test5

PEŁNY SCHEMAT OSZUSTWA:

Oszustwo „głosowe” znane, jako vishing (voice phishing) polega na kontakcie telefonicznym z wykorzystaniem najczęściej tzw. „spoofingu”, czyli podszycia się np. pod infolinię banku, instytucji państwowej lub organów ścigania w celu wyłudzenia wrażliwych danych i nakłonienia ofiary do wykonania określonych czynności. Vishing w Polsce jest często spotykanym rodzajem oszustwa, a wykorzystana w tym scenariuszu inżynieria społeczna z naciskiem na wywieranie na ofierze dużej presji czasu oraz wywołująca negatywne emocje jak strach i niepewność jest bardzo skuteczna.

[Krok; 1] Oszustwo rozpoczyna się od kontaktu telefonicznego przestępcy z ofiarą (rys. 1).

Rysunek 1 Przykład podszycia się pod infolinię banku

 

Przestępca podszywając się pod pracownika banku przesyła ofierze fałszywy SMS, aby potwierdzić swoją tożsamość. (rys.2).

 

Rysunek 2 Przykład wiadomości SMS uwiarygadniającej oszusta

 

Oszust informuje ofiarę o rzekomej próbie przelewu z jej rachunku lub o zaciągniętej na jej dane pożyczce krótkoterminowej. Zadaniem przestępcy jest w pierwszym kroku przekonać ofiarę, że dzwoni on do niej w celu zapobieżenia utraty przez nią środków. Takie działanie ma na celu uśpić czujność ofiary, wyłudzić od niej dane i nakłonić ją, aby postępowała zgodnie z wydanymi poleceniami przez oszusta.

 

[Krok; 2] Rzekomy pracownik banku po przeprowadzeniu z ofiarą wstępnej rozmowy przełącza ją do działu technicznego lub departamentu bezpieczeństwa banku, celem zainstalowania przez nią programu do zarzadzania zdalnym pulpitem. Jeżeli ofiara nie potrafi wykonać tego polecenia lub po prostu nie korzysta z bankowości internetowej, przestępca pod pozorem zabezpieczenia jej środków poleca jej wykonanie przelewu na wskazany przez niego rachunek techniczny. Jeżeli ofiara nie może również wykonać tej czynności, a ma zainstalowaną aplikację banku oszust sugeruje jej podanie kodu BLIK lub wypłatę środków w bankomacie, a następnie dokonania ich wpłaty we wpłatomacie na podany przez niego rachunek.

 

[Krok; 3] Gdy ofiara zainstaluje program do zarządzania zdalnym pulpitem oszuści proszą ją, aby ta zalogowała się do bankowości elektronicznej w celu weryfikacji operacji na swoim rachunku. Ofiara w ten sposób udostępnia swoje dane uwierzytelniające (rys. 3). W dalszym kroku oszuści zaciągają na nią kredyt w bankowości elektronicznej, a zmanipulowana ofiara najczęściej sama autoryzuje tą czynność w bankowości mobilnej lub poprzez podanie im kodów autoryzujących SMS.

 

Rysunek 3 Przykład strony logowania do bankowości internetowej

[Krok; 4] Środki z rachunku ofiary mogą zostać rozdysponowane w następujący sposób:

  • przelewem na rachunek słupa,
  • przelewem na rachunek zagraniczny,
  • przelewem na giełdę kryptowalut,
  • przelewem na przekaz pieniężny Poczty Polskiej,
  • płatność kartą na giełdy kryptowalut,
  • płatność kartą w internecie,
  • płatność BLIK w internecie,
  • wypłata/wpłata BLIK w bankomacie.

Przestępcy stosując różne warianty oszustwa, mogą podszywać się również pod Policję, lub członka rodziny ofiary (np. wnuka), by poinformować o jakiejś krytycznej sytuacji (np. wypadku) i dzięki temu nakłaniają ofiarę do wykonania określonych czynