxe, pri ktorých podvodné telefonáty a e-maily zruinovali životy aj firmy.

„Voláme z vašej banky“ (Vishing) V Česku a na Slovensku rezonujú prípady, kedy ľuďom volal „bankár“ zo spoofnutého oficiálneho čísla banky. Tvrdil, že ich účet bol napadnutý a musia peniaze previesť do „bezpečnostnej schránky“ (čo bol vkladomat na kryptomeny). Keď obeť váhala, zavolal jej o minútu „policajt“ (zo spoofnutého čísla 158), ktorý potvrdil, že ide o policajnú akciu. Ľudia takto prišli o celoživotné úspory. Pretože displej predsa neklame, nie? Omyl.

CEO Fraud (Business Email Compromise) Firma Scoular Co. prišla o neuveriteľných 17,2 milióna dolárov. Ako? Finančný kontrolór dostal sériu e-mailov, ktoré vyzerali, že sú od generálneho riaditeľa (CEO) a externých právnikov. E-maily riešili „tajnú akvizíciu“ v Číne. Všetko vyzeralo legitímne – štýl písania, podpisy, dokonca aj načasovanie. Bol to však precízny spoofing.

Deepfake hlas + Spoofing Budúcnosť je tu a je desivá. Zaznamenaný bol prípad, kedy zamestnanec nadnárodnej firmy previedol 25 miliónov dolárov po videohovore s finančným riaditeľom. Ukázalo sa, že riaditeľ na videu bol Deepfake a číslo bolo spoofnuté. Ak chceš vedieť, ako sa proti takýmto podvodom brániť, pozri si náš návod ako rozpoznať deepfake v 7 krokoch.

smishing, vishing, phishing - infografika

Ako spoofing technicky funguje (Zjednodušene pre bežných ľudí)

Telefónna sieť (VoIP je vinník)

V minulosti boli telefónne linky fyzické drôty. Dnes väčšina hovorov beží cez internet (VoIP – Voice over IP). Útočník použije softvér alebo online službu, kde si do políčka Caller ID jednoducho napíše, čo chce. Keď hovor prechádza cez rôznych medzinárodných operátorov, informácia o pôvodnom zdroji sa často stratí alebo neoveruje. Keď hovor dorazí k tvojmu slovenskému operátorovi, ten vidí len to, čo mu poslala zahraničná ústredňa – a to zobrazí tebe.

E-maily (SMTP je deravé sito)

E-mailový protokol (SMTP) vznikol v 80. rokoch. Vtedy sa neriešilo, či Jano je naozaj Jano. Útočník si nastaví svoj server tak, aby do hlavičky From: napísal tvoju banku. Ak banka nemá nastavené moderné technológie (ako DMARC), tvoj e-mailový server túto správu prijme a doručí ti ju do Inboxu. Falošná identita volajúceho alebo píšuceho je tak dokonalá.

Ako rozpoznať telefónny spoofing?

Spoofing sa tvári dôveryhodne, ale útočník vždy robí chyby. Hľadaj tieto varovné signály:

  1. Extrémna urgentnosť: „Musíte to urobiť HNEĎ, inak vám zablokujeme účet/prídete o peniaze/príde polícia.“ Skutočná banka nikdy nevyvíja takýto nátlak.
  2. Chcú tvoje tajomstvá: Banka ani polícia nikdy, opakujem NIKDY, nepýtajú PIN kód, heslo do internet bankingu, celé číslo karty ani CVV kód cez telefón.
  3. Čudný prízvuk alebo šum: Často ide o call centrá v zahraničí. Ak má „pracovník slovenskej polície“ silný východný prízvuk alebo počuješ v pozadí ruch 50 ďalších ľudí, je to podvod.
  4. Nečakaný hovor: Ak ti volá technická podpora Microsoftu, že máš vírus, je to spoofing. Microsoft nikdy nevolá prvý.

Zlaté pravidlo: Ak máš pochybnosť, polož to. Nájdi si oficiálne číslo inštitúcie na ich webe (nie z poslednej SMS!) a zavolaj tam sám.

Ako rozpoznať emailový spoofing?

Útočníci sa zlepšili, už to nie sú len maily od „Nigérijského princa“ s gramatickými chybami.

