Nieustannie jesteśmy odbiorcami połączeń telefonicznych, w ramach których rzekomy konsultant banku informuje nas, że ktoś w naszym imieniu złożył wniosek kredytowy lub że na naszym rachunku bankowym pojawiły się niezidentyfikowane obciążenia. Niejednokrotnie zdarza się również, że ta sama osoba wymaga od nas podania danych osobowych (najczęściej numeru PESEL) w celu dokonania weryfikacji albo informuje o konieczności zainstalowania dedykowanej aplikacji, za pośrednictwem której przeprowadzi nas przez czynności zgodne z obowiązującymi procedurami. Jak zatem zachować zasady bezpieczeństwa i nie dać się oszukać przestępcom?
Czym jest spoofing telefoniczny?
Spoofing telefoniczny to technika oszustwa, w której przestępcy podszywają się pod pracowników zaufanych instytucji, takich jak bank, policja, urząd czy operator telekomunikacyjny. Ich celem jest najpierw wzbudzenie naszego zaufania, a następnie wyłudzenie danych osobowych, danych logowania lub pieniędzy. Chociaż technicznie połączenie pochodzi z zupełnie innego miejsca, specjalne narzędzia umożliwiają oszustom manipulację numerem, który pojawi się u odbiorcy. Dzięki temu rozmówca zyskuje wiarygodność, a ofiara nie podejrzewa oszustwa – zwłaszcza gdy numer rzeczywiście należy do znanej instytucji. To właśnie dlatego numer wyświetlający się na telefonie nie zawsze jest dowodem na to, kto dzwoni.
Socjotechnika oszustów.
Przestępcy są zazwyczaj bardzo dobrze przygotowani do prowadzenia rozmów. Doskonale wiedzą, jakie pytania może zadać odbiorca połączenia, w jaki sposób wiarygodnie na nie odpowiedzieć, jaki ton głosu utrzymywać przez całą rozmowę oraz jak przeprowadzić potencjalne ofiary przez spreparowane na potrzeby spoofingu procedury – szczególnie wtedy, gdy rozmowa prowadzona jest w szybkim tempie. Bardzo często dochodzi do sytuacji, w których pierwszy telefon jest wykonywany przez jedną osobę, która informuje nas o próbie wyłudzenia środków, natomiast po chwili dostajemy kolejny telefon, którego rozmowę prowadzi osoba podszywająca się np. pod funkcjonariusza policji.
Propozycja zainwestowania środków pieniężnych.
Coraz częściej dzwoniący wykorzystują chęć szybkiego wzrostu posiadanych środków w ramach produktów bankowych i oferują łatwą oraz wygodną metodę pomnażania pieniędzy. Metody są różne. Zdarza się, że przestępcy nie wzbudzają podejrzeń po dokonaniu pierwszej wpłaty, dzięki czemu ofiary decydują się na kolejne. Po uzbieraniu większej sumy na fałszywym rachunku oszuści znikają, a kontakt z konsultantem się urywa.
W jaki sposób przestępcy uzyskują nasz numer telefonu?
Niejednokrotnie zdarza się, że nasze numery telefonów wyciekają podczas ataków hakerskich na sklepy internetowe, w których dokonywaliśmy zakupów, biblioteki czy instytucje publiczne. W ich następstwie nasze dane mogą trafić na dedykowane portale, gdzie są sprzedawane jako część większych baz danych. Ponadto ryzyko stania się ofiarą takiego ataku wzrasta w sytuacji, gdy sami publikujemy swój numer telefonu – na przykład na stronie internetowej, w ogłoszeniach lub w mediach społecznościowych.
Jak uchronić się przed tego rodzaju atakiem?
Oto kilka zasad, o których należy pamiętać podczas rozmowy z rzekomym konsultantem banku:
- pracownik banku nigdy nie poprosi nas o pobranie aplikacji z zewnętrznego linku, takiej jak TeamViewer czy AnyDesk, która umożliwia zdalny dostęp do komputera lub telefonu. Bank nie przeprowadza klientów przez procedury wymagające zdalnego sterowania urządzeniem;
- przedstawiciel banku nie ma prawa żądać od nas podania danych logowania, takich jak login, hasło do bankowości elektronicznej lub mobilnej, ani też numeru karty kredytowej lub debetowej;
- otrzymując połączenie z podejrzanego numeru, nigdy nie przekazujmy swojego numeru PESEL, numeru dowodu osobistego ani innych danych wrażliwych;
- na polecenie konsultanta nigdy nie przekazujmy przelewu na tzw. „rachunek techniczny” oraz nie przekazujmy kodów BLIK ani innych jednorazowych kodów autoryzacyjnych.
W jaki sposób dokonać weryfikacji pracownika banku?
Coraz więcej banków wprowadza możliwość weryfikacji dzwoniącego konsultanta za pośrednictwem aplikacji mobilnej. Co to oznacza? Podczas rozmowy z konsultantem prosimy go o podanie imienia, nazwiska oraz miasta, z którego dzwoni. W tym samym czasie w aplikacji mobilnej pojawia się powiadomienie push z informacją o prowadzonej rozmowie.
Jeżeli nadal nie jesteśmy przekonani do tej metody, możemy rozłączyć się i wykonać połączenie bezpośrednio z aplikacji mobilnej banku. Wówczas mamy pewność, że zostaniemy połączeni z uprawnionym pracownikiem. Jeśli nie posiadamy aplikacji mobilnej banku, najlepiej jest po prostu rozłączyć połączenie i oddzwonić na numer infolinii podany na oficjalnej stronie internetowej banku.
Gdzie zgłaszać próby wyłudzenia danych osobowych lub środków pieniężnych?
W pierwszej kolejności należy skontaktować się z bankiem, w którym mamy ulokowane środki.Jeżeli z historii transakcji wynika, że doszło do nieautoryzowanego pobrania pieniędzy, należy niezwłocznie zablokować przypisane do rachunku karty debetowe lub kredytowe oraz zmienić hasło do bankowości elektronicznej. Następnie sprawę należy zgłosić na policję oraz do CERT Polska – instytucji odpowiedzialnej za reagowanie na incydenty związane z bezpieczeństwem komputerowym i cyberprzestępczością.