Wiesz jak działa spoofing? W dzisiejszym artykule wyjaśniamy jak działa spoofing telefonu. Dowiecie się jak to działa od technicznej strony i dlaczego spoofing jest bardzo prostym zabiegiem, który może wykonać właściwie każdy.
Jak powstał spoofing?
Wszystko zaczęło się w połowie lat 90-tych, kiedy w Stanach Zjednoczonych wprowadzono system identyfikacji abonenta. Szybko wykorzystali go telemarketerzy, którzy zauważyli, że klienci chętniej odbierają lokalne połączenia. Zaczęli więc manipulować numerami, korzystając z luk w systemie PSTN (Public Switched Telephone Network), takich jak manipulacja danymi wysyłanych przez cyfrowe trunki T1 czy używanie spreparowanych tonów w telefonii analogowej.
Luki w systemie PSTN (Public Switched Telephone Network), które umożliwiły spoofing, wynikały z pewnych technologicznych ograniczeń i otwartości ówczesnych systemów komunikacyjnych.
PSTN to tradycyjna sieć telefoniczna, która łączyła miliony połączeń na całym świecie za pomocą różnych metod transmisji, zarówno analogowych, jak i cyfrowych. Jednym z głównych elementów tego systemu były właśnie cyfrowe trunki T1. Przekazywały dane w sposób, który można było zmanipulować – np. zmieniając informacje o numerze dzwoniącego. To właśnie te manipulacje stały się jednym z fundamentów dla technologii spoofingu numerów.
Oczywiście szybko wprowadzono regulacje prawne zakazujące takich praktyk z wyłączeniem instytucji rządowych.
VoIP, a rozwój spoofingu
Rozwój Internetu i spadek kosztów transferu umożliwił przenoszenie połączeń telefonicznych przez sieci komputerowe, co przyczyniło się do upowszechnienia systemów VoIP (Voice over Internet Protocol). SIP (Session Initiation Protocol), stosowany w VoIP, pozwala na manipulowanie nagłówkiem FROM, co oznacza, że można wpisać dowolny numer, rozpoczynając połączenie z fałszywego numeru.
It makes sense? 🙂
“Próbowałem, nie da się!”
Odpowiadamy: I DOBRZE! “
Blokady operatorów VoIP
Wydaje się, że spoofing jest prosty do przeprowadzenia, nie zawsze jest to takie łatwe.
Wielu dostawców VoIP stosuje zabezpieczenia, które uniemożliwiają użytkownikom wpisywanie dowolnych numerów w polu “FROM”. Sprawdzają oni, jakie numery zostały zakupione lub przypisane do konta użytkownika, a następnie ograniczają możliwość wyboru jedynie do tych zweryfikowanych numerów. Jednakże nie każdy operator VoIP stosuje takie zabezpieczenia – niektóre firmy nadal pozwalają użytkownikom na wysyłanie fałszywych nagłówków.
Gdy fałszywy nagłówek trafi do systemu PSTN, ten automatycznie go akceptuje, nie weryfikując jego autentyczności. Spoofing działa wówczas bez względu na to, z jakiego kraju pochodzi połączenie. Może ono przyjść z Polski, Europy lub z zupełnie innego zakątka świata, a system przyjmie je jako prawdziwe.
Proste?… Ale aż tak? Otóż jest!
A można było inaczej…
PSTN przez lata nie był i dalej nie jest gotowy na pełną integrację z SIPem. Manipulacja nagłówkiem “FROM” w protokole SIP sprawia, że spoofing jest łatwy do przeprowadzenia, a zabezpieczenia zależą głównie od dostawcy usług VoIP. Dopóki tradycyjna sieć PSTN będzie ślepo ufała danym otrzymanym z VoIP, spoofing pozostanie problemem na skalę globalną.
Pewnie, to faktycznie nie może być takie proste 🙂 Wielu usługodawców VoIP blokuje wysyłanie podrobionego nagłówka, sprawdzając najpierw jakie numery dana osoba ma wykupione i dozwala wybór jednego z nich. Jednak nie wszyscy – bo gestia przyjęcia spreparowanego FROM to kwestia danego operatora VoIP. Jeżeli on puści do PSTNa fałszywy CID, to PSTN to przyjmie. Może istnieć w Polsce, w Europie bądź na drugim końcu świata.
Co z prefiksem kraju? A nie będzie wtedy dogranego prefixu?
Otóż nie! Logicznie mogłoby się wydawać, że numer z fałszywego nagłówka będzie zawierał nieodpowiedni prefiks kraju, który można by łatwo wykryć. Prefiks kraju nie jest automatycznie dodawany przez polskiego operatora, ale przez operatora, od którego wychodzi połączenie.
Więc jeżeli operator VoIP dopuszcza fałszywy CID, to może puścić też fałszywy prefix.
