Tak jak zapowiadałem w jednym z poprzednich artykułów, dziś kolejne zestawienie aktualnych zagrożeń związanych z bankowością internetową. Poza scenariuszami opisywanymi już wcześniej niestety pojawiły się także nowe oszustwa. Od tego najpoważniejszego chciałbym dziś zacząć.
(tekst zaktualizowany 02.10.2024)
Oszuści telefonują do klientów i podają się za pracowników banku
Dzwoni telefon, wyświetlił się jeden z numerów Twojego banku. To rozmowa przychodząca od pracownika działu bezpieczeństwa, sam się przedstawia, sprawnie podaje kilka Twoich danych. I wyjaśnia, może trochę ze wschodnim akcentem, że ktoś chce ukraść Twoje pieniądze, a on zaraz pomoże Ci je uratować.
Brzmi dość wiarygodnie? Niestety tak. I drugie niestety – to oszustwo grubymi nićmi szyte…
Jak to działa? To podszywanie się.
Prawdopodobnie przestępcy wstępnie typują klientów banków korzystając z danych dostępnych w sieci z wycieków np. ze sklepów internetowych. W ten sposób w czasie rozmowy mogą podać np. nazwę banku, w którym masz rachunek, Twoje imię i nazwisko. Czasem mogą też znać kilka ostatnich cyfr numeru karty płatniczej.
Oszust dzwoni do atakowanej osoby i podaje się za pracownika banku – podaje swoje zmyślone imię i nazwisko, jakiś identyfikator. Zwykle jest podobno z Działu lub Departamentu Bezpieczeństwa. Aby podnieść swoją wiarygodność wykorzystuje technikę podszywania się pod numer telefonu należący do banku (to tzw. spoofing). Jak to wygląda? Otóż w telefonie wyświetli Ci się numer jaki chce Ci pokazać oszust, a nie ten prawdziwy. Dlatego nic nie da sprawdzenie w Internecie tego numeru – wyszukanie pokaże, że to numer np. infolinii banku. Co warte podkreślenia – niestety bank nic z tym nie może zrobić, to słabość systemu telefonii komórkowej.
Jeśli chcesz sprawdzić z jakich numerów telefonów dzwoni nasz bank,
to wejdź na tę stronę.
Pretekst
Żeby uśpić czujność ofiary oszust szybko powołuje się na kwestie cyberbezpieczeństwa. Straszy, że Twój komputer lub smartfon został zawirusowany i trzeba go dokładnie sprawdzić. Albo że jest jakiś oszust, który próbuje Cię okraść lub zaciągnąć w Twoim imieniu kredyt, a on właśnie dzwoni, aby Cię ratować itp. A może tym razem zaproponuje pomoc przy inwestycji w kryptowaluty lub Baltic Pipe? Scenariusze mogą się zmieniać, ale cel jest jeden – kradzież pieniędzy przez zmanipulowanie Cię, że działasz w porozumieniu z pracownikiem banku.
[Aktualizacja 30.06.2021]
„Przyznano Ci kredyt”
Już wiemy, że popularność zdobywają kolejne dwa scenariusze, od których zaczyna się atak.
Otóż w pierwszym przypadku rozmowa zaczyna się od odczytania przez automat komunikatu o rozpatrzeniu wniosku kredytowego i przyznaniu kredytu. Oczywiście osoba do której zadzwonili, nic nie wie o żadnym kredycie. Jest mocno zaniepokojona i korzysta z możliwości połączenia z doradcą („Aby połączyć się z doradcą wybierz 2…”). A ten uruchamia wspomniane wcześniej „ratowanie” pieniędzy klienta, czyli oszustwo nabiera rozpędu.
W drugim scenariuszu sprawa znowu kręci się wokół kredytu, ale tym razem rozmawia się rzekomo z pracownikiem Biura Informacji Kredytowej (BIK). Podobnie jak powyżej słyszysz, że został Ci przyznany kredyt, ale podobno podałeś niepoprawny numer rachunku do przelania całej kwoty. Ten we wniosku to jakoby konto w zagranicznym banku. Chętny do pomocy „doradca” prosi Cię o podanie prawidłowego numeru i zapewnia, że za chwilę kredyt zostanie przelany. Gdy zaskoczona potencjalna ofiara zaprzeczy, że starała się o kredyt, to słyszy, że w takim przypadku nie ma się czym przejmować. „Doradca” zaraz powiadomi policję i bank, wszystko zostanie wyjaśnione i odkręcone. Nie zapomni jeszcze zapytać „A w którym banku ma pan/pani konto?” i zapewni, że zaraz ktoś z banku skontaktuje się z Tobą. No i faktycznie, chwilę potem dzwoni ktoś, kto niby jest pracownikiem wspomnianego banku i zaoferuje… No tak, dobrze się domyślasz, zaoferuje znaną Ci już „pomoc” w ratowaniu pieniędzy.
[Aktualizacja 19.07.2024]
SMS podobno od banku
Jedna z aktualnych wersji tego scenariusza obejmuje także wysłanie do atakowanego SMS-a niby od banku, a naprawdę od oszusta, który podszywa się pod bank. W treści znajdziesz tekst rodzaju:
„Kontaktujemy się z Panem w celu weryfikacji umowy pożyczkowej. Opiekun zgłoszenia Jan Kowalski, ID: 98341, Nr Umowy 98/UMW/341„
Taki SMS może przyjść na chwilę przed połączeniem lub w jego trakcie. Jako nadawca może widnieć dowolny numer lub napis, także „CA24”, co może utrudnić Ci zorientowanie się, że to fałszywy SMS, wcale nie od banku.
