O co konsultant banku nigdy Cię nie zapyta. Praktyczny poradnik, jak bronić się przed vishingiem

Sztuczki socjotechniczne

Podczas rozmowy przestępcy stosują rozmaite sztuczki, które z jednej strony mają uwiarygodnić całą sytuację, z drugiej - wzbudzić u rozmówcy lęk i obawę. Najczęściej dzwoniący rozpoczyna od informacji, których możesz oczekiwać od prawdziwego pracownika banku – zna Twoje imię i nazwisko, adres zamieszkania, numer telefonu, niekiedy także PESEL i numer rachunku. Mając takie dane może z powodzeniem udawać konsultanta i już na wstępie uśpić Twoją czujność.

Wszystkie te informacje są zdobywane na etapie przygotowywania ataku. Dane teleadresowe są wykradane z systemów informatycznych banków, niekiedy kupowane od firm zewnętrznych lub zdobywane metodą na listonosza. Przypomnijmy, że w 2015 r. wyciekły dane 18 tys. dłużników Noble i Getin Banku, zaś w 2017 r. anonimowy sprzedawca wystawił na polskim forum w Torze rekordy klientów czterech polskich banków. Warto więc mieć świadomość, że poufne dane na nasz temat mogą swobodnie krążyć po Internecie i figurować w podejrzanych bazach danych.

Nacisk psychologiczny

Podczas rozmowy oszust może używać kategorycznych lub niezrozumiałych zwrotów i celowo wyolbrzymiać skalę zagrożenia. Wszystko po to, aby odebrać Ci czas do refleksji i zmusić do natychmiastowego działania. Warto w tym miejscu przytoczyć autentyczny zapis rozmowy z przestępcą, który na początku stycznia 2018 r. próbował zmanipulować klienta jednego z polskich banków:

- Proszę Pana, zakładamy blokadę prokuratorską na okres 30 dni do wyjaśnienia śledztwa i nie ma Pan dostępu do rachunku. Czy zakładamy, proszę Pana, blokadę zwykłą, zwyczajną, bankową do 16 dni? (...) Chodzi o to, że cokolwiek się stanie z Państwa rachunkiem bankowym, otrzymacie świadczenia - te, które znikły z Państwa rachunku bankowego, więc cała suma pieniędzy wróci na konto.

Oczywiście, aby tak się stało, ofiara musiała wpierw podać dane wrażliwe konta w celu potwierdzenia swojej tożsamości.

Groźnie brzmiące i niezrozumiałe dla laika określenia (blokada prokuratorska, blokada bankowa) połączone z dość mętnymi wywodami o odzyskaniu pieniędzy i sugestią, że klient na czas śledztwa zostanie odcięty od środków na koncie – miały spotęgować poczucie zagrożenia i przekonać ofiarę do podjęcia natychmiastowych środków zaradczych.

Dodajmy jeszcze, że przestępca był na tyle wiarygodny, że zdołał uzyskać część informacji. Na szczęście, w pewnym momencie ofiara nabrała podejrzeń, zakończyła rozmowę i skontaktowała się infolinią „prawdziwego” banku.

Technika „stopy w drzwiach”

Ta - często stosowana przez oszustów - metoda ataku składa się z kilku etapów i polega na stopniowym proszeniu o coraz bardziej istotne i poufne informacje. Z reguły rozpoczyna się od telefonu lub sms-a z „banku” z prośbą o pilny kontakt z „Działem Obsługi”, „Działem Technicznym”, „Departamentem ds. Bezpieczeństwa Klienta”. Najczęściej klient nie podejrzewa, że dzwoniąc na podany numer telefonu, w rzeczywistości łączy się z przestępcą. W praktyce mechanizm oszustwa przebiega następująco:

Etap I – otrzymujesz sms-a z ostrzeżeniem: Informujemy, że doszło do blokady konta. Dokładamy wszelkich starań, aby Twoje transakcje online były bezpieczne. Natychmiast zadzwoń do naszego Działu Bezpieczeństwa na numer XXX -XXX-XXX.

