TELEFONIA · CYBERBEZPIECZEŃSTWO · FAŁSZOWANIE NUMERU
Spoofing — fałszowanie numeru wyświetlanego rozmówcy (Caller ID Spoofing)
Technika fałszowania numeru CallerID wyświetlanego osobie odbierającej połączenie — używana zarówno legitymnie (multi-site PBX, ochrona prywatności agenta) jak i przestępczo (vishing, oszustwa „na wnuczka”). W 2024 r. UKE wprowadziło regulacje przeciwko spoofingowi w PL.
Definicja
Spoofing to celowe fałszowanie informacji o numerze dzwoniącego (CallerID) wyświetlanej osobie odbierającej połączenie — może mieć cele legitymne (firma) lub przestępcze (oszustwa telefoniczne).
Jak Spoofing działa w praktyce
Legitymne zastosowania spoofing: firma multi-site chce wyświetlać jeden główny numer centrali zamiast lokalnych numerów oddziałów (UX dla klienta — zawsze ten sam numer w bazie), ochrona prywatności agenta (klient nie widzi prywatnego numeru pracownika tylko firmowy), kampanie marketingowe z dedykowanymi numerami dla różnych źródeł (tracking konwersji per kampania).
Nielegalne zastosowania (vishing): oszustwa „na wnuczka”, „na policjanta”, „na bank” — przestępca fałszuje numer policji, banku, urzędu. Ofiara widzi legitymny numer (np. 800 numer banku Pekao), odbiera, słyszy „policjanta” który prosi o przelew. Według statystyk KGP w 2024 r. straty z vishingu w PL przekroczyły 800 mln zł, większość operacji prowadzona z zagranicy.
Regulacje UKE 2024: operatorzy telekomunikacyjni w PL od stycznia 2024 r. mają obowiązek blokować połączenia z fałszywym numerem alarmowym/urzędowym (112, numery policji, banków). Implementacja: STIR/SHAKEN — protokół podpisujący kryptograficznie każde połączenie. Operator weryfikuje czy numer dzwoniącego jest legitimnie powiązany z infrastrukturą operatora źródłowego. Niezgodne — blokowane na poziomie operatora.
Co firma legalnie używająca spoofing powinna wiedzieć: operator musi mieć autoryzację do wyświetlania danego CallerID (kontrakt z właścicielem numeru), STIR/SHAKEN compliance — autoryzowany numer jest podpisany kryptograficznie i przechodzi przez filtry, display name może być firmowy (zamiast tylko numeru — np. „Debesis Sp z o.o.”), port-out protection — wybór numeru który nie zostanie nielegalnie portowany przez przestępcę.
Benchmark branżowy
| Poziom | Wartość | Komentarz |
|---|---|---|
| Straty vishingu PL 2024 | 800+ mln zł | Według statystyk KGP |
| Czas wdrożenia STIR/SHAKEN | 2024 | Obowiązek dla wszystkich operatorów PL |
| Skuteczność blokad | 75-85% | Po wdrożeniu STIR/SHAKEN w PL |
| Koszt podpisanego numeru | Bez zmian | Operator zapewnia w abonamencie |
Jak Debesis obsługuje legitymne CallerID
Debesis jako licencjonowany operator VoIP w Polsce zapewnia legalne CallerID personalization — Twoje kampanie outbound wyświetlają jeden numer firmowy niezależnie od tego z którego numeru fizycznie dzwoni agent. Wszystkie nasze numery są podpisane kryptograficznie zgodnie z STIR/SHAKEN — Twoje połączenia nie są blokowane jako podejrzane. Możesz wyświetlać display name Twojej firmy zamiast samego numeru (większy connect rate). Pełna zgodność z regulacjami UKE.
Zobacz operatora VoIP z STIR/SHAKEN →Najczęstsze pytania
Czy mogę legalnie zmienić wyświetlany CallerID?
Tak, w określonych warunkach. Operator musi mieć autoryzację do tego numeru (zwykle kontrakt z Tobą jako właścicielem). Zmiana w celach business (jeden numer firmowy dla całego call center) jest legalna. Wyświetlanie numeru który nie należy do Ciebie (numer banku, urzędu, czyjegoś numeru prywatnego) jest nielegalne — kara do 50 000 zł + odpowiedzialność karna w przypadku oszustwa.
Co to jest STIR/SHAKEN?
Protokoły kryptograficzne podpisujące każde połączenie. Operator źródłowy podpisuje numer, operator docelowy weryfikuje podpis. Niepodpisane lub fałszywie podpisane — blokowane. STIR=Secure Telephony Identity Revisited, SHAKEN=Signature-based Handling of Asserted information using toKENs. Wdrożone w PL od 2024 r. obowiązkowo.
Jak chronić klientów przed vishingiem podszywającym się pod naszą firmę?
Kluczowe: wybierz operatora z STIR/SHAKEN (Twoje legitymne połączenia nie wyglądają podejrzanie), komunikuj klientom oficjalne numery (na stronie, w e-mailach), edukuj klientów że nigdy nie prosicie o hasła/PINy przez telefon, monitoruj market czy ktoś nie podszywa się pod Twój numer (operatorzy mają tools detekcji).