  • Skontroluj skutočnú adresu: Klikni na meno odosielateľa. Sedí doména? Je to @tatrabanka.sk alebo @tatrabanka-support.xyz?
  • Linky v správe: Prejdite myšou ponad odkaz (neklikať!). Kam smeruje? Ak vidíte bit.ly alebo divnú zmes znakov, je to pasca.
  • Neštandardné požiadavky: Pýta šéf, aby ste kúpili darčekové poukážky pre klientov a poslali mu kódy? Alebo chce účtovníčka zmeniť číslo účtu dodávateľa tesne pred splatnosťou faktúry? Vždy to overte iným kanálom (telefónom, cez Teams).

Ako sa brániť: Stratégia pre bežného človeka

  1. Nedôveruj displeju: Číslo na displeji je len informácia, nie dôkaz.
  2. Dvojstupňové overenie (2FA): Maj zapnuté 2FA všade. Aj keby si naletel na phishing a odovzdal heslo, bez tvojho mobilu sa do účtu nedostanú.
  3. Oddelené e-maily: Používaj iný mail na banku/úrady a iný na registrácie do e-shopov a súťaží.
  4. Neposkytuj osobné údaje: Nikdy nehovor svoje bydlisko, rodné číslo, číslo dokladov, PIN kódy, číslo platobnej karty, CVV číslo (3-miestne číslo na platobnej karte) a ďalšie údaje ktoré keby ti niekto ukradne tak ti narobia problémy.

Ako sa brániť: Stratégia pre firmy

Firmy sú pre spoofing najväčším terčom (tzv. Whaling).

  • Pravidlo štyroch očí: Pri platbách nad určitú sumu alebo pri zmene čísla účtu dodávateľa musí transakciu schváliť/overiť druhá osoba.
  • Technická ochrana: Admini musia nastaviť SPF, DKIM a DMARC záznamy na doméne. Tieto technológie hovoria svetu: „Tento server môže posielať maily za našu firmu. Všetko ostatné zahoďte.“
  • Školenia: Zamestnanci sú prvá línia obrany. Musia vedieť, čo je to BEC a že riaditeľ naozaj nepotrebuje poslať 10 000 € na účet v Paname v piatok o piatej večer.

FAQ: Často kladené otázky o spoofingu

Môžem zistiť skutočné číslo, z ktorého mi volali? Pre bežného človeka je to takmer nemožné. Operátori tieto dáta majú v logoch, ale vydajú ich len na príkaz polície pri vyšetrovaní trestného činu.

Dá sa spoofing úplne zastaviť? Zatiaľ nie, ale pracuje sa na tom. V USA a postupne aj v EÚ sa zavádza technológia STIR/SHAKEN, ktorá digitálne podpisuje hovory a overuje, či má volajúci právo používať dané číslo. Kým to však bude globálny štandard, prejdú roky.

Je trestné urobiť spoofing na kamaráta ako vtip? Technicky vzaté, falšovanie identity môže byť považované za priestupok alebo trestný čin, najmä ak tým spôsobíš škodu alebo obťažuješ. Nerob to.

Prečo mi volá moje vlastné číslo? Je to bežná taktika robotov. Spoliehajú sa na to, že zo zvedavosti zdvihneš („Prečo si volám?“). Zvyčajne ide o automatizovaný spam.

Záver

Spoofing je ako digitálny karneval, kde nikto nie je tým, kým sa zdá byť. Je to nepríjemné, je to nebezpečné, ale dá sa proti tomu brániť tým najlepším antivírusom na svete – tvojím zdravým rozumom. Prestaňme veriť technológiám slepo. Overujme. Volajme späť. A hlavne – nenechajme sa vystresovať. Banka počká, polícia si ťa nájde aj osobne a šéf… ten to prežije, ak mu na mail odpovieš až ráno.

A nezabúdajme, že útočníci sú vždy o krok napred. Dnes klamú ľudí cez telefón, zajtra budú klamať samotnú umelú inteligenciu cez Label Spoofing, aby nás dostali tam, kam chcú.

A teraz ruku na srdce: Komu z vás už volala „technická podpora Microsoftu“ alebo „Polícia SR“? Naleteli ste, alebo ste ich vytočili do nepríčetnosti tým, že ste hrali hlúpeho? Napíšte mi svoje najlepšie príhody s podvodníkmi do komentárov! Milujem, keď sa karta obráti. 😈 👇

 

Zdroje :

europol , terranovasecurity , iacpcybercenter

Odporúčané články:

Prihlásiť sa na odber
Upozorniť na
0 komentárov
Najstaršie
Najnovšie Najviac hlasovalo
Inline Feedbacks
Zobraziť všetky komentáre
Accessibility by WAH