Ataki na klientów banków z wykorzystywaniem phishingu, czyli próby wyłudzenia danych logowania, nie są czymś nowym. Niestety w przypadku kradzieży "na pracownika banku", złodzieje wspięli się na nowe wyżyny. W efekcie ofiarami tych przekrętów padają nie tylko osoby słabo zorientowane w kwestii cyberbezpieczeństwa, ale i bardziej świadomi zagrożeń klienci banków.
Schemat oszustwa jest zazwyczaj bardzo podobny.
Etap 1. Zdobycie informacji o potencjalnej ofierze
Złodzieje muszą zdobyć jak najwięcej informacji na temat swojej potencjalnej ofiary, aby uwiarygodnić się w jej oczach. Tu z pomocą przychodzą im wycieki danych z Facebooka lub sklepów internetowych. Można tu przypomnieć choćby sklep Morele.net, z którego w 2019 roku wyciekły dane dotyczące 2,5 mln klientów, w tym adresy e-mail czy też numery telefonów.
Fałszywy pracownik banku, dzwoniąc do ofiary, może więc dysponować takimi informacjami, jak jej imię i nazwisko, numer telefonu, nazwa banku, którego jest klientem, a nawet ostatnie cyfry karty płatniczej, które często podajemy, gdy płacimy za zakupy w sklepie internetowej.
Etap 2. Telefon
Oszuści dzwonią do ofiary, a na jej telefonie wyświetla się prawdziwy numer infolinii banku. Jak to możliwe? Wykorzystują do tego jedno z wielu dostępnych narzędzi umożliwiający podmianę własnego numeru telefonu na dowolny inny numer. Osoba odbierająca połączenie może więc poczuć się w miarę bezpiecznie. W końcu wszystko wskazuje na to, że dzwoni do niej ktoś z oficjalnej infolinii banku.
Etap 3. Rozmowa
W czasie rozmowy oszust podaje się za pracownika wybranego banku. Najczęściej twierdzi, że dzwoni z działu bezpieczeństwa. Ofiara pytana jest o to czy jest właścicielem karty płatniczej o końcówce XXX oraz, czy w ostatnim czasie wykonywała przelew na rachunek należący do XXX (tu pada nazwisko jakiejś osoby). W kolejnym kroku ofiara jest informowana o tym, że miał miejsce nieautoryzowany przelew na kwotę XXX, co jest efektem infekcji smartfona złośliwym oprogramowaniem.
Etap 4. Aplikacja
Następnie złodzieje tłumaczą, że zgodnie z regulaminem banku niezbędne jest zainstalowanie aplikacji, która umożliwi przeskanowanie urządzenia pod kątem wirusów. Ofiara jest zapewniana, że aplikacja ta jest bezpieczna i należy do banku. Tymczasem aplikacje TeamViewer Quick Support oraz Anydesk, do instalacji których starają się przekonać złodzieje, nie mają nic wspólnego z żadnym bankiem. Są to narzędzia umożliwiające zdalne przejęcie kontroli nad danym smartfonem.
Etap 5. Przejęcie telefonu
Jeśli ofiara zainstaluje jedną z tych aplikacji na telefonie, uruchomi ją, a następnie przekaże złodziejom kod weryfikacyjny, uzyskają oni zdalny dostęp do telefonu. Będą mogli zalogować się do aplikacji bankowości elektronicznej, wykonywać przelewu, a także je autoryzować.
Co gorsza, gdy zostaniemy tak okradzeni, odzyskanie tych pieniędzy na drodze reklamacji będzie prawie niemożliwe. W oczach banku, w sytuacji, w której dobrowolnie przekazujemy komuś kontrolę nad naszym telefonem, okradamy się tak naprawdę sami. Wina leży więc wyłącznie po naszej stronie.
Eksperci serwisu Niebezpiecznik.pl kilka dni temu opublikowali przebieg przykładowej rozmowy między fałszywym pracownikiem banku a klientem. Nagranie można zobaczyć poniżej.
Jak nie dać się oszukać?
Po pierwsze, telefony z infolinii banku zawsze traktujmy z nutką podejrzliwości. Fakt, że na naszym telefonie wyświetla się numer banku, nie oznacza wcale, że dzwoniący jest tym, za kogo się podaje. Jeśli mamy jakiekolwiek wątpliwości, już na samym początku rozłączmy się, a następnie wykonajmy telefon do banku, aby dowiedzieć się, czy rzeczywiście zaistniał jakiś problem na naszym rachunku.
Po drugie, pamiętajmy, że pracownik infolinii banku nie ma prawa prosić nas o podanie naszego hasła, czy też innych danych logowania do bankowości elektronicznej. Nie może również nakłaniać nas do instalacji żadnej aplikacji, z oficjalną aplikacją banku włącznie.
Wreszcie, po trzecie, zadbajmy o naszą internetową tożsamość, a przede wszystkim o bezpieczeństwo naszych haseł. Niestety, nie wszystko zależy tu od nas. Możemy korzystać nawet ze skomplikowanych haseł, ale jeśli sklep, z którego usług korzystamy, padnie ofiarą wycieku, to na niewiele się to zda.
Dlatego hasła warto zmieniać regularnie - nawet co 2-3 miesiące. Warto również pamiętać o zasadzie jedno konto = jedno hasło. Korzystanie z tego samego hasła do wszystkich usług, to prezent dla przestępców. To tak, jakbyśmy wręczyli im uniwersalny klucz do naszej sieciowej tożsamości.
Istnieje sposób na to, aby sprawdzić, czy padliśmy ofiarą wycieku danych z Facebooka lub innego tego rodzaju wycieku. Umożliwia to strona HaveIBeenPwned.com, z stworzenie której odpowiada Troy Hunt, znany ekspert ds. bezpieczeństwa.
Wystarczy wpisać w wyszukiwarce nasz adres e-mail, a HaveIBeenPwned wygeneruje dla nas listę serwisów, z których mogły wyciec nasze dane. Co więcej, niedawno udostępniono też funkcję wyszukiwania po numerze telefonu (podajemy go w formacie +48 XXX XXX XXX).