STIR/SHAKEN – odpowiedź na spoofing
W Stanach Zjednoczonych powstała specyfikacja STIR/SHAKEN. Tak, twórcy manipulowali drugim członem tak długo aż powstał akronim nawiązujący do Bonda.
Specyfikacja składa się z dwóch ogniw: Secure Telephone Identity Revised i Signature-based Handling of Asserted information using toKEN.
STIR definiuje proces autoryzacji dopuszczenia nagłówka FROM przez operatora VoIP. Operator weryfikuje nagłówek względem posiadanych przez siebie informacji i nadaje mu klasyfikację: A, B lub C.
A oznacza pełne zaufanie – numer jest faktycznym numerem klienta operatora,
B oznacza częściowe zaufanie – połączenie przychodzi od klienta operatora ale nie może zostać zweryfikowany,
C oznacza że połączenie dotarło z innego węzła (gateway).
STIR i SHAKEN zostały zaimplementowane na poziomie prawnym w Kanadzie w 2021 roku a w Stanach Zjednoczonych w 2023 roku.
Unia Europejska wyraziła zainteresowanie pracami legislacyjnymi, ale w tej chwili nie ma wyraźnych sygnałów kiedy zostaną podjęte dalsze kroki. Jednak niektóre państwa, takie jak Francja i Niemcy, wprowadziły specyfikację sukcesywnie.
A co z SMS-ami – smishingiem?
Nie ma złych pytań i to jest całkowicie zasadne. Tutaj jest całkowicie podobnie.
Komunikacja poprzez SMS realizowana jest przez SMSC . SMS Center – właściwą dla danego operatora usługę pozwalającą na przyjmowanie, przesyłanie, tymczasowe zatrzymywanie i analizę komunikacji SMS.
SMSC wymieniają się informacjami pomiędzy operatorami i ufają sobie wzajemnie. Jeżeli jedno z nich jest podatne na podawanie dowolnych nagłówków, istnieje ryzyko nieautoryzowanej ingerencji w wiadomość. Analogicznie jak w przypadku połączeń telefonicznych istnieje możliwość ominięcia kodu krajowego. Celem takich prób jest dotarcie do obywateli innego kraju i zaprezentowania im budzącej zaufanie nazwy nadawcy.
Czy legislacja, pozwoli nam zapomnieć o problemie spoofingu?
Niestety nie – SMSy działają nieco inaczej.
Niestety, w przypadku SMS-ów problem jest bardziej skomplikowany niż w przypadku tradycyjnych połączeń telefonicznych. Infrastruktura SMSC różni się między operatorami, regionami i krajami, co utrudnia wprowadzenie globalnych standardów ochrony przed spoofingiem w wiadomościach tekstowych. W przeciwieństwie do systemów telefonicznych, gdzie zaczynają pojawiać się inicjatywy legislacyjne takie jak STIR/SHAKEN, które mają na celu zwalczanie spoofingu w połączeniach, SMS-y nie są jeszcze objęte podobnymi regulacjami.
Czy jest nadzieja walki ze smishingiem?
Najbliższym rozwiązaniem mogącym ograniczyć spoofing w SMS-ach jest rozwijany system RCS (Rich Communication Services). RCS to bardziej zaawansowana wersja SMS, która oferuje funkcje znane z komunikatorów internetowych. Umożliwia czynności takie jak przesyłanie zdjęć wysokiej jakości, filmów, lokalizacji, a także lokalizacji nadawcy. RCS został wdrożony w około 60 krajach i jedną z jego kluczowych funkcji jest wymóg obowiązkowej identyfikacji podmiotu wysyłającego wiadomość. Dzięki temu system ten jest mniej podatny na spoofing, ponieważ tożsamość nadawcy musi być zweryfikowana.
Problem z RCS
Mimo że RCS jest obiecującą technologią, która może ograniczyć spoofing, ma jedną poważną wadę. Ogranicza ona jego skuteczność w walce ze smishingiem (phishingiem za pomocą SMS-ów). RCS działa w oparciu o dane komórkowe, co oznacza, że jeśli użytkownik wyłączy dane mobilne lub znajdzie się w miejscu o słabym zasięgu, system automatycznie przełączy się na tradycyjny SMS.
W takiej sytuacji wszystkie wprowadzone zabezpieczenia związane z identyfikacją nadawcy przestają działać, a komunikacja wraca do mniej bezpiecznego formatu SMS, co ponownie otwiera drzwi dla spoofingu.
Choć system RCS oferuje pewne nadzieje na ograniczenie spoofingu i smishingu, jego zależność od połączenia z Internetem sprawia, że nie jest w pełni skutecznym rozwiązaniem. Dopóki SMS-y będą funkcjonować na obecnych zasadach, spoofing i smishing pozostaną poważnym zagrożeniem dla użytkowników na całym świecie.
Artykuł powstał dzięki wiedzy naszego obserwującego, za co mu bardzo dziękujemy!