„Szybko pan zainstaluje ten program”
Przestępca przede wszystkim chce widzieć co się wyświetla na smartfonie lub komputerze klienta i móc sterować urządzeniem. Dlatego najczęściej namawia Cię do pilnej instalacji programu, który ma rzekomo „usuwać wirusy” albo „jest wymagany przez dział techniczny”. Może także podawać inne powody, ale wszystkie są fałszywe.
Ta aplikacja – zwykle to jest AnyDesk lub TeamViewer QuickSupport, ale mogą być także inne – służy do uzyskiwania zdalnego dostępu do urządzenia, na którym jest zainstalowana. Jest legalna, ma poważne i praktyczne zastosowania, a w oficjalnym sklepie z programami wiele pobrań i dobre opinie. Utrudnia to zorientowanie się, że jej użycie może być też niebezpieczne. Niestety, w ten sposób dajesz przestępcy możliwość zdalnego wykonywania operacji na swoim telefonie lub komputerze. Do odczytywania z nich dowolnych informacji. Bardzo ważne – nie instaluj tej ani żadnej innej aplikacji, którą poleca Ci zainstalować nieznana osoba.
Rozwój oszustwa
Jeśli dasz się zmanipulować, to skończy się to kradzieżą pieniędzy.
Namówiony przez przestępcę logujesz się do bankowości internetowej (np. jak mówi oszust „żeby sprawdzić, czy wszystko jest w porządku”), a tamten przechwytuje Twoje dane logowania. Potem sam odczytuje kody autoryzacyjne z wiadomości SMS z Twojego telefonu i przelewa pieniądze na swoje konta. Może wypłacać środki z Twoich kart kredytowych, może będzie próbował zaciągać pożyczki.
Pamiętaj – pracownicy banków nie wymagają zainstalowania jakiegokolwiek dodatkowego oprogramowania. Nigdy nie proszą także o podawanie danych logowania ani danych kart płatniczych (numer karty, data ważności, kod CVV/CVC).
Nie będą Cię także prosili o wykonywanie jakichkolwiek przelewów, wypłacanie gotówki i wpłacanie jej na inne konta, podawanie kodów BLIK itp.
W przypadku jakichkolwiek wątpliwości rozłącz się, nie kontynuuj rozmowy, nie wykonuj żadnych poleceń. Zawsze możesz sam zadzwonić do swojego doradcy lub na infolinię i sprawdzić, czy ktoś z banku faktycznie z Tobą się kontaktował.
Najważniejsza zasada? Jeśli masz wykonać jakąkolwiek operację pierwszy raz, nie rozumiesz jej celu lub skutków, to nie daj się namówić do jej zrobienia. Odmów, rozłącz się, skontaktuj z bankiem lub porozmawiaj o tym z kimś zaufanym.
Przegląd innych ataków
Niestety nadal także są bardzo aktywni fałszywi brokerzy „pomagający inwestować” w kryptowaluty. Publikują reklamy w internecie, zapewniające o nieograniczonych zarobkach. Zalewają wiadomościami pocztowymi „przestrzegającymi”, że nie możesz tego przegapić. Że to jest ten moment, aby zostać milionerem. Że ten czy inny celebryta już to zrobił i teraz jest bogaczem…
Zbyt piękne, aby było prawdziwe? Bo tak właśnie jest. To oszustwo. Żadnych zysków w tym szachrajstwie nie ma. Co najgorsze – to nie jest żadne inwestowanie, nie zobaczysz ponownie żadnych pieniędzy, które wpłacisz przestępcom.
Nie ustają także „w wysiłkach” przestępcy grasujący na OLX, Allegro Lokalnie i Vinted, udający kupujących. Kontaktują się ze sprzedającym i na różne sposoby próbują go przekonać, że musi kliknąć w link. A potem, na wyświetlonej stronie, wprowadzić dane swojej karty płatniczej albo zalogować się do swojej bankowości internetowej, żeby odebrać pieniądze ze sprzedaży. Opisywałem już ten scenariusz – nie daj się oszukać, nie podawaj tych danych, bo nie tylko nic nie dostaniesz, ale jeszcze stracisz swoje pieniądze.
A gdyby się okazało, że ni stąd ni zowąd, odezwał się do ciebie znajomy na Facebooku z prośbą o pożyczkę kilku setek złotych (chce kod BLIK). Albo gdyby przyszedł SMS, że jakaś paczka wymaga dopłaty (bo za ciężka), albo musisz zapłacić za jej dezynfekcję. Albo wreszcie, że jest jakiś mandat na 10 zł, którego nadal nie zapłaciłeś, to pamiętaj, że to mogą być oszustwa. Jak sobie z nimi poradzić dowiesz się tutaj.
Nie wierz nawet wtedy, gdy nadawca SMS-a sugeruje, że tym razem to nie ty masz za coś zapłacić, ale to tobie ktoś przelał pieniądze (na telefon, BLIK-iem), a Ty musisz kliknąć i podać dane, aby je odebrać. Tak, niestety takie oszustwa też już się pojawiły.
I jak zawsze – bądź dobrym duchem, pomagaj bliskim, przyjaciołom i znajomym, dziel się z nimi artykułami o bezpieczeństwie z naszego bloga. Także informacjami z naszego serwisu informacyjnego – sekcja „Bezpieczeństwo” . Gdy zadzwoni do nich oszust „pomogę, bo ktoś kradnie twoje pieniądze”, odezwie się na OLX kupujący, który podobno chce, żeby już tylko „odebrać jego pieniądze” itd. to dzięki tobie będą wiedzieli jak zachować zimną krew.