„Dzień dobry, dzwonię do Pani/Pana, ponieważ jestem ważną osobą i chciałbym zdobyć dane uwierzytelniające do bankowości elektronicznej. Mogę również poznać dane karty płatniczej lub dane osobowe”. Brzmi ironicznie, prawda? Ten przykład jest mocno przerysowany, ale wystarczy odrobinę lepiej zastosowana metoda socjotechniczna i przestępcy mogą wejść w posiadanie wrażliwych danych klientów.

W ostatnich miesiącach częstym sposobem wyłudzeń danych przez przestępców jest wykorzystanie metody znanej pod nazwą vishing, inaczej Voice phishing, tj. wyłudzenia przy wykorzystaniu połączenia głosowego.

Przed połączeniem się z ofiarą przestępca przygotowuje się, by wzmocnić swoją wiarygodność. Najpierw dokonuje wyboru, za kogo przedstawi się jako osoba dzwoniąca. Znane są przypadki, w których przestępcy podszywali się pod:

• doradców bankowych,
• dział techniczny,
• pośrednika,
• przedstawiciela jednostek państwowych,
• znajomego itp.

Następnie przestępca decyduje, z jakiego numer telefonu wykona połączenie, a w zasadzie, jaki numer zobaczy ofiara na wyświetlaczu swojego telefonu. Nieznane, a tym bardziej zagraniczne numery mogłyby bowiem wzbudzić u odbiorcy obawy lub zostać nawet nieodebrane, dlatego często wykorzystywaną przez oszustów metodą jest spoofing numeru telefonu.

Czym jest spoofing?

Spoofing polega na podszywaniu się pod inne urządzenie lub innego użytkownika. Może dotyczyć m.in. adresu e-mail, IP, nadawcy SMS czy nadawcy połączenia głosowego. W Internecie, bez większego wysiłku, znajdziemy strony, na których niemalże bezproblemowo można podszyć się pod kogoś innego i wykonać połączenie. Oprócz podmiany numeru telefonu dostępne są również takie opcje jak:

• wybór płci osoby dzwoniącej,
• pochodzenie,
• akcent,
• efekty dźwiękowe i wiele innych… (przykład poniżej)

Tak przygotowany przestępca wykonuje połączenie do ofiary i zgodnie z wcześniej ułożonym scenariuszem rozpoczyna rozmowę. Poniżej kilka przykładowych metod socjotechnicznych, jakie mogą wykorzystywać przestępcy.

1. Osoba, która odbiera telefon, informowana jest o rzekomej transakcji na swoich rachunku bankowym, a dzwoniący prosi o potwierdzenie jej wykonania. Oczywiście żadnego obciążenia nie ma, ale zdezorientowana ofiara, myśląc, że ratuje swoje środki, odpowiada na pytania dzwoniącego. Ten tłumaczy, że ma to na celu zidentyfikowanie klienta, a w rzeczywistości zadawane są pytania daleko odbiegające od standardowej weryfikacji.
2. Ten zabieg socjotechniczny w początkowej rozmowie podobny jest do tzw. „metody na wnuczka”. Ofiara informowana jest, że jej środki są w niebezpieczeństwie i jedynym sposobem ich ochrony jest podanie danych uwierzytelniających do bankowości elektronicznej lub dane karty płatniczej. Jeżeli je poda, to dopiero teraz środki naprawdę są zagrożone.
3. Osoba dzwoniąca przedstawia się jako doradca kredytowy. Informuje, że zgodnie z rzekomo złożonym w nocy wnioskiem o pożyczkę pieniądze zostały przyznane, należy jednak dokończyć formalności. Ofiara oczywiście żadnego wniosku o kredyt nie składała. Dalej scenariusz jest już mocno zbliżony do poprzednich. Zdenerwowana osoba zaczyna odpowiadać na serię pytań, wierząc, że dzwoniący chce jej pomóc, a w rzeczywistości oszust wchodzi w posiadanie interesujących go danych i kończy rozmowę.
4. Zdarzyć się może, że przestępca nie musi nawet uciekać się do kłamstwa o potencjalnej operacji finansowej czy środkach w niebezpieczeństwie. Wystarczy, że na początku rozmowy przedstawi się np. jako pracownik instytucji państwowej i poprosi rozmówcę o identyfikację. Pomiędzy bardzo standardowymi pytaniami pojawiają się i te mniej oczywiste, na które ofiara często nie zwróci początkowo uwagi. Tym sposobem przestępca może wejść w posiadanie danych wrażliwych.
5. Przestępcy śledzą rynek i dostosowują często swoje działania również do obecnych trendów. O możliwości wyłudzeń poprzez połączenia głosowe informował również zbp.pl oraz policja.pl, przy okazji składania przez przedsiębiorców wniosków o subwencje z programu Tarczy Finansowej PFR.

