2 komentarze
- Witam. Z tej strony Jerzy Nowak z obsługi technicznej Banku ABC. Z wielką przykrością informuję, że nasz system odnotował trzy podejrzane operacje na Pańskim koncie i z tego powodu byliśmy zmuszeni do blokady rachunku. Proszę o pilny kontakt z naszym działem bezpieczeństwa na numer telefonu 800-XXX-XXX. Podczas rozmowy konieczna będzie weryfikacji Pana tożsamości, dlatego zostanie Pan poproszony o następujące dane: numer PESEL, numer konta oraz dane do logowania. Zalecam pośpiech, bo sytuacja wygląda dość groźnie.
Jeśli kiedykolwiek usłyszysz w słuchawce taką wiadomość, wiedz, że właśnie padłeś ofiarą vishingu.
Czym jest vishing?
Vishing (zwany również voice phishingiem) to nielegalna technika umożliwiająca pozyskanie poufnych informacji z wykorzystaniem telefonu. Przestępca – najczęściej podszywający się pod pracownika banku lub przedstawiciela poważnej instytucji (policjanta, prokuratora, pracownika firmy informatycznej pracującej dla banku) - podczas rozmowy telefonicznej z klientem nakłania go do ujawnienia istotnych danych związanych z rachunkiem bankowym lub kartą płatniczą, a następnie wykorzystuje te informacje do kradzieży pieniędzy z konta.
Warto jednak wiedzieć, że vishing może przybrać także inne formy, mniej oczywiste dla pechowych klientów. Najczęściej są to wielostopniowe oszustwa, które mogą zaczynać się w niewinny sposób, np. od wysłanego przez „bank” sms-a z prośbą o pilny kontakt telefoniczny. W innych przypadkach przestępcy korzystają z automatycznego programu, który sam telefonuje do wybranych osób i podaje informacje, które mają przekonać klientów do ujawnienia poufnych danych. Bywa też, że przestępcy proszą o przelew środków na tymczasowe konto techniczne, wmawiając rozmówcy, że system banku został zainfekowany wirusem i konieczna była blokada wszystkich rachunków. Oczywiście, jeśli klient spełni to żądanie, na zawsze może się pożegnać z oszczędnościami życia.
Sztuczki socjotechniczne
Podczas rozmowy przestępcy stosują rozmaite sztuczki, które z jednej strony mają uwiarygodnić całą sytuację, z drugiej - wzbudzić u rozmówcy lęk i obawę. Najczęściej dzwoniący rozpoczyna od informacji, których możesz oczekiwać od prawdziwego pracownika banku – zna Twoje imię i nazwisko, adres zamieszkania, numer telefonu, niekiedy także PESEL i numer rachunku. Mając takie dane może z powodzeniem udawać konsultanta i już na wstępie uśpić Twoją czujność.
Wszystkie te informacje są zdobywane na etapie przygotowywania ataku. Dane teleadresowe są wykradane z systemów informatycznych banków, niekiedy kupowane od firm zewnętrznych lub zdobywane metodą na listonosza. Przypomnijmy, że w 2015 r. wyciekły dane 18 tys. dłużników Noble i Getin Banku, zaś w 2017 r. anonimowy sprzedawca wystawił na polskim forum w Torze rekordy klientów czterech polskich banków. Warto więc mieć świadomość, że poufne dane na nasz temat mogą swobodnie krążyć po Internecie i figurować w podejrzanych bazach danych.
Nacisk psychologiczny
Podczas rozmowy oszust może używać kategorycznych lub niezrozumiałych zwrotów i celowo wyolbrzymiać skalę zagrożenia. Wszystko po to, aby odebrać Ci czas do refleksji i zmusić do natychmiastowego działania. Warto w tym miejscu przytoczyć autentyczny zapis rozmowy z przestępcą, który na początku stycznia 2018 r. próbował zmanipulować klienta jednego z polskich banków:
- Proszę Pana, zakładamy blokadę prokuratorską na okres 30 dni do wyjaśnienia śledztwa i nie ma Pan dostępu do rachunku. Czy zakładamy, proszę Pana, blokadę zwykłą, zwyczajną, bankową do 16 dni? (...) Chodzi o to, że cokolwiek się stanie z Państwa rachunkiem bankowym, otrzymacie świadczenia - te, które znikły z Państwa rachunku bankowego, więc cała suma pieniędzy wróci na konto.
Oczywiście, aby tak się stało, ofiara musiała wpierw podać dane wrażliwe konta w celu potwierdzenia swojej tożsamości.
Groźnie brzmiące i niezrozumiałe dla laika określenia (blokada prokuratorska, blokada bankowa) połączone z dość mętnymi wywodami o odzyskaniu pieniędzy i sugestią, że klient na czas śledztwa zostanie odcięty od środków na koncie – miały spotęgować poczucie zagrożenia i przekonać ofiarę do podjęcia natychmiastowych środków zaradczych.
Dodajmy jeszcze, że przestępca był na tyle wiarygodny, że zdołał uzyskać część informacji. Na szczęście, w pewnym momencie ofiara nabrała podejrzeń, zakończyła rozmowę i skontaktowała się infolinią „prawdziwego” banku.
Technika „stopy w drzwiach”
Ta - często stosowana przez oszustów - metoda ataku składa się z kilku etapów i polega na stopniowym proszeniu o coraz bardziej istotne i poufne informacje. Z reguły rozpoczyna się od telefonu lub sms-a z „banku” z prośbą o pilny kontakt z „Działem Obsługi”, „Działem Technicznym”, „Departamentem ds. Bezpieczeństwa Klienta”. Najczęściej klient nie podejrzewa, że dzwoniąc na podany numer telefonu, w rzeczywistości łączy się z przestępcą. W praktyce mechanizm oszustwa przebiega następująco:
Etap I – otrzymujesz sms-a z ostrzeżeniem: Informujemy, że doszło do blokady konta. Dokładamy wszelkich starań, aby Twoje transakcje online były bezpieczne. Natychmiast zadzwoń do naszego Działu Bezpieczeństwa na numer XXX -XXX-XXX.
W tej fazie ataku chodzi przede wszystkim o presję psychiczną. Przestępcy chcą Cię przestraszyć i skłonić do kontaktu.
Etap II – łączysz się z automatyczną centralą telefoniczna „banku” i słyszysz wiarygodnie brzmiący komunikat: - Dziękujemy za kontakt. Twoje połączenie jest dla nas ważne i rejestrujemy je dla celów zapewnienia jakości. Aby skierować cię do odpowiedniego działu, postępuj zgodnie z naszym menu:
Dział reklamacji - naciśnij 1.
Zastrzeganie kartę płatniczych - naciśnij 2.
Dział bezpieczeństwa - naciśnij 3.
W przypadku wszystkich innych pytań - naciśnij 0.
Ten etap ma Cię uspokoić i upewnić, że faktycznie dodzwoniłeś się do banku. Podczas swoich wcześniejszych kontaktów z infolinią wielokrotnie słyszałeś podobny komunikat i wiesz, że automatyczny serwis telefoniczny działa właśnie w taki sposób.
Etap III - naciskasz 3, a bezosobowy głos w słuchawce podaje Ci kolejne instrukcje: - Bezpieczeństwo naszych klientów jest dla nas ważne. Aby przejść dalej, wymagamy uwierzytelnienia tożsamości przed kontynuowaniem. Wpisz swój numer PESEL, a następnie wciśnij krzyżyk.
Także i to żądanie nie wydaje Ci się niczym niezwykłym. Podczas ostatniej rozmowy z konsultantem na temat drobnego opóźnienia w spłacie rat kredytu zostałeś poproszony o podanie numeru PESEL, uważasz więc, że jest to standardowa praktyka w Twoim banku.
Etap IV – właściwy atak. Wpisujesz numer identyfikacyjny i słyszysz następną komendę: - Dziękujemy. Teraz wpisz swój numer rachunku, a następnie wciśnij krzyżyk. Po spełnieniu tej prośby pada ostatnia wytyczna: - Za chwile zostaniesz połączony z Działem Bezpieczeństwa. W celu zakończenia procesu weryfikacji wpisz swój login i hasło i naciśnij krzyżyk.
Robisz to i w słuchawce zapada głucha cisza... Przestępcy właśnie dostali to, czego chcieli.
Jak bronić się przed vishingiem?
Pamiętaj, jeśli nie chcesz, aby Twoje wrażliwe dane trafiły w ręce nieuprawnionych osób, podczas kontaktów telefonicznych inicjowanych przez bank musisz pamiętać o kilku zasadach.
- Autentyczny konsultant banku NIGDY nie zapyta Cię o takie kwestie, jak pełne loginy i hasła do bankowości elektronicznej, PIN, kody weryfikacyjne do kart (CVV), numer i datę ważności karty, kody SMS autoryzujące transakcje, kody QR, aktualny odczyt z tokena czy dodatkowe hasło wymagane dla niektórych kart w procesie weryfikacji 3D Secure. Większość tych informacji (np. hasła i PIN-y) jest przechowywana w systemie banku w zaszyfrowanej postaci i pracownicy nie mają do nich dostępu.
- Może się jednak zdarzyć, że w trakcie rozmowy zostaniesz poproszony o podanie numeru PESEL, nazwiska panieńskiego matki, a nawet część loginu. Konsultant może też zapytać, czy masz jakąś lokatę lub kredyt (jednak nie ma prawa pytać o wysokość zobowiązania). Jeśli będziesz miał choć cień wątpliwości, czy rzeczywiście rozmawiasz z przedstawicielem instytucji finansowej - przerwij rozmowę, zadzwoń na infolinię i potwierdź, czy osoba o danym imieniu i nazwisku rzeczywiście tam pracuje.
