Voice phishing. Kolejne oszustwo, które zagraża naszym finansom

Dzień Bezpiecznego Internetu, który obchodziliśmy we wtorek nie powinien być jedynym momentem, w którym na poważnie porusza się temat naszego bezpieczeństwa w sieci. Pamięta o tym CSIRT KNF, który szczegółowo przyjrzał się problemowi voice phishingu (vishing).

Voice phishing w odróżnieniu od „klasycznego” phishingu różni się tym, że w tym pierwszym przypadku przestępcy kontaktują się z potencjalnymi ofiarami nie poprzez wiadomość SMS, w której namawiają do kliknięcia w dany link, ale poprzez bezpośrednie zadzwonienie do nich.  

Co ciekawe, w przypadku voice phishingu mamy do czynienia z wykorzystaniem jeszcze jednego zjawiska, o którym wielokrotnie informowaliśmy na łamach CyberDefence24. Mianowicie chodzi o spoofing, czyli podszywanie się pod instytucje publiczne, takie jak np. banki, policja. Warto w tym miejscu wspomnieć, że vishingiem może być także podawanie się za znajomego czy członka rodziny, który rzekomo uległ wypadkowi i potrzebuje nagłej pomocy.

Oszuści i ich plan działania

W przypadku voice phishingu przestępcy działają według określonego schematu. Jak podkreślają eksperci CSIRT KNF, po nawiązaniu połączenia telefonicznego i po przedstawieniu się jako przedstawiciel banku, oszust wysyła na numer ofiary SMS, który rzekomo ma posłużyć jako potwierdzenie jego tożsamości.

Po pierwszym uśpieniu czujności, osoba odbierająca telefon jest informowana o tym, że bank podjął działania, których celem jest uchronienie jej oszczędności przed możliwą kradzieżą. „Klient” namawiany jest do instalacji programu służącego do zdalnego zarządzania pulpitem, a później o zalogowanie do bankowości elektronicznej. Wykonanie tych dwóch poleceń sprawia, że przestępcy zyskują możliwość pobrania środków lub zaciągnięcia kredytu na dane ofiary.

Ograniczone zaufanie

Przed vishingiem możemy się obronić. Aby to zrobić warto przyswoić kilka podstawowych zasad. Pamiętajmy – pracownicy banku nie będą nas prosić o podanie numeru dowodu, PESEL czy login i hasło do bankowości internetowej. Również wszelka forma nakłaniania nas do zrealizowania przelewu czy instalacji określonej aplikacji powinna budzić nasze wątpliwości.

Nie zapominajmy o mechanizmach socjotechniki stosowanych przez oszustów. Każda forma wzbudzania w nas emocji czy zmuszania do podejmowania decyzji pod presją czasu powinna zapalać w naszej głowie „lampkę” ostrzegawczą.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].