O co konsultant banku nigdy Cię nie zapyta. Praktyczny poradnik, jak bronić się przed vishingiem

O co konsultant banku nigdy Cię nie zapyta. Praktyczny poradnik, jak bronić się przed vishingiem Źródło obrazka: © eyeQ/fotolia

Odebrałeś telefon od banku, a konsultant w celu potwierdzenie Twojej tożsamości spytał Cię o numer PESEL oraz numer karty. Czy jesteś pewien, że miał do tego prawo? W naszym artykule wyjaśniamy, czym jest vishing i podpowiadamy, jak odróżnić pracownika banku od podszywającego się pod niego oszusta.

- Witam. Z tej strony Jerzy Nowak z obsługi technicznej Banku ABC. Z wielką przykrością informuję, że nasz system odnotował trzy podejrzane operacje na Pańskim koncie i z tego powodu byliśmy zmuszeni do blokady rachunku. Proszę o pilny kontakt z naszym działem bezpieczeństwa na numer telefonu 800-XXX-XXX. Podczas rozmowy konieczna będzie weryfikacji Pana tożsamości, dlatego zostanie Pan poproszony o następujące dane: numer PESEL, numer konta oraz dane do logowania. Zalecam pośpiech, bo sytuacja wygląda dość groźnie.

Jeśli kiedykolwiek usłyszysz w słuchawce taką wiadomość, wiedz, że właśnie padłeś ofiarą vishingu.

Czym jest vishing?

Vishing (zwany również voice phishingiem) to nielegalna technika umożliwiająca pozyskanie poufnych informacji z wykorzystaniem telefonu. Przestępca – najczęściej podszywający się pod pracownika banku lub przedstawiciela poważnej instytucji (policjanta, prokuratora, pracownika firmy informatycznej pracującej dla banku) - podczas rozmowy telefonicznej z klientem nakłania go do ujawnienia istotnych danych związanych z rachunkiem bankowym lub kartą płatniczą, a następnie wykorzystuje te informacje do kradzieży pieniędzy z konta.

Warto jednak wiedzieć, że vishing może przybrać także inne formy, mniej oczywiste dla pechowych klientów. Najczęściej są to wielostopniowe oszustwa, które mogą zaczynać się w niewinny sposób, np. od wysłanego przez „bank” sms-a z prośbą o pilny kontakt telefoniczny. W innych przypadkach przestępcy korzystają z automatycznego programu, który sam telefonuje do wybranych osób i podaje informacje, które mają przekonać klientów do ujawnienia poufnych danych. Bywa też, że przestępcy proszą o przelew środków na tymczasowe konto techniczne, wmawiając rozmówcy, że system banku został zainfekowany wirusem i konieczna była blokada wszystkich rachunków. Oczywiście, jeśli klient spełni to żądanie, na zawsze może się pożegnać z oszczędnościami życia.

Sztuczki socjotechniczne

Podczas rozmowy przestępcy stosują rozmaite sztuczki, które z jednej strony mają uwiarygodnić całą sytuację, z drugiej - wzbudzić u rozmówcy lęk i obawę. Najczęściej dzwoniący rozpoczyna od informacji, których możesz oczekiwać od prawdziwego pracownika banku – zna Twoje imię i nazwisko, adres zamieszkania, numer telefonu, niekiedy także PESEL i numer rachunku. Mając takie dane może z powodzeniem udawać konsultanta i już na wstępie uśpić Twoją czujność.

Wszystkie te informacje są zdobywane na etapie przygotowywania ataku. Dane teleadresowe są wykradane z systemów informatycznych banków, niekiedy kupowane od firm zewnętrznych lub zdobywane metodą na listonosza. Przypomnijmy, że w 2015 r. wyciekły dane 18 tys. dłużników Noble i Getin Banku, zaś w 2017 r. anonimowy sprzedawca wystawił na polskim forum w Torze rekordy klientów czterech polskich banków. Warto więc mieć świadomość, że poufne dane na nasz temat mogą swobodnie krążyć po Internecie i figurować w podejrzanych bazach danych.

