Hallo, Pan nie uwierzy! W Banku doszło do kradzieży!
Telefon z banku, podczas którego dowiadujemy się, ze nasze środki są w niebezpieczeństwie to nic przyjemnego. Jednak nie zawsze to, co usłyszymy w słuchawce musi być prawdą. Przestępcy wykorzystują strach i roztargnienie nas samych w stresujących sytuacjach.
- Dzień dobry, nazywam się Jan Kowalski z Departamentu Bezpieczeństwa Banku. Z przykrością informuję, że na Pana koncie odnotowaliśmy podejrzany przelew, który prawdopodobnie jest próbą kradzieży z konta. Rekomendujemy podjęcie kroków wskazanych przez nas, które pozwolą Panu uratować oszczędności życia.
Któż nie przestraszyłby się, słysząc takie słowa w słuchawce swojego telefonu? Mało kto. Właśnie dlatego przestępcy chętnie wykorzystują scenariusz zaczynający się od takich słów. Jaki to scenariusz? Oczywiście oszustwo na pracownika banku.
Oszustwo na pracownika banku na przestrzeni lat przybrało różne formy. Jest jednak nie mniej niebezpieczne. Kontaktujący się z ofiarą przestępca jest doskonale wyszkolony w socjotechnice i metodach wywierania wpływu, przez co nawet najbardziej świadomi użytkownicy bankowości mogą być podatni na tego typu przestępstwa.
I. Wyłudzenie danych logowania.
Pierwszą formą tego oszustwa jest wyłudzenie danych logowania do bankowości elektronicznej. Przestępcy podszywający się pod pracownika banku, informują użytkownika o zdarzeniu negatywnym na jego koncie – może być to podejrzany przelew lub próba wyłudzenia kredytu. Dzwoniący objaśnia okoliczności zdarzenia, ale… wskazuje również proste rozwiązanie – podanie loginu i hasła do bankowości elektronicznej. Niczego nieświadoma i przestraszona konsekwencjami ofiara podaje te wrażliwe dane, dzięki czemu oszuści mają możliwość zalogowania się na konto lub zainicjowanie instalacji aplikacji mobilnej na urządzeniu. Gdy do tego dojdzie i ofiara autoryzuje dalsze działania tj. zmiana numeru telefonu lub akceptacja nowej aplikacji – przestępcy mają możliwość kradzieży wszystkich środków zgromadzonych na koncie poszkodowanego. Złodzieje zamiast hasła mogą prosić o podawanie kodów BLIK, dzięki którym będą realizować transakcje na koszt swojej ofiary.
II. Instalowanie dodatkowych aplikacji? -Nie, dziękuję.
Drugą formą stosowaną przez przestępców jest nakłonienie ofiary do zainstalowania dodatkowej aplikacji. W tym przypadku argumentacja opiera się o chęć ochrony środków klienta poprzez zainstalowanie aplikacji chroniącej przed nieautoryzowanym przelewem, która w istocie jest aplikacją zdalnego pulpitu. W tym schemacie oszuści uzyskują dostęp do bankowości klienta z poziomu jego komputera. Na oczach swojej ofiary dokonują kradzieży oszczędności.
III. Wpłacanie pieniędzy na "specjalny" rachunek.
Kolejną znaną formą oszustwa jest nakłonienie ofiary do wpłaty środków we wpłatomacie. W tym scenariuszu przestępcy podszywający się pod pracownika banku informują o zdarzeniu, które może zagrażać oszczędnościom. Poza podejrzanym przelewem i kredytem, potrafią powoływać się na informację, że otrzymali polecenie blokady środków na rachunku – np. od komornika czy organów ścigania. Oszuści deklarują pomoc i specjalne rozwiązanie – przygotowany specjalnie na tę okoliczność rachunek, który zapewni bezpieczeństwo pieniędzy. Przestępcy instruują ofiarę jak wykonać wszystkie niezbędne kroki do zabezpieczenia środków. Przede wszystkim nakłaniają klienta do wypłaty oszczędności z rachunku bankowego – niezależnie czy to kartą z bankomatu, czy w oddziale. Następnie wskazują wpłatomat, do którego należy się udać. Kiedy ofiara jest już na miejscu, przesyłają kody BLIK, za pomocą których osoba nieświadoma oszustwa powinna wpłacić swoje oszczędności. Środki te nie trafiają na rachunek bezpieczny, lecz na rachunki słupów, z których niezwłocznie są wypłacane w różnych miejscach w kraju. W ten sposób poszkodowany bezpowrotnie traci swoje oszczędności.
Przestępcy wiedzą jednak, że wiarygodność połączeń z nieznanych numerów może być niewystarczająca, dlatego wykorzystują dodatkowe środki do uwiarygodnienia swojego oszustwa. Często używają technologicznej możliwości podszywania się pod numery telefonów lub nagłówki wiadomości SMS, przez co klient ma wrażenie, że rozmawia z prawdziwym bankiem. Oszuści również mogą wysyłać linki do uwiarygadniających funkcjonalności, które są spreparowane i wyglądają jak faktyczne strony czy aplikacje banku.
Opisane powyżej schematy i scenariusze działań przestępców mogą się od siebie różnić. Wynika to z różnych powodów np. stopnia znajomości ofiary. Jednak zawsze występują punkty wspólne, które pozwalają nam – użytkownikom bankowości – rozpoznać, że to oszustwo:
- Kontakt telefoniczny osoby podającej się za pracownika banku, zwykle działu bezpieczeństwa,
- Przestępca informuje o negatywnym zdarzeniu – podejrzany przelew, blokada organów ścigania lub próba wyłudzenia kredytu,
- Przestępca buduje napięcie i wymusza natychmiastowe działanie – w przeciwnym wypadku, klient będzie musiał się zmierzyć z konsekwencją utraty środków,
- Przestępca instruuje szczegółowo o wszystkich działaniach – nie pozwala się rozłączyć,
- Próby potwierdzenia tożsamości przekierowują na specjalny numer telefonu, który również jest kontrolowany przez nich,
- Nakłonienie do podania wrażliwych danych lub wykonania transakcji nietypowej dla dotychczasowej obsługi klienta.
Pozornie może się wydawać, że to przestępstwo bardzo skomplikowane, a jednocześnie każdy z nas myśli, że takie rzeczy się nie zdarzają, to mnie nie dotyczy. Nic bardziej mylnego – przestępcy mogą zadzwonić do każdego z nas bez wyjątku. Bez względu na to, czy wydaje nam się, że jesteśmy świadomi zagrożenia i nie damy się oszukać na dziwną historyjkę, zawsze warto stosować się do kilku prostych zasad, które uchronią nas przed takim oszustwem:
- Zasada ograniczonego zaufania – nigdy nie podawaj wrażliwych danych tj. login i hasło przez telefon, nawet jeżeli wydaje Ci się, że wiesz z kim rozmawiasz,
- Zwracaj uwagę na szczegóły rozmowy – kiedy rozmowa nie przebiega w taki sposób jak zazwyczaj lub jest to określone w regulaminie – rozłącz się,
- Jeżeli masz wątpliwości zadzwoń na infolinię banku – pod numer widoczny na oficjalnej stronie – nigdy na numery udostępniane w trakcie rozmowy telefonicznej – i zweryfikuj, czy bank kontaktował się z Tobą,
- Nie instaluj dodatkowych aplikacji i nie klikaj w linki, które są Ci przesyłane w trakcie rozmowy – prawdziwy bank wyśle Ci powiadomienie przez aplikację mobilną,
- Nie wpłacaj oszczędności na żądanie osób trzecich za pomocą kodów BLIK – kody BLIK służą do wpłaty tylko i wyłącznie wtedy, kiedy sam wygenerujesz kod w swojej aplikacji mobilnej,
- Jeżeli nie wiesz co zrobić, kiedy otrzymasz taki telefon, nie masz aplikacji mobilnej – porozmawiaj z kimś bliskim, kto na co dzień korzysta z nowinek technologicznych.
Przestępcy każdego dnia próbują oszukać wielu z nas i nakłonić do współpracy. Należy pamiętać, że celem przestępców jest pokierowanie Tobą, aby ominąć wszystkie zabezpieczenia banku. To Ty drogi użytkowniku masz klucze do sejfu – nie udostępniaj ich oszustom bez względu na to co usłyszysz po drugiej stronie telefonu!
Autor: Jakub Sabała
Ekspert ds. Bezpieczeństwa w Biurze Bezpieczeństwa BLIKA