Spoofing

aneb jak lze poslat SMS z cizího čísla

Dnes odpoledne (5. února 2024) informovala Policie ČR o kampani podvodných SMS vypadajících, jako by byly poslány z čísla tísňové linky 158, kterými se snažili útočníci pod záminkou informací o trestním oznámení přivést příjemce k otevření nebezpečné webové stránky. Policie samozřejmě nikdy takové zprávy z čísla tísňové linky neposílá.

Tato kampaň není ojedinělá. Případů spoofingu v současnosti přibývá. Jak je možné, že někdo pošle SMS z cizího čísla? Nejen to si vysvětlíme níže.

Obrázek 1: SMS vypadající jako z čísla 158 ze spoofingové kampaně 5. února 2024

Zdroj: Policie ČR, https://x.com/PolicieCZ/status/1887162984071365050/photo/1

Jak to funguje?

Telefonní čísla lze "falšovat" pomocí zranitelností v telekomunikačních sítích, zejména u starších technologií. Ve skutečnosti se SMS jenom tváří, že jsou poslána z daného čísla, ale ve skutečnosti jsou poslány odjinud.

Mezi nejčastější způsoby, které útočníci k podvržení telefonních čísel používají, patří využívání VoIP služeb, manipulace protokolu SS7, SIM swapping a  speciální software.

Zneužití VoIP služeb

Služba Voice over IP neprobíhá přes telefonní síť ale po internetu. U některých poskytovatelů tohoto protokolu není komplikované nastavit si libovolné odchozí číslo. Pozornější člověk však dokáže tento způsob v přijaté zprávě poznat, protože je tento protokol u SMS uveden.

Manipulace protokolu SS7

Tento způsob je komplikovanější a využívají ho hackeři spíš v sofistikovaných cílených útocích.

Protokol SS7 spojuje mobilní operátory po světě. Pomocí něj operátoři směřují SMS a telefonní hovory mezi sítěmi. Tento protokol neověřuje důkladně identitu připojených zařízení. Útočník, který získá přístup do tohoto systému, může přesměrovávat a odposlouchávat hovory i SMS a falšovat telefonní čísla. Potom může provádět i spoustu dalších druhů útoků, např. Man-in-the-Middle Attack.

SIM swapping

Tato metoda bývá zaměřena na konkrétní oběť. Jde o vytvoření nové SIM karty na dané telefonní číslo. Útočník tedy musí přesvědčit mobilního operátora, že je skutečným majitelem daného telefonního čísla. Většinou se k tomu využívá sociálního inženýrství.

Jak se spoofingu bránit?

Nevěřte číslům, která se zobrazují na displeji

Neposkytujte citlivé informace po telefonu

Ověřujte si informace přímo u instituce (např. zavolejte zpět na oficiální číslo banky)

Používejte aplikace na filtrování hovorů (Truecaller, Hiya apod.)

Nahlašujte podezřelé hovory a SMS operátorovi nebo policii