Słówko „vishing” robi wielką karierę i to nie jest dobra wiadomość. Dlaczego? Wyjaśniają policjanci

Czym jest vishing?

Angielskie słowa nie znajdują polskiego odpowiednika dość szybko. Stąd też, ze względu na wygodę komunikowania, powszechnie stosowane są właśnie angielskie nazwy. Jeśli więc powiemy, że „vishing to odmiana phishingu”  nadal niewielu będzie rozumiało sens wyróżnienia tego problemu.

Tymczasem skala zjawiska jest ogromna i wielu gorliczan było już na celowniku oszustów wykorzystujących tę metodę.

Najprościej rzecz ujmując, chodzi o fałszywe połączenia telefoniczne, w czasie których przestępcy podszywają się pod pracowników banków. W czasie rozmowy telefonicznej, a więc w czasie połączenia głosowego (ang. voice - głos, voice phishing  - phishing głosowy, stąd określenie vishing), oszuści starają się przedstawić jako pracownicy banku bądź inna, godna zaufania osoba (np. przedstawiciel policji).

Cała rozmowa prowadzona w czasie ataku vishingowego jest nakierowana na uzyskanie od potencjalnego ofiary poufnych danych (np. dane karty kredytowej, dane logowania do naszego konta bankowego), bądź zachęcenia nas do wykonania określonych czynności, które narażą nas na utratę środków zgromadzonych na koncie obsługiwanym przez internet (najczęściej chodzi tu o nakłanianie nas do zainstalowania konkretnej aplikacji, która ma nas teoretycznie chronić, a faktycznie służy do śledzenia naszej aktywności i wykradania danych z urządzeń mobilnych).

Jakie sztuczki są stosowane najczęściej?

Policjanci podkreślają, że przestępcy są znakomicie przeszkoleni w zakresie technik manipulacyjnych i potrafią doskonale korzystać z różnych zagrywek psychologicznych, by wzmóc nasze zaufanie. Bardzo często bazują na wzmocnieniu naszego poczucia zagrożenia i podkreślają konieczność podjęcia bardzo szybkich kroków w celu ochronienia środków zgromadzonych na naszym koncie.

Co więcej, dobrze przygotowani przestępcy potrafią uwiarygodnić się w oczach oszukiwanej osoby także poprzez manipulację technologiczną (spoofing). Jest to dodatkowy element oszustwa oznaczający podszywanie się pod inne urządzenia bądź innych użytkowników (znane są m.in. sytuacje zmiany numeru telefonu, zmiany adresu e-mail, podszywanie się pod numer IP komputera innego podmiotu i inne. Wykonane telefony pochodzące od oszustów mogą się wyświetlać na telefonie ofiary jako rzeczywiście istniejące numery telefonów i nazwy instytucji rzeczywiście istniejącej, zajmującej się konkretnymi sprawami (np. w czasie połączenia z oszustem, wyświetlacz telefonu pokazuje numer naszego banku, tak, jakby połączenie rzeczywiście pochodziło z tej instytucji).

Najczęściej oszuści podają się za doradców bankowych, osoby zatrudnione przez bank, ale pracujące w dziale technicznym bądź w dziale bezpieczeństwa płatności bankowych. Czasem przedstawiają się jako pośrednicy, przedstawiciele jednostek państwowych, służb, policji bądź osoby zaangażowane w śledzenie przestępstw bankowych. Scenariuszy jest wiele. Ważnymi elementami oszustwa jest dodawanie różnych efektów dźwiękowych, zmiana brzmienia głosu osoby dzwoniącej, a nawet dodanie akcentu bądź dźwięków tła (np. sugerujących, że połączenie jest wykonywane z większej centrali telefonicznej).

Nadal brzmi tajemniczo? To zobaczcie przykładowe rozmowy!

O tych sprawach piszemy regularnie.

Być może niektórzy z Was pamiętają nawet artykuł, w którym opisaliśmy sytuację, w której oszuści dokładnie w ten sam sposób próbowali podejść nas! >>>Oszuści są niezmordowani. Tym razem spróbowali z nami

Znamy już dobrze kilka scenariuszy, które są wykorzystywane w czasie takiego ataku:

• jesteśmy informowani o tym, że z naszego konta jest właśnie rzekomo wykonywana nietypowa transakcja. Dzwoniący prosi o jej autoryzację, czyli potwierdzenie wykonania. Ponieważ żadna transakcja oczywiście się nie odbywa, co ma wzmagać nasze poczucie zagrożenia i chęć ochrony środków finansowych. To moment krytyczny, w którym powinniśmy przerwać połączenie. Tłumacząc nam, że chodzi o względy weryfikacji i identyfikacji nas, jako klienta banku, zostajemy zasypani pytaniami, które odbiegają od prawdziwej weryfikacji. Jeśli więc jesteśmy zapytani o hasło do konta, podanie jego numeru bądź podanie danych karty kredytowej, możemy mieć pewność, że to oszustwo. Należy mieć świadomość, że pytania te padną zazwyczaj w potoku innych, prostych, takich, na które będzie nam  bardzo łatwo odpowiedzieć i nie będą wydawały się nietypowe.
• jesteśmy przekonywani, że dzwoni do nas doradca kredytowy, który przekonuje nas, że uzyskaliśmy zgodę na wzięcie kredytu, a dopełnienie formalności wymaga podania kilku danych. Oczywiście żadnego wniosku nie składaliśmy, a nietypowa informacja ma nas wytrącić z równowagi, wzmóc poczucie zagrożenia. Dalej scenariusz jest bardzo podobny do wcześniejszego. W celu zweryfikowania nas jako klienta i zablokowania kredytu zostajemy zasypani pytaniami, pomiędzy którymi pojawiają się te najbardziej wrażliwe, związane z możliwością zalogowania się na nasze konto i uzyskania dostępu do środków. Jeśli je podamy, najprawdopodobniej w kilka minut nasze konto zostanie wyczyszczone.
• jesteśmy przekonywani, że rozmawiamy z przedstawicielem instytucji państwowej, np. policji. Wówczas bywamy przekonywani, że rozmówca jest właśnie na tropie przestępców, którzy trudnią się przestępstwami bankowymi. Wtedy, zachęcenie nas do rozmowy jest bardziej bezpośrednie, a w serii pytań oczywistych i potencjalnie niegroźnych, pojawiają się te najbardziej wrażliwe, umożliwiające przełamanie zabezpieczeń na naszym koncie i przejęcie naszego majątku.

Ostatnio do scenariuszy przestępstwa dołączyła także metoda na subwencję z programu Tarczy Finansowej PFR. Więcej o tej metodzie przeczytacie na stronie policji. Scenariusz jest jednak za każdym razem bardzo podobny i sprowadza się do jak najszybszego uzyskania danych od potencjalnej ofiary. W momencie, w którym podamy ostatnią, potrzebną oszustowi informację przerwie on połączenie.

Na stronie Komendy Głównej Policji znajdziecie wiele przykładów rozmów, którymi przestępcy chcą nas omotać.

Chrońmy siebie i najbliższych!

Ponownie zachęcamy: porozmawiajcie o tym z najbliższymi. Przypomnijmy więc kluczowe zasady, które mogą nas ochronić przed atakiem vishingowym:

Należy stosować się do kilku ważnych zasad:

• nigdy nie podawajmy naszego loginu ani hasła, które wykorzystujemy do logowania do bankowości internetowej,
• nigdy i nigdzie nie podawajmy naszych pełnych danych karty płatniczej (numer karty, CVV, daty ważności, imienia i nazwiska posiadacza karty) – to informacje poufne, dlatego nikt nie ma prawa o nie pytać; nawet przez prawdziwego przedstawiciela banku nie zostaniemy o nie zapytani!
• nigdy nie podawajmy kodów do bankowości internetowej czy kodów #d Secure, które umożliwiają transakcje internetowe
• powtórzmy po raz kolejny: nie klikajmy w linki w smsach ani nie instalujmy żadnych aplikacji, które zostaną nam zasugerowane w rozmowach telefonicznych!
• zawsze czytajmy treść wiadomości, które rzekomo pochodzą od banku: czasem jedno kliknięcie dzieli nas od autoryzacji transakcji, którą wykonują oszuści!
• nie wahajmy się przerwać rozmowy telefonicznej, która jest naszym zdaniem podejrzana – to nie nasz brak kultury, ale bronienie się przed przestępcami!
• zawsze warto skontaktować się samodzielnie z bankiem, jeśli to możliwe, w jego placówce – poinformujmy o fakcie przeprowadzenia konkretnej rozmowy i upewnijmy się, że nasze środki są bezpieczne. Jeśli chcemy sprawdzić sytuację przez telefon, nie kontaktujmy się z bankiem w tej sprawie oddzwaniając na numer, który wcześniej do nas dzwonił. Wybierzmy numer samodzielnie, wpisując go ręcznie do telefonu.
• jeśli już zostaliśmy oszukani, koniecznie zgłośmy sprawę w banki i na policji. Tylko dzięki temu pojawiają się tropy, które umożliwiają czasem namierzenie przestępców.

Źródło info: policja.pl