wróć do Faktury i płatności

Fałszywe połączenia telefoniczne od przestępców

Uważaj na VISHING!

Ostatnio jednym ze sposobów oszukiwania klientów banków jest kontakt telefoniczny i próba przekonania ich, że rozmawiają z pracownikiem banku lub inną osobą godną zaufania np.:

  • policjanta
  • doradcę bankowego
  • pracownika działu technicznego lub bezpieczeństwa
  • pośrednika
  • przedstawiciela jednostek państwowych
  • znajomego itp.

Vishing to rodzaj phishingu, którego celem jest pozyskanie poufnych informacji lub nakłonienie ofiary do wykonania określonych czynności, np. zainstalowania aplikacji dającej przestępcom zdalny dostęp do komputera ofiary.

Najpopularniejsze przykłady rozmowy:

  • Dzień dobry, czy potwierdza Pani przelew na kwotę 800 zł dla Pana Dariusza? … Nie? W takim razie musimy szybko go zablokować. Proszę zainstalować aplikację XXX, to pomogę Pani rozwiązać ten problem.
  • Jestem pracownikiem działu technicznego i zajmuję się bezpieczeństwem naszych klientów. Dzwonię do Pani, ponieważ Pani środki, w kwocie 870 zł, zostały zablokowane. Aby je odblokować zadzwonię do Pani za kilka minut i zaloguje się Pani przy mnie na swój rachunek.
  • Witam serdecznie, jestem pracownikiem banku i kontaktuję się z Panem, ponieważ widzę, że z Pana konta 15 minut temu próbowano wykonać transakcję na rachunek XXX, który w naszym systemie znajduje się na czarnej liście. Proszę mi podać swój NIK…

Przestępcy bardzo dobrze potrafią posługiwać się technikami manipulacji. Ponadto w celu uwiarygodnienia kontaktu i uśpienia czujności klienta, potrafią na telefonie ofiary wyświetlić numer telefonu lub nazwę zaufanej instytucji, np. numer infolinii banku klienta. Pozwala na to technika określana jako spoofing numeru telefonu.

Czym jest SPOOFING?

Spoofing to podszywanie się pod inne urządzenie lub innego użytkownika. Może dotyczyć m.in. numeru telefonu, adresu e-mail, IP, nadawcy SMS i innych.

Przestępcy wykorzystują znane sobie technologie, które pozwalają m.in. na:

  • wybór płci osoby dzwoniącej, pochodzenia, akcentu
  • dodawanie efektów dźwiękowych
  • zastosowanie menu głosowego.

Poniżej kilka przykładowych metod socjotechnicznych, jakie mogą wykorzystywać przestępcy:

  • Osoba, która odbiera telefon, informowana jest o rzekomej transakcji na swoim rachunku bankowym, a dzwoniący prosi o potwierdzenie jej wykonania. Oczywiście żadnego obciążenia nie ma, ale zdezorientowana ofiara, myśląc, że ratuje swoje środki, odpowiada na pytania dzwoniącego. Ten tłumaczy, że ma to na celu zidentyfikowanie klienta, a w rzeczywistości zadawane są pytania daleko odbiegające od standardowej weryfikacji, a które mają na celu zdobycie wiedzy pozwalającej przestępcy np. na dostęp do konta ofiary.
  • Ofiara informowana jest, że jej środki są w niebezpieczeństwie i jedynym sposobem ich ochrony jest podanie danych uwierzytelniających do bankowości elektronicznej lub dane karty płatniczej. Jeżeli ofiara je poda, to dopiero teraz środki naprawdę są zagrożone.
  • Osoba dzwoniąca przedstawia się jako doradca kredytowy. Informuje, że zgodnie z rzekomo złożonym w nocy wnioskiem o pożyczkę pieniądze zostały przyznane, należy jednak dokończyć formalności. Ofiara oczywiście żadnego wniosku o kredyt nie składała. Dalej scenariusz jest już mocno zbliżony do poprzednich. Zdenerwowana osoba zaczyna odpowiadać na serię pytań, wierząc, że dzwoniący chce jej pomóc, a w rzeczywistości oszust wchodzi w posiadanie interesujących go danych i kończy rozmowę.
  • Na początku rozmowy oszust może też przedstawić się jako pracownik instytucji państwowej i poprosi rozmówcę o identyfikację. Pomiędzy bardzo standardowymi pytaniami pojawiają się i te mniej oczywiste, na które ofiara często nie zwróci początkowo uwagi. Tym sposobem przestępca może wejść w posiadanie danych wrażliwych.

