Komenda Główna Policji, Związek Banków Polskich oraz Polska Izba Informatyki i Telekomunikacji wydała ostrzeżenie dotyczące fałszywych połączeń telefonicznych. Powód? Przestępcy podszywają się pod banki.
W ostatnich miesiącach częstym sposobem dokonywania przestępstw na szkodę klientów banków jest wykorzystanie telefonicznego połączenia głosowego z osobą, która jest przekonywana, że rozmawia z pracownikiem banku lub inną osobą godną zaufania (np. policjantem) - czytamy w komunikacie wydanym przez KGP oraz instytucje.
To rodzaj phishingu, nazywany vishingiem. Nazwa jest połączeniem słów „voice phishing”, czyli phishing głosowy. Jego celem jest pozyskanie poufnych informacji lub nakłonienie ofiary do wykonania określonych czynności (np. zainstalowania aplikacji, która da przestępcom zdalny dostęp do komputera ofiary).
Przestępcy potrafią posługiwać się technikami manipulacji, by uwiarygodnić próbę kontaktu - np. sprawić, że na wyświetlaczu telefonu pojawi się numer telefonu lub nazwa zaufanej instytucji (np. banku).
Oszuści przed wykonaniem połączenia przygotowują się do rozmowy, tak by była wiarygodna i uśpiła czujność klienta. Podszywają się na przykład pod doradców bankowych, dział techniczny lub bezpieczeństwa, pośrednika, przedstawiciela jednostek państwowych, znajomego itp.
Następnie przestępca wybiera numer telefonu z jakiego wykona połączenie, co skutkuje wyświetleniem na telefonie ofiary innego numeru telefonu lub nazwy kontaktu niż w rzeczywistości np. na telefonie klienta wyświetli się numer infolinii jego banku. Pozwala na to technika określana jako spoofing numeru telefonu.
Czym jest spoofing?
Spoofing polega na podszywaniu się pod inne urządzenie lub innego użytkownika, może dotyczyć m.in. numeru telefonu, ale także adresu e-mail, IP, nadawcy SMS i innych.
Przestępcy wykorzystują znane sobie technologie, które oprócz podmiany numeru telefonu pozwalają m.in. na: wybór płci osoby dzwoniącej, wybór pochodzenia, wybór akcentu, dodawanie efektów dźwiękowych, zastosowanie menu głosowego.
Uwaga na socjotechnikę
Najgroźniejszą bronią przestępcy jest także dobra umiejętność stosowania socjotechniki. Przestępcy śledzą rynek i dostosowują często swoje działania do obecnych trendów.
Żeby wzmocnić wiarygodność przekazywanych informacji oszust podczas rozmowy będzie posługiwał się fachowym słownictwem np. bankowym. Może również wykorzystać dodatkowe kanały komunikacji, np. wysłać wiadomość e-mail. Nie oznacza to, że jest tym, za kogo się podaje. Adres e-mail mógł znaleźć w internecie, jeżeli ktoś wpisał go np. na portalu społecznościowym lub ofiara często adres e-mail podaje sama, a później po prostu o tym nie pamięta - przypominają instytucje w oficjalnym komunikacie.
Scenariuszy jest znacznie więcej, wszystkie one mają cechę wspólną: wpłynięcie na emocje rozmówcy, w celu wprowadzenia ofiary w stan zmartwienia, zaniepokojenia lub zaciekawienia.
Co dzieje się dalej? Zależy od tego, jakie informacje pozyskał przestępca. Cel jest jeden – zyski finansowe, m.in. poprzez pobieranie pożyczki na ofiary (dzięki pozyskaniu danych osobowych), wyprowadzanie pieniędzy bezpośrednio z rachunku klienta czy wykonywanie operacji kartowych.
Jak się chronić?
Należy stosować się do kilku ważnych zasad:
- Nie podawaj loginu i hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, daty ważności, imienia i nazwiska posiadacza karty) – te informacje są poufne, powinny być tylko w posiadaniu użytkownika i nikt nie ma prawa wymagać ich podania, prawdziwy przedstawiciel banku nigdy o to nie zapyta,
nigdy nie ujawniaj kodów do bankowości internetowej oraz kodów 3D Secure wykorzystywanych do autoryzacji transakcji kartowych w internecie; przychodzących na telefon, - Zawsze czytaj treść SMS-ów jakie przychodzą na twój telefon lub komunikatów w aplikacji mobilnej w trakcie połączenia z rzekomym przedstawicielem banku lub innej instytucji. Z ich treści może wynikać, iż akceptujesz transakcję, którą przygotowali przestępcy;
- Jeżeli rozmowa wzbudza jakiekolwiek wątpliwości lub niepokój, należy rozłączyć się, odczekać minimum 30 sekund, a następnie samodzielnie połączyć z instytucją, której rzekomy przedstawiciel dzwonił, koniecznie wybierając oficjalny numer na klawiaturze numerycznej, a nie oddzwaniając na wcześniejsze połączenie
zachować zdrowy rozsądek i zimną krew, nawet jeżeli zostało się poinformowanym o potencjalnym zagrożeniu np. utrata środków. - Należy spokojnie przemyśleć, czy środki naprawdę mogą być w niebezpieczeństwie, czy może rozmowa prowadzona jest z oszustem, który dopiero sytuację chce wykorzystać. Dobrym krokiem będzie przerwanie połączenia i ponowne jego zainicjowanie zgodnie z zasadą powyżej.
- Należy zawsze mieć świadomość, że wyświetlony numer telefonu lub nazwa banku nie są gwarancją, że rozmawiamy z prawdziwym przedstawicielem banku.
- Każdy klient banku powinien pamiętać, że każdorazowo ma prawo zgłosić nietypową sytuację do banku, a w sytuacji podejrzenia, że doszło lub mogło dojść do popełnienia przestępstwa, również zawiadomić policję.
Czytaj także: #CyberMagazyn: Phishing. Co zrobić, gdy złapaliśmy się na przynętę cyberprzestępców?
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.