W tej fazie ataku chodzi przede wszystkim o presję psychiczną. Przestępcy chcą Cię przestraszyć i skłonić do kontaktu.

Etap II – łączysz się z automatyczną centralą telefoniczna „banku” i słyszysz wiarygodnie brzmiący komunikat: - Dziękujemy za kontakt. Twoje połączenie jest dla nas ważne i rejestrujemy je dla celów zapewnienia jakości. Aby skierować cię do odpowiedniego działu, postępuj zgodnie z naszym menu:

Dział reklamacji - naciśnij 1.

Zastrzeganie kartę płatniczych - naciśnij 2.

Dział bezpieczeństwa - naciśnij 3.

W przypadku wszystkich innych pytań - naciśnij 0.

Ten etap ma Cię uspokoić i upewnić, że faktycznie dodzwoniłeś się do banku. Podczas swoich wcześniejszych kontaktów z infolinią wielokrotnie słyszałeś podobny komunikat i wiesz, że automatyczny serwis telefoniczny działa właśnie w taki sposób.

Etap III - naciskasz 3, a bezosobowy głos w słuchawce podaje Ci kolejne instrukcje: - Bezpieczeństwo naszych klientów jest dla nas ważne. Aby przejść dalej, wymagamy uwierzytelnienia tożsamości przed kontynuowaniem. Wpisz swój numer PESEL, a następnie wciśnij krzyżyk.

Także i to żądanie nie wydaje Ci się niczym niezwykłym. Podczas ostatniej rozmowy z konsultantem na temat drobnego opóźnienia w spłacie rat kredytu zostałeś poproszony o podanie numeru PESEL, uważasz więc, że jest to standardowa praktyka w Twoim banku.

Etap IV – właściwy atak. Wpisujesz numer identyfikacyjny i słyszysz następną komendę: - Dziękujemy. Teraz wpisz swój numer rachunku, a następnie wciśnij krzyżyk. Po spełnieniu tej prośby pada ostatnia wytyczna: - Za chwile zostaniesz połączony z Działem Bezpieczeństwa. W celu zakończenia procesu weryfikacji wpisz swój login i hasło i naciśnij krzyżyk.

Robisz to i w słuchawce zapada głucha cisza... Przestępcy właśnie dostali to, czego chcieli.

Jak bronić się przed vishingiem?

Pamiętaj, jeśli nie chcesz, aby Twoje wrażliwe dane trafiły w ręce nieuprawnionych osób, podczas kontaktów telefonicznych inicjowanych przez bank musisz pamiętać o kilku zasadach.

1. Autentyczny konsultant banku NIGDY nie zapyta Cię o takie kwestie, jak pełne loginy i hasła do bankowości elektronicznej, PIN, kody weryfikacyjne do kart (CVV), numer i datę ważności karty, kody SMS autoryzujące transakcje, kody QR, aktualny odczyt z tokena czy dodatkowe hasło wymagane dla niektórych kart w procesie weryfikacji 3D Secure. Większość tych informacji (np. hasła i PIN-y) jest przechowywana w systemie banku w zaszyfrowanej postaci i pracownicy nie mają do nich dostępu.
2. Może się jednak zdarzyć, że w trakcie rozmowy zostaniesz poproszony o podanie numeru PESEL, nazwiska panieńskiego matki, a nawet część loginu. Konsultant może też zapytać, czy masz jakąś lokatę lub kredyt (jednak nie ma prawa pytać o wysokość zobowiązania). Jeśli będziesz miał choć cień wątpliwości, czy rzeczywiście rozmawiasz z przedstawicielem instytucji finansowej - przerwij rozmowę, zadzwoń na infolinię i potwierdź, czy osoba o danym imieniu i nazwisku rzeczywiście tam pracuje.
3. Jednak aby sprawdzenie miało sens, musisz mieć pewność, że faktycznie dodzwoniłeś się do banku. Co sprytniejsi przestępcy potrafią przy użyciu hakerskiego triku - tzw. caller ID spoofing - zmienić numer telefonu, z którego wykonują połączenie, tak aby rozmówcy wyświetlił się identyfikator banku. Reasumując – możesz być przekonany, że rozmawiasz z infolinią, tymczasem prowadzisz rozmowę z przestępcą. Aby uniknąć takiej sytuacji, połącz się z bankiem za pomocą innego aparatu niż ten, na którym odebrałeś pierwsze połączenie.
4. NIGDY nie oddzwaniaj na nieznany numer. Nietrudno jest tak zorganizować oszustwo, by pod podanym przez przestępcę telefonem dyżurował wspólnik podszywający się pod konsultanta lub włączyła się automatyczna centrala telefoniczna „banku”.

Podsumowanie

Często zdarza się, że pracownicy banków dzwonią do nas w różnych sprawach i w ramach identyfikacji klienta proszą o podanie niektórych danych. Tymczasem my mamy raczej nikłe szanse, by sprawdzić, kim naprawdę jest osoba dzwoniąca. Ponadto wielu pracowników banku często wykonuje telefony z zastrzeżonych numerów, co jeszcze bardziej utrudnia ich weryfikację.

Dlatego podczas inicjowanego przez bank kontaktu zachowajmy elementarną czujność. Jeśli tematem rozmowy będą „niespodziewane problemy z kontem”, a rozmówca będzie nas zachęcał do ujawnienia poufnych danych, najprawdopodobniej staliśmy się obiektem ataku oszustów. Pamiętajmy - bank nigdy nie zadaje pewnych pytań, na które odpowiedź zna tylko klient. Nie pyta o login i hasło dostępu do konta, nie żąda podania PIN-u ani wrażliwych danych karty. Banki same przypominają o tym fakcie na swoich stronach i uczulają na takie sytuacje.

Szkoda jednak, że w ramach troski o dobro klienta nie wdrażają procedur, które mogłyby znacznie utrudnić życie przestępcom. Wystarczyłoby np. poprosić nowych klientów, aby przy podpisywaniu umowy o dany produkt (rachunek, lokatę, kredyt, kartę kredytową) wpisali hasło pozwalające na identyfikację konsultanta podczas rozmowy telefonicznej. Niestety, choć banki bardzo wnikliwie weryfikują naszą tożsamość, same nie ułatwiają nam weryfikacji tożsamości swoich pracowników.

Ten brak symetrii w relacjach bank – klient stał się tematem listu, napisanego przez klientkę jednego z angielskich banków. Choć list najprawdopodobniej jest jedynie żartem, dobrze pokazuje, jak skomplikowane, nieprzyjazne i uciążliwe są dla klientów telefoniczne formy kontaktu z bankiem, warto więc na zakończenie zacytować jego fragment:

- Szanowni państwo! Do niniejszej wiadomości załączam aplikację do kontaktu ze mną, którą musi wypełnić wasz pracownik chcący do mnie zadzwonić. Przykro mi, że zawiera ona aż 8 stron, ale muszę wiedzieć o nim przynajmniej tyle, ile bank wie o mnie. (...) Wasz pracownik będzie też zobligowany do posiadania numeru PIN, który będzie musiał podawać podczas rozmów ze mną. Naprawdę żałuję, że nie może mieć mniej niż 28 cyfr, ale, ponownie, wzoruję się tutaj na liczbie naciśnięć przycisków wymaganej do dostępu do moich usług bankowych przez telefon. (….) Niestety, muszę pobierać od was opłaty, związane z pokryciem nowej funkcjonalności zintegrowanej w moim telefonie. Na osłodę możecie sobie posłuchać relaksującej muzyki, która będzie grała podczas trwania połączenia.

Niestety, dopóki instytucje finansowe nie udostępnią nam narzędzi pozwalających na sprawdzenie tożsamości rozmówcy i gwarantujących, że naprawdę rozmawiamy z pracownikiem banku, jedynym sposobem, by skutecznie obronić się przed vishingiem, jest nasza rozwaga i zdrowy rozsądek.