Nacisk psychologiczny

Podczas rozmowy oszust może używać kategorycznych lub niezrozumiałych zwrotów i celowo wyolbrzymiać skalę zagrożenia. Wszystko po to, aby odebrać Ci czas do refleksji i zmusić do natychmiastowego działania. Warto w tym miejscu przytoczyć autentyczny zapis rozmowy z przestępcą, który na początku stycznia 2018 r. próbował zmanipulować klienta jednego z polskich banków:

- Proszę Pana, zakładamy blokadę prokuratorską na okres 30 dni do wyjaśnienia śledztwa i nie ma Pan dostępu do rachunku. Czy zakładamy, proszę Pana, blokadę zwykłą, zwyczajną, bankową do 16 dni? (...) Chodzi o to, że cokolwiek się stanie z Państwa rachunkiem bankowym, otrzymacie świadczenia - te, które znikły z Państwa rachunku bankowego, więc cała suma pieniędzy wróci na konto.

Oczywiście, aby tak się stało, ofiara musiała wpierw podać dane wrażliwe konta w celu potwierdzenia swojej tożsamości.

Groźnie brzmiące i niezrozumiałe dla laika określenia (blokada prokuratorska, blokada bankowa) połączone z dość mętnymi wywodami o odzyskaniu pieniędzy i sugestią, że klient na czas śledztwa zostanie odcięty od środków na koncie – miały spotęgować poczucie zagrożenia i przekonać ofiarę do podjęcia natychmiastowych środków zaradczych.

Dodajmy jeszcze, że przestępca był na tyle wiarygodny, że zdołał uzyskać część informacji. Na szczęście, w pewnym momencie ofiara nabrała podejrzeń, zakończyła rozmowę i skontaktowała się infolinią „prawdziwego” banku.

Technika „stopy w drzwiach”

Ta - często stosowana przez oszustów - metoda ataku składa się z kilku etapów i polega na stopniowym proszeniu o coraz bardziej istotne i poufne informacje. Z reguły rozpoczyna się od telefonu lub sms-a z „banku” z prośbą o pilny kontakt z „Działem Obsługi”, „Działem Technicznym”, „Departamentem ds. Bezpieczeństwa Klienta”. Najczęściej klient nie podejrzewa, że dzwoniąc na podany numer telefonu, w rzeczywistości łączy się z przestępcą. W praktyce mechanizm oszustwa przebiega następująco:

Etap I – otrzymujesz sms-a z ostrzeżeniem: Informujemy, że doszło do blokady konta. Dokładamy wszelkich starań, aby Twoje transakcje online były bezpieczne. Natychmiast zadzwoń do naszego Działu Bezpieczeństwa na numer XXX -XXX-XXX.

W tej fazie ataku chodzi przede wszystkim o presję psychiczną. Przestępcy chcą Cię przestraszyć i skłonić do kontaktu.

Etap II – łączysz się z automatyczną centralą telefoniczna „banku” i słyszysz wiarygodnie brzmiący komunikat: - Dziękujemy za kontakt. Twoje połączenie jest dla nas ważne i rejestrujemy je dla celów zapewnienia jakości. Aby skierować cię do odpowiedniego działu, postępuj zgodnie z naszym menu:

Dział reklamacji - naciśnij 1.

Zastrzeganie kartę płatniczych - naciśnij 2.

Dział bezpieczeństwa - naciśnij 3.

W przypadku wszystkich innych pytań - naciśnij 0.

Ten etap ma Cię uspokoić i upewnić, że faktycznie dodzwoniłeś się do banku. Podczas swoich wcześniejszych kontaktów z infolinią wielokrotnie słyszałeś podobny komunikat i wiesz, że automatyczny serwis telefoniczny działa właśnie w taki sposób.

Etap III - naciskasz 3, a bezosobowy głos w słuchawce podaje Ci kolejne instrukcje: - Bezpieczeństwo naszych klientów jest dla nas ważne. Aby przejść dalej, wymagamy uwierzytelnienia tożsamości przed kontynuowaniem. Wpisz swój numer PESEL, a następnie wciśnij krzyżyk.

Także i to żądanie nie wydaje Ci się niczym niezwykłym. Podczas ostatniej rozmowy z konsultantem na temat drobnego opóźnienia w spłacie rat kredytu zostałeś poproszony o podanie numeru PESEL, uważasz więc, że jest to standardowa praktyka w Twoim banku.

