Vishing – na czym polega?

Uwaga na vishing – to wyłudzanie danych w trakcie rozmowy telefonicznej. Przed oszustwem ostrzegają największe banki w Polsce. Tłumaczymy, czym jest vishing i radzimy, jak go uniknąć.

Vishing – oszustwo przez telefon

Niestety cyfryzacja, poza dobrymi aspektami, niesie za sobą ryzyko coraz bardziej dopracowanych cyberprzestępstw. Jedną z najpopularniejszych praktyk jest wyłudzanie danych osobowych. Chociaż kradzież takich danych częściej opiera się na fałszywych wiadomościach e-mail, czyli phishingu, to vishing staje się coraz bardziej “popularny”.

Phishing a vishing

Phishing to metoda, w której przestępcy przygotowują komunikaty przypominające te pochodzące od banku. W ich treści odbiorcy najczęściej znajdą link prowadzący teoretycznie do systemu transakcyjnego instytucji, jednak w rzeczywistości ofiara trafia na podrobioną stronę i przekazuje swój login i hasło w niepowołane ręce.

Vishing to oszukańcze pozyskanie poufnej informacji z wykorzystaniem telefonu (nazwa pochodzi od słowa voice (ang. głos), którego pierwszą głoską zmodyfikowano słowo phishing -> vishing). W tym przypadku, przestępca podszywa się pod osoby lub instytucje godne zaufania i wykrada od nieświadomych rozmówców ich dane osobowe. Vishing opiera się na zastosowaniu różnych metod socjotechnicznych do skłonienia rozmówcy do zrealizowania planu przestępcy.

Vishing – jak działają przestępcy?

1. Krok pierwszy – podszywanie się pod zaufany numer.

Przede wszystkim musimy wiedzieć, że przestępcy są bardzo dobrze przygotowani do “ataku”. Zazwyczaj wykorzystują słabe strony sieci GSM. Taka sieć pozwala na dość proste podszywanie się pod dowolny numer infolinię – nie jest więc problemem, by oszust skontaktował się z nami z numeru infolinii naszego banku albo popularnego numeru policji (997).

“Następnie podają się za pracowników infolinii i w pierwszej kolejności próbują potwierdzić, czy dodzwonili się do odpowiedniej osoby. Sami jednak niechętnie podają swoje imię i nazwisko” – informuje ING Bank Śląski ostrzegając przed oszustami.

2. Krok drugi – wyłudzanie informacji na nasz temat.

Kolejnym krokiem, do którego posuwają się oszuści, jest wyłudzanie naszych prywatnych danych pod pozorem bardzo ważnej sprawy. Oszuści mogą pytać o nasz PESEL, nazwisko rodowe matki oraz inne informacje, które zazwyczaj interesują banki przy weryfikacji tożsamości.

Przestępcy mogą także wprost poprosić nas o podanie loginu i hasła do naszej bankowości (oczywiście po podaniu konkretnej przyczyny, z reguły jednak wymyślają tak wiarygodne powody, że ludzie nie mają podstaw do tego, by im nie wierzyć). Kolejną z metod jest prośba o przekazanie kodu autoryzacyjnego otrzymanego przez SMS.

Innym sposobem wyłudzenia jest prośba o zainstalowanie podejrzanego oprogramowania, które rzekomo ma czemuś posłużyć, a tak naprawdę pomoże oszustom albo w pozyskaniu naszych danych albo w przeprowadzeniu procesu kradzieży naszych pieniędzy bez naszej wiedzy.

3. Krok trzeci – kradzież pieniędzy z naszego konta. 

Ostatnim krokiem przestępstwa jest sama kradzież – pozyskane od nas dane oszuści wykorzystują do tego, by zalogować się do naszego konta i wyczyścić je z pieniędzy.

Vishing – jak się chronić?

W przypadku jakichkolwiek wątpliwości, nie należy podawać nikomu swoich poufnych danych. Najlepiej jest zadzwonić do banku w celu potwierdzenia tożsamości osoby dzwoniącej. Ponadto trzeba pamiętać, że nikomu nie wolno podawać kodów z SMS-ów autoryzacyjnych.

Warto zachować zdrowy rozsądek i dokładnie analizować wszystkie maile, SMS’y i telefony, w których jesteśmy proszeni o dane osobowe, PIN czy hasło.

