„Dzień dobry, tu bank — zauważyliśmy podejrzaną transakcję i potrzebujemy weryfikacji konta…”. Tę wypowiedź można uzupełnić o nazwę konkretnego banku, zmienić powód, dla którego dane są potrzebne, rozmówca może też „reprezentować” różne instytucje, włącznie z policją. Wszystkie te zabiegi mają jeden cel: skłonienie Cię do ujawnienia wrażliwych danych i wyczyszczenia Twojego konta.
Wspomniana powyżej rozmowa odbyła się w czasie wzmożonej przedświątecznej, grudniowej gorączki. Rozmówca po drugiej stronie słuchawki przedstawił się jako przedstawiciel banku, w którym potencjalna ofiara oszustwa faktycznie ma konto. Co więcej — ma także konto firmowe i to właśnie o transakcji z tego konta postanowił poinformować „uczynny pracownik instytucji finansowej”. Transakcja polegała na zakupie kryptowalut. Całość wypowiedzi brzmiała logicznie.
Zaskoczenie, brak czasu i zaufanie do rzekomego „specjalisty” sprawiają, że łatwo przekazać wrażliwe dane — login i hasło do bankowości internetowej, numer karty kredytowej czy inne informacje, o które prosi dzwoniący. Często przestępcy igrają też z takimi emocjami potencjalnych ofiar jak strach czy troska. Barwnie opisują sytuację pozornego zagrożenia i skłaniają rozmówców do błyskawicznej, nieprzemyślanej reakcji. Ich działania — bazujące na psychologii — to ataki socjotechniczne. Vishing, phishing, smishing czy baiting to kilka ich odmian.
Vishing to zbitka słowna angielskich wyrazów voice i phishing. Voice oznacza głos, a phishing to metoda manipulacji, której celem jest zdobycie poufnych danych. Vishing polega na wyłudzaniu tych informacji podczas rozmowy telefonicznej. W przytoczonym przykładzie przestępcy podszywali się pod bank, ale równie chętnie wykorzystują też autorytet innych instytucji czy osób, takich jak:
Przestępcy często uzależniają stosowane metody od celu ataku. Zdarza się, że „drobni” oszuści wybierają swoje ofiary losowo — dzwonią do wielu osób z przygotowanym scenariuszem rozmowy i liczą na to, że ktoś da się zmanipulować i przekaże poufne informacje lub pieniądze. Jednak wybór ofiary nie zawsze jest dziełem przypadku.
Lepiej zorganizowani przestępcy zbierają dane o konkretnej osobie lub firmie, np. korzystając z oprogramowania zbierającego informacje z wycieków danych. Wówczas scenariusz działania jest opracowany pod daną osobę. Znając imię, numer telefonu, adres e-mail czy historię transakcji — oszust może stworzyć wiarygodną historię i zyskać zaufanie ofiary.
Przykładem takiego ataku może być scenariusz „na wnuczka” — policja wielokrotnie informowała o sytuacjach, gdy ofiara znała oszusta. Był to np. „inkasent”, który wcześniej pojawiał się w domu albo „listonosz” znający szczegóły z życia seniora. Mając numer telefonu, wiedzę o sytuacji rodzinnej i majątkowej, przestępca dzwonił z dramatyczną historią (np. o wypadku rzekomego wnuczka) i prosząc o natychmiastową pomoc finansową.
Podobnie bywa w scenariuszu „na lekarza” — przestępca gra tu na strachu i trosce o zdrowie bliskich. Dzwoniąc, podaje się za lekarza lub pracownika pogotowia i mówi o tragicznej sytuacji w rodzinie. Aby szybko zrobić operację, wykupić lekarstwa czy przeprowadzić kosztowną terapię, ofiara musi natychmiast wykonać przelew.
Przykład vishingu „na pomoc techniczną” przytoczyliśmy wcześniej. Chodziło w nim o zdobycie danych umożliwiających logowanie do bankowości elektronicznej. Ale przestępcy nie zawsze chcą zdobyć dane do banku — równie satysfakcjonującym łupem mogą być dla nich także dostępy do kont mailowych czy profili w mediach społecznościowych. Pozyskane w ten sposób informacje posłużą do kradzieży tożsamości lub dalszych ataków. Dlatego oszuści podszywają się też pod przedstawicieli firm świadczących usługi w zakresie cyberbezpieczeństwa albo pod administratorów serwisów społecznościowych. Czasami pod pozorem wykrycia w systemie ofiary złośliwego oprogramowania albo „podejrzanej aktywności”, proszą o zainstalowanie specjalnego oprogramowania. W rzeczywistości to właśnie ono jest złośliwe — umożliwia bowiem przejęcie danych lub zdalny dostęp do urządzenia.
Po pierwsze możesz zainstalować w swoim telefonie aplikację, która automatycznie będzie odrzucała połączenia z numerów oznaczonych w bazie danych jako podejrzane albo nachalne.
Po drugie, gdy odbierzesz telefon, NIGDY nie podawaj rozmówcy swoich danych czy haseł. Nie rób tego, nawet jeśli dzwoniący powołuje się na nagłą sytuację i wywiera presję czasu albo gdy twierdzi, że jest pracownikiem znanej Ci instytucji (np. banku). Prawdziwy pracownik banku nigdy nie zapyta Cię o hasło do konta.
Po trzecie, jeśli wątpisz w wiarygodność rozmówcy, rozłącz się i samodzielnie zadzwoń na oficjalną infolinię banku czy urzędu. Podobnie w przypadku krewnych — zadzwoń do wnuczka, syna lub córki i sprawdź, czy naprawdę potrzebują pomocy finansowej.
I jeszcze jedno — oszuści mogą nagrywać Twoje wypowiedzi. Wykorzystają je do szkolenia sztucznej inteligencji, by w przyszłości skuteczniej się pod Ciebie podszyć. Dlatego uważaj, komu i w jakich okolicznościach przekazujesz dłuższe wypowiedzi i unikaj niepotrzebnych dyskusji.
Gdy padniesz ofiarą vishingu, skontaktuj się z policją i przekaż wszelkie informacje (np. numer telefonu, z którego dzwonił przestępca oraz przebieg rozmowy), które pomogą ująć oszusta.
Zgłoś się też do banku, w którym masz konto — jeśli ujawniłeś dane do logowania lub numery kart, bank musi je zablokować, by uniemożliwić dalsze nieuprawnione transakcje. Możesz też samodzielnie zmienić hasło. Jeśli w innych serwisach internetowych używasz tych samych lub podobnych haseł, również je zmień.
Zamów bezpłatną konsultację z ekspertem mFinanse
* Administratorem Twoich danych osobowych jest mFinanse S.A. Twoje dane będą przetwarzane w celu telefonicznego kontaktu konsultanta mFinanse S.A. z Tobą w celu przedstawienia oferty. Wypełnienie powyższych pól jest równoznaczne z wyrażeniem przez Ciebie zgody na ten kontakt. W przypadku zaznaczenia dodatkowej zgody powyżej Twoje dane osobowe będą przetwarzane również w celu przedstawiania Ci ofert w przyszłości. Obie zgody możesz wycofać w dowolnym czasie drogą pisemną lub elektroniczną pod adres rodo@mfinanse.pl. Więcej informacji na temat przetwarzania danych osobowych, w tym o przysługujących Ci prawach oraz o danych kontaktowych Administratora, znajduje się tutaj.
*mFinanse S.A. z siedzibą w Warszawie (ul. Ks. I. Skorupki 5, 00-546 Warszawa), wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Łodzi – Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS pod nr 0000365126, kapitał zakładowy: 45.245.000 złotych, NIP: 7251903631. Numer wpisu do działu I rejestru pośredników kredytowych: RPH000300. Rejestr pośredników kredytowych dostępny jest na stronie internetowej www.knf.gov.pl.
Ta strona jest chroniona przez mechanizm reCaptcha i stosujemy Regulamin i Politykę prywatności Google.