Więcej przeczytać można: https://zbp.pl/Aktualnosci/Wydarzenia/Uwaga!-przestepcy-atakuja-przedsiebiorcow-korzystajacych-z-Programu-Tarcza-Finansowa-PFR

https://policja.pl/pol/aktualnosci/189021,Uwaga-przestepcy-atakuja-przedsiebiorcow-korzystajacych-z-Programu-Tracza-Finans.html

Żeby wzmocnić wiarygodność przekazywanych informacji podczas rozmowy, oszust może np. wysłać wiadomość e-mail. Nie oznacza to jeszcze, że jest tym, za kogo się podaje. Adres e-mail mógł znaleźć w Internecie, jeżeli ktoś wpisał go np. na portalu społecznościowym, lub ofiara często adres e-mail podaje sama, a później po prostu o tym nie pamięta.

Scenariuszy może być i jest znacznie więcej. Wszystkie one opierają się jednak na tym samym: wprowadzeniu ofiary w stan zmartwienia, zaniepokojenia lub zaciekawienia. Tak, żeby podczas rozmowy była rozkojarzona i mniej uważna. To pozwala oszustom, którzy są osobami sprawnie posługującymi się metodami manipulacji, na pozyskanie interesujących ich danych osobowych i/lub finansowych ofiary.

Co dzieje się dalej? Zależy od tego, jakie informacje pozyskał przestępca. Cel jest jeden – zyski finansowe, m.in. poprzez pobieranie pożyczki na ofiary (dzięki pozyskaniu danych osobowych), wyprowadzanie pieniędzy bezpośrednio z rachunku klienta czy wykonywanie operacji kartowych.

Jak się chronić?

Należy stosować się do kilku często powtarzanych, ważnych zasad:

• nie podawać hasła do bankowości internetowej, danych karty (CVV, daty ważności, a tym bardziej kodu PIN) – te informacje powinny być tylko w posiadaniu użytkownika i nikt nie ma prawa wymagać ich podania,
• nie należy dyktować SMS kodów, jeżeli nie ma się pewności, kto jest po drugiej stronie słuchawki,
• jeżeli rozmowa wzbudza jakiekolwiek wątpliwości lub niepokój, należy rozłączyć się, następnie samodzielnie połączyć z instytucją, której rzekomy przedstawiciel dzwonił, koniecznie wybierając oficjalny numer, a nie oddzwaniając na wcześniejsze połączenie,
• zachować zdrowy rozsądek i zimną krew, nawet jeżeli zostało się poinformowanym o potencjalnym zagrożeniu, np. środków. Należy spokojnie przemyśleć, czy nasze pieniądze naprawdę mogą być w niebezpieczeństwie, czy może rozmowa prowadzona jest z oszustem, który dopiero sytuację chce wykorzystać.

Klienci każdorazowo mają prawo zgłosić nietypową sytuację do banków, a w sytuacji podejrzenia, że doszło lub mogło dojść do popełnienia przestępstwa, również zawiadomić policję.

Agata Ślusarek
Senior Cyber Threat Security Engineer
Departament Cyberbezpieczeństwa
Zespół Analiz i Reagowania na Cyberzagrożenia