Przestępcy śledzą rynek i dostosowują swoje działania do obecnych trendów.

Żeby wzmocnić wiarygodność przekazywanych informacji oszust podczas rozmowy będzie posługiwał się fachowym słownictwem np. bankowym. Może również wykorzystać dodatkowe kanały komunikacji, np. wysłać wiadomość e-mail. Nie oznacza to jeszcze, że jest tym, za kogo się podaje. Adres e-mail mógł znaleźć w internecie, jeżeli ktoś wpisał go np. na portalu społecznościowym lub ofiara często adres e-mail podaje sama, a później po prostu o tym nie pamięta.

Scenariuszy jest znacznie więcej, wszystkie one mają cechę wspólną: wpłynięcie na emocje rozmówcy, w celu wprowadzeniu ofiary w stan zmartwienia, zaniepokojenia lub zaciekawienia. Tak, żeby podczas rozmowy była rozkojarzona i mniej uważna. To pozwala oszustom, którzy są osobami sprawnie posługującymi się metodami manipulacji na pozyskanie interesujących ich danych osobowych i/lub finansowych ofiary.

Jaki jest cel oszustów?

Cel jest jeden - zyski finansowe m.in. poprzez pobieranie pożyczki na ofiary (dzięki pozyskaniu danych osobowych), wyprowadzanie pieniędzy bezpośrednio z rachunku klienta czy wykonywanie operacji kartowych.

Jak się chronić?

Należy stosować się do kilku ważnych zasad:

  • Nie podawaj loginu i hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, daty ważności, imienia i nazwiska posiadacza karty) – te informacje są poufne, powinny być tylko w posiadaniu użytkownika i nikt nie ma prawa wymagać ich podania, prawdziwy przedstawiciel banku nigdy o to nie zapyta.
  • Nigdy nie ujawniaj kodów do bankowości internetowej oraz kodów 3D Secure wykorzystywanych do autoryzacji transakcji kartowych w internecie, przychodzących na telefon.
  • Zawsze czytaj treść SMS-ów jakie przychodzą na twój telefon lub komunikatów w aplikacji mobilnej w trakcie połączenia z rzekomym przedstawicielem banku lub innej instytucji. Z ich treści może wynikać, że akceptujesz transakcję, którą przygotowali przestępcy.
  • Jeżeli rozmowa wzbudza jakiekolwiek wątpliwości lub niepokój rozłącz się i odczekaj minimum 30 sekund, a następnie samodzielnie połącz z instytucją, której rzekomy przedstawiciel dzwonił. Koniecznie wybierz oficjalny numer na klawiaturze numerycznej. Nigdy nie oddzwaniaj na wcześniejsze połączenie.
  • Zachowaj zdrowy rozsądek i zimną krew, nawet jeżeli zostałeś się poinformowany o potencjalnym zagrożeniu np. utracie środków. Spokojnie przemyśl, czy środki naprawdę mogą być w niebezpieczeństwie, czy może rozmowa prowadzona jest z oszustem, który dopiero chce wykorzystać sytuację. Dobrym krokiem będzie przerwanie połączenia i ponowne jego zainicjowanie zgodnie z zasadą powyżej.
  • Uważaj - wyświetlony numer telefonu lub nazwa banku nie są gwarancją, że rozmawiasz z prawdziwym przedstawicielem banku.