Etap IV – właściwy atak. Wpisujesz numer identyfikacyjny i słyszysz następną komendę: - Dziękujemy. Teraz wpisz swój numer rachunku, a następnie wciśnij krzyżyk. Po spełnieniu tej prośby pada ostatnia wytyczna: - Za chwile zostaniesz połączony z Działem Bezpieczeństwa. W celu zakończenia procesu weryfikacji wpisz swój login i hasło i naciśnij krzyżyk.

Robisz to i w słuchawce zapada głucha cisza... Przestępcy właśnie dostali to, czego chcieli.

Jak bronić się przed vishingiem?

Pamiętaj, jeśli nie chcesz, aby Twoje wrażliwe dane trafiły w ręce nieuprawnionych osób, podczas kontaktów telefonicznych inicjowanych przez bank musisz pamiętać o kilku zasadach.

  1. Autentyczny konsultant banku NIGDY nie zapyta Cię o takie kwestie, jak pełne loginy i hasła do bankowości elektronicznej, PIN, kody weryfikacyjne do kart (CVV), numer i datę ważności karty, kody SMS autoryzujące transakcje, kody QR, aktualny odczyt z tokena czy dodatkowe hasło wymagane dla niektórych kart w procesie weryfikacji 3D Secure. Większość tych informacji (np. hasła i PIN-y) jest przechowywana w systemie banku w zaszyfrowanej postaci i pracownicy nie mają do nich dostępu.
  2. Może się jednak zdarzyć, że w trakcie rozmowy zostaniesz poproszony o podanie numeru PESEL, nazwiska panieńskiego matki, a nawet część loginu. Konsultant może też zapytać, czy masz jakąś lokatę lub kredyt (jednak nie ma prawa pytać o wysokość zobowiązania). Jeśli będziesz miał choć cień wątpliwości, czy rzeczywiście rozmawiasz z przedstawicielem instytucji finansowej - przerwij rozmowę, zadzwoń na infolinię i potwierdź, czy osoba o danym imieniu i nazwisku rzeczywiście tam pracuje.
  3. Jednak aby sprawdzenie miało sens, musisz mieć pewność, że faktycznie dodzwoniłeś się do banku. Co sprytniejsi przestępcy potrafią przy użyciu hakerskiego triku - tzw. caller ID spoofing - zmienić numer telefonu, z którego wykonują połączenie, tak aby rozmówcy wyświetlił się identyfikator banku. Reasumując – możesz być przekonany, że rozmawiasz z infolinią, tymczasem prowadzisz rozmowę z przestępcą. Aby uniknąć takiej sytuacji, połącz się z bankiem za pomocą innego aparatu niż ten, na którym odebrałeś pierwsze połączenie.
  4. NIGDY nie oddzwaniaj na nieznany numer. Nietrudno jest tak zorganizować oszustwo, by pod podanym przez przestępcę telefonem dyżurował wspólnik podszywający się pod konsultanta lub włączyła się automatyczna centrala telefoniczna „banku”.

Podsumowanie

Często zdarza się, że pracownicy banków dzwonią do nas w różnych sprawach i w ramach identyfikacji klienta proszą o podanie niektórych danych. Tymczasem my mamy raczej nikłe szanse, by sprawdzić, kim naprawdę jest osoba dzwoniąca. Ponadto wielu pracowników banku często wykonuje telefony z zastrzeżonych numerów, co jeszcze bardziej utrudnia ich weryfikację.

Dlatego podczas inicjowanego przez bank kontaktu zachowajmy elementarną czujność. Jeśli tematem rozmowy będą „niespodziewane problemy z kontem”, a rozmówca będzie nas zachęcał do ujawnienia poufnych danych, najprawdopodobniej staliśmy się obiektem ataku oszustów. Pamiętajmy - bank nigdy nie zadaje pewnych pytań, na które odpowiedź zna tylko klient. Nie pyta o login i hasło dostępu do konta, nie żąda podania PIN-u ani wrażliwych danych karty. Banki same przypominają o tym fakcie na swoich stronach i uczulają na takie sytuacje.

Szkoda jednak, że w ramach troski o dobro klienta nie wdrażają procedur, które mogłyby znacznie utrudnić życie przestępcom. Wystarczyłoby np. poprosić nowych klientów, aby przy podpisywaniu umowy o dany produkt (rachunek, lokatę, kredyt, kartę kredytową) wpisali hasło pozwalające na identyfikację konsultanta podczas rozmowy telefonicznej. Niestety, choć banki bardzo wnikliwie weryfikują naszą tożsamość, same nie ułatwiają nam weryfikacji tożsamości swoich pracowników.

