Bezpieczeństwo

Uważaj na fałszywe połączenia telefoniczne – przestępcy podszywają się pod pracowników banku

24 listopada 2021

Komenda Główna Policji i FinCERT.pl – Bankowe Centrum Cyberbezpieczeństwa ZBP ostrzegają przed próbami oszustw. W ostatnich miesiącach częstym sposobem dokonywania przestępstw na szkodę klientów banków jest wykorzystanie połączeń telefonicznych. Oszuści podszywają się pod pracowników banków lub innej instytucji godnej zaufania (np. policjanta).

Jest to rodzaj phishingu, nazywany vishingiem. Nazwa jest połączeniem słów „voice phishing”, czyli phishing głosowy. Celem oszustwa jest pozyskanie 

  • poufnych informacji (np. login i hasło do bankowości) lub 
  • nakłonienie rozmówcy do wykonania określonych czynności (np. zainstalowania aplikacji do zdalnej obsługi urządzenia).
 
Jak wygląda atak 

Przestępcy bardzo dobrze posługują się technikami manipulacji. Dodatkowo, potrafią podszywać się pod prawdziwe numery telefonów, tak, że gdy do Ciebie zadzwonią wyświetli Ci się numer, który znasz, a nawet nazwa banku czy instytucji. 

 

Spoofing - co to znaczy

Spoofing polega na podszywaniu się pod inne urządzenie lub innego użytkownika, może dotyczyć m.in. numeru telefonu, ale także adresu e-mail, IP, nadawcy SMS i innych. Przestępcy wykorzystują znane sobie technologie, które oprócz podmiany numeru telefonu pozwalają m.in. na:

  • wybór płci osoby dzwoniącej,
  • wybór pochodzenia, 
  • wybór akcentu,
  • dodawanie efektów dźwiękowych
  • zastosowanie menu głosowego.


Oszuści przed wykonaniem połączenia przygotowują się do rozmowy, tak by była ona wiarygodna i uśpiła Twoją czujność. Przede wszystkim dokonują wyboru, za kogo będą się podszywać. Zazwyczaj podają się za:

  • doradców bankowych,
  • dział techniczny lub dział bezpieczeństwa, 
  • pośrednika, 
  • przedstawiciela jednostek państwowych, 
  • znajomego itp..

Tak przygotowany przestępca wykonuje połączenie do ofiary i zgodnie z wcześniej ułożonym scenariuszem rozpoczyna rozmowę. Najgroźniejszą bronią takiego przestępcy jest dobra umiejętność stosowania socjotechniki. Poniżej kilka przykładowych metod socjotechnicznych, jakie mogą wykorzystywać przestępcy. 

 

Osoba, która odbiera telefon, informowana jest o rzekomej transakcji na swoim rachunku bankowym, a dzwoniący prosi o potwierdzenie jej wykonania. Oczywiście żadnego obciążenia nie ma, ale zdezorientowany rozmówca myśli, że ratuje swoje środki i odpowiada na wszystkie pytania, które mają na celu zidentyfikować klienta. W rzeczywistości proces weryfikacyjny tak nie wygląda, a oszust próbuje wyłudzić dane, które dadzą mu dostęp do rachunku bankowego i pieniędzy, które się tam znajdują.  

 

Osoba dzwoniąca przedstawia się jako doradca kredytowy, informuje, że zgodnie z rzekomo złożonym w nocy wnioskiem o pożyczkę pieniądze zostały przyznane, należy jednak dokończyć formalności. Ofiara oczywiście żadnego wniosku o kredyt nie składała. Dalej scenariusz jest już mocno zbliżony do poprzednich. Zdenerwowany rozmówca zaczyna odpowiadać na serię pytań, wierząc, że doradca chce jej pomóc, a w rzeczywistości oszust wchodzi w posiadanie interesujących go danych i kończy rozmowę.

 

Ten zabieg socjotechniczny w początkowej rozmowie podobny jest do tzw. „metody na wnuczka”

 

Ofiara informowana jest, że jej środki są w niebezpieczeństwie i jedynym sposobem ich ochrony jest podanie danych uwierzytelniających do bankowości elektronicznej lub dane karty płatniczej. Jeżeli je poda, to dopiero teraz środki naprawdę są zagrożone.



Zdarzyć się może, że przestępca nie musi nawet uciekać się do kłamstwa o potencjalnej operacji finansowej czy środkach w niebezpieczeństwie. Wystarczy, że na początku rozmowy przedstawi się np. jako pracownik instytucji państwowej i poprosi rozmówcę o identyfikację. Pomiędzy bardzo standardowymi pytaniami pojawiają się i te mniej oczywiste, na które początkowo nie zwraca się uwagi. Tym sposobem przestępca może wejść w posiadanie danych wrażliwych.

Przestępcy śledzą rynek i dostosowują często swoje działania również do obecnych trendów. O możliwości wyłudzeń poprzez połączenia głosowe informował również zbp.pl oraz policja.pl, przy okazji składania przez przedsiębiorców wniosków o subwencje z programu Tarczy Finansowej PFR. 

Komunikat ZBP
Komunikat Policji

Żeby wzmocnić wiarygodność przekazywanych informacji oszust podczas rozmowy będzie posługiwał się fachowym słownictwem np. bankowym. Może również wykorzystać dodatkowe kanały komunikacji, np. wysłać wiadomość e-mail. Nie oznacza to jeszcze, że jest tym, za kogo się podaje. Adres e-mail mógł znaleźć w internecie, jeżeli ktoś wpisał go np. na portalu społecznościowym.


Co dzieje się dalej


Zależy od tego, jakie informacje pozyskał przestępca. Cel jest jeden – zyski finansowe, m.in. poprzez pobieranie pożyczki na ofiary (dzięki pozyskaniu danych osobowych), wyprowadzanie pieniędzy bezpośrednio z rachunku czy wykonywanie operacji kartowych. 


Jak się chronić


Stosuj zasady bezpieczeństwa na co dzień.

  • Nie podawaj loginu i hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, daty ważności, imienia i nazwiska posiadacza karty) – te informacje są poufne, powinny być znane tylko Tobie. My nigdy nie prosimy o podawanie tych danych. 
  • Nigdy nie ujawniaj smsKodów oraz kodów 3D Secure, które służą do autoryzacji transakcji.
  • Zawsze czytaj treść SMS-ów jakie przychodzą na twój telefon lub komunikatów w aplikacji mobilnej, szczególnie w trakcie połączenia z rzekomym przedstawicielem banku lub innej instytucji. Z ich treści może wynikać, że akceptujesz transakcję, którą przygotowali przestępcy,
  • Jeżeli rozmowa wzbudza jakiekolwiek wątpliwości lub niepokój, rozłącz się. Odczekaj minimum 30 sekund, a następnie samodzielnie połącz się z instytucją, której rzekomy przedstawiciel dzwonił. Koniecznie wpisz numer samodzielnie – nie oddzwaniaj na wcześniejsze połączenie.
  • Zachowaj zdrowy rozsądek i zimną krew, nawet jeżeli dostaniesz informację o potencjalnym zagrożeniu np. utrata środków. Spokojnie przemyśl, czy środki naprawdę mogą być w niebezpieczeństwie, czy może rozmowa prowadzona jest z oszustem, który dopiero sytuację chce wykorzystać. 
  • Miej świadomość, że wyświetlony numer telefonu lub nazwa banku nie są gwarancją, że połączenie jest prawdziwe.
  • Zgłoś nam nietypową sytuację, a w sytuacji podejrzenia, że doszło lub mogło dojść do popełnienia przestępstwa, zawiadom również policję.