- Jednak aby sprawdzenie miało sens, musisz mieć pewność, że faktycznie dodzwoniłeś się do banku. Co sprytniejsi przestępcy potrafią przy użyciu hakerskiego triku - tzw. caller ID spoofing - zmienić numer telefonu, z którego wykonują połączenie, tak aby rozmówcy wyświetlił się identyfikator banku. Reasumując – możesz być przekonany, że rozmawiasz z infolinią, tymczasem prowadzisz rozmowę z przestępcą. Aby uniknąć takiej sytuacji, połącz się z bankiem za pomocą innego aparatu niż ten, na którym odebrałeś pierwsze połączenie.
- NIGDY nie oddzwaniaj na nieznany numer. Nietrudno jest tak zorganizować oszustwo, by pod podanym przez przestępcę telefonem dyżurował wspólnik podszywający się pod konsultanta lub włączyła się automatyczna centrala telefoniczna „banku”.
Podsumowanie
Często zdarza się, że pracownicy banków dzwonią do nas w różnych sprawach i w ramach identyfikacji klienta proszą o podanie niektórych danych. Tymczasem my mamy raczej nikłe szanse, by sprawdzić, kim naprawdę jest osoba dzwoniąca. Ponadto wielu pracowników banku często wykonuje telefony z zastrzeżonych numerów, co jeszcze bardziej utrudnia ich weryfikację.
Dlatego podczas inicjowanego przez bank kontaktu zachowajmy elementarną czujność. Jeśli tematem rozmowy będą „niespodziewane problemy z kontem”, a rozmówca będzie nas zachęcał do ujawnienia poufnych danych, najprawdopodobniej staliśmy się obiektem ataku oszustów. Pamiętajmy - bank nigdy nie zadaje pewnych pytań, na które odpowiedź zna tylko klient. Nie pyta o login i hasło dostępu do konta, nie żąda podania PIN-u ani wrażliwych danych karty. Banki same przypominają o tym fakcie na swoich stronach i uczulają na takie sytuacje.
Szkoda jednak, że w ramach troski o dobro klienta nie wdrażają procedur, które mogłyby znacznie utrudnić życie przestępcom. Wystarczyłoby np. poprosić nowych klientów, aby przy podpisywaniu umowy o dany produkt (rachunek, lokatę, kredyt, kartę kredytową) wpisali hasło pozwalające na identyfikację konsultanta podczas rozmowy telefonicznej. Niestety, choć banki bardzo wnikliwie weryfikują naszą tożsamość, same nie ułatwiają nam weryfikacji tożsamości swoich pracowników.
Ten brak symetrii w relacjach bank – klient stał się tematem listu, napisanego przez klientkę jednego z angielskich banków. Choć list najprawdopodobniej jest jedynie żartem, dobrze pokazuje, jak skomplikowane, nieprzyjazne i uciążliwe są dla klientów telefoniczne formy kontaktu z bankiem, warto więc na zakończenie zacytować jego fragment:
- Szanowni państwo! Do niniejszej wiadomości załączam aplikację do kontaktu ze mną, którą musi wypełnić wasz pracownik chcący do mnie zadzwonić. Przykro mi, że zawiera ona aż 8 stron, ale muszę wiedzieć o nim przynajmniej tyle, ile bank wie o mnie. (...) Wasz pracownik będzie też zobligowany do posiadania numeru PIN, który będzie musiał podawać podczas rozmów ze mną. Naprawdę żałuję, że nie może mieć mniej niż 28 cyfr, ale, ponownie, wzoruję się tutaj na liczbie naciśnięć przycisków wymaganej do dostępu do moich usług bankowych przez telefon. (….) Niestety, muszę pobierać od was opłaty, związane z pokryciem nowej funkcjonalności zintegrowanej w moim telefonie. Na osłodę możecie sobie posłuchać relaksującej muzyki, która będzie grała podczas trwania połączenia.
Niestety, dopóki instytucje finansowe nie udostępnią nam narzędzi pozwalających na sprawdzenie tożsamości rozmówcy i gwarantujących, że naprawdę rozmawiamy z pracownikiem banku, jedynym sposobem, by skutecznie obronić się przed vishingiem, jest nasza rozwaga i zdrowy rozsądek.
Komentarze
(2)Przeczytałem, uśmiałem się i zastosuję w praktyce. Jak znowu zadzwonią do mnie z propozycją pożyczki, to będą musieli udowodnić, że pracują w banku. Ciekawe, co powiedzą
Odpowiedz
Taka instrukcja jak wyżej, powinna byc zawsze przekazywana nowym klientom ustnie przez pracownika banku. Wiele osób niestety łatwo da się nabrać, ponieważ człowiek z natury jest ufny. Dopiero jakaś negatywna sytuacja która go spotyka, zmienia podejście do innego człowieka, co jednak nie jest ogólnie niczym dobrym.
Odpowiedz