Ten brak symetrii w relacjach bank – klient stał się tematem listu, napisanego przez klientkę jednego z angielskich banków. Choć list najprawdopodobniej jest jedynie żartem, dobrze pokazuje, jak skomplikowane, nieprzyjazne i uciążliwe są dla klientów telefoniczne formy kontaktu z bankiem, warto więc na zakończenie zacytować jego fragment:

- Szanowni państwo! Do niniejszej wiadomości załączam aplikację do kontaktu ze mną, którą musi wypełnić wasz pracownik chcący do mnie zadzwonić. Przykro mi, że zawiera ona aż 8 stron, ale muszę wiedzieć o nim przynajmniej tyle, ile bank wie o mnie. (...) Wasz pracownik będzie też zobligowany do posiadania numeru PIN, który będzie musiał podawać podczas rozmów ze mną. Naprawdę żałuję, że nie może mieć mniej niż 28 cyfr, ale, ponownie, wzoruję się tutaj na liczbie naciśnięć przycisków wymaganej do dostępu do moich usług bankowych przez telefon. (….) Niestety, muszę pobierać od was opłaty, związane z pokryciem nowej funkcjonalności zintegrowanej w moim telefonie. Na osłodę możecie sobie posłuchać relaksującej muzyki, która będzie grała podczas trwania połączenia.

Niestety, dopóki instytucje finansowe nie udostępnią nam narzędzi pozwalających na sprawdzenie tożsamości rozmówcy i gwarantujących, że naprawdę rozmawiamy z pracownikiem banku, jedynym sposobem, by skutecznie obronić się przed vishingiem, jest nasza rozwaga i zdrowy rozsądek.

Z ostatniej chwili

  • 18.10.2018 15:23

    W najnowszej promocji BGŻ BNP Paribas za założenie Konta Optymalnego i umiarkowaną aktywność możesz zdobyć nawet 200 zł.

  • 18.10.2018 14:03

    Promocja "Studenci rządzą": jeżeli jesteś studentem i założysz Konto Jakie Chcę w Santanderze to możesz liczyć na 100 zł premii.

  • 18.10.2018 08:32

    Korzystając z karty kredytowej Mastercard Business Lotos Alior Banku możesz tankować paliwo nawet 20 gr/l taniej. Do tego są rabaty m.in. na myjnię.

  • 17.10.2018 15:34

    Citi Handlowy przygotował promocję, która ucieszy osoby regularnie wykonujące płatności w walutach obcych.

  • 16.10.2018 18:17

    W konkursie Alior Banku posiadacze Konta Jakże Osobistego mogą wygrać wyjazd do Rzymu. Szczegóły tutaj.

  • 16.10.2018 13:47

    Alior Bank oferuje 2,7% na swoim Koncie Mocno Oszczędnościowym. Promocyjne oprocentowanie obowiązuje przez 4 miesiące dla kwot do 100 000 zł.

  • 15.10.2018 17:20

    Za płatność Masterpassem za zamówienie o wartości min. 100 zł na Morele.net możesz otrzymać 25 zł na kolejne zakupy

  • 15.10.2018 14:30

    Getin Bank odnowił promocję, w której oprocentowanie nowych środków na koncie oszczędnościowym do 200 tys. zł wynosi 3% w skali roku przez 92 dni.

  • 15.10.2018 14:19

    Zrób zakupy w sklepie internetowym Empiku, zapłać za nie Masterpassem, a dostaniesz 20 zł. Zakupy możesz powtórzyć 3 razy, łącznie zarabiając 60 zł.

  • 15.10.2018 08:35

    Mastercard twierdzi, że z jego kartą płatniczą kolejne kroki zrobisz z łatwością. Oferuje bowiem aż 50% rabatu na buty z kolekcji 574 marki New Balance.

Pominęliśmy coś ważnego? Napisz do nas!

Wiadomości

Ta strona korzysta z ciasteczek. Dalsze korzystanie z serwisu oznacza, że zgadzasz się na ich użycie. Więcej szczegółów w polityce prywatności.