W przypadku podejrzeń o wyłudzenie danych należy zgłosić taki przypadek policji oraz powiadomić o tym bank.

Największe banki w Polsce ostrzegają przed oszustami

Oszuści podszywający się pod mBank przekonują o zablokowanym przelewie

mBank w najnowszym komunikacie informuje, że oszuści dzwonią do Klienta i podszywają się pod pracowników banku, którzy chcą potwierdzić, że nie wykonywaliśmy przypadkowego przelewu do nieznanej nam osoby.

Przestępcy twierdzą, że wykryli taką aktywność na naszym koncie i żeby ją powstrzymać, musimy zainstalować specjalną aplikację, która nam to umożliwi. Link do instalacji jest wysyłany przez SMS.

Oszuści wmawiają nam, że jeżeli nie zainstalujemy aplikacji, nasze konto zostanie całkowicie zablokowane. Bank przestrzega, że nie stosuje takich praktyk w celu ostrzegania swoich Klientów przed rzekomo przypadkowo wykonanymi przelewami.

Dane przez telefon wyłudzają także oszuści podszywający się pod PKO Bank Polski

Oszuści za cel obrali sobie także PKO Bank Polski i informując, że są pracownikami tegoż banku, informują jego Klientów o konieczności:

– pobrania i zainstalowania aplikacji pozwalającej na zdalną weryfikację (p.: TeamViewer QuickSupport),
– podania poufnych danych.

Tak naprawdę jednak celem oszustów jest zdobycie naszych danych do logowania do bankowości elektronicznej albo naszego narzędzia autoryzacyjnego. Znając jedno lub drugie, oszuści mogą wyczyścić nasze konto niemal do zera.

“W sytuacji, gdy odbierzesz telefon od osoby podającej się za pracownika banku, masz jakiekolwiek wątpliwości, czy zasadne jest podawanie kodu z narzędzia autoryzacyjnego lub innych danych, jak również w każdym innym przypadku, w którym podczas korzystania z elektronicznych kanałów dostępu spotkasz się z sytuacją, która wyda Ci się nietypowa, podejrzana lub wzbudzi Twoje zaniepokojenie, skontaktuj się z nami” – informuje PKO Bank Polski w komunikacie.

ING Bank Śląski ostrzegał już 2 lata temu, teraz ostrzega ponownie

Przed vishingiem ostrzega też ING Bank Śląski, którego Klienci zgłosili podobny problem. Osoby otrzymują połączenie pochodzące rzekomo z infolinii ING Banku Śląskiego (przedstawiciel przy telefonie twierdzi, że jest pracownikiem infolinii i podaje powód kontaktu z nami) i podają konsultantowi dane, o które ten prosi (np.: dane do logowania lub dane osobowe). Po kilku chwilach z konta osoby oszukanej znikają pieniądze.

Już dwa lata temu w komunikacie umieszczonym na stronie logowania do serwisu Moje ING bank również przestrzegał przed vishingiem. Osoba dzwoniąca do klienta banku informowała potencjalną ofiarę, że jest policjantem lub pracownikiem organu ścigania prowadzącym śledztwo.

Złodziej zwracał się do ofiary się z prośbą o wskazanie, w jakim banku posiada rachunek oraz salda przechowywanego na koncie. Później, powiadamiał Klienta, że instytucja padła ofiarą hakerów, a fałszywy policjant żąda podania loginu i hasła do serwisu bankowości internetowej, a potem przekazania hasła SMS wysłanego do właściciela rachunku.

Jeżeli przestępca otrzymał pożądane dane, mógł zmienić numer telefonu używanego do potwierdzania transakcji. Wówczas, znając zarówno login, jak i hasło, w praktyce przejmował całkowicie kontrolę nad dostępem do konta i mógł np.: dysponować gotówką ofiary.

Źródło:

https://www.mbank.pl/informacje-dla-klienta/indywidualny/post,8965,„uwazaj-oszusci-podszywaja-sie-pod-znajomych-i-pracownikow-banku”.html

https://www.pkobp.pl/aktualnosci/proby-podszywania-sie-pod-bank-telefon/

https://www.ing.pl/aktualnosci/bankowosc-elektroniczna?news_id=1104276-uwazaj-na-telefony-z-falszywej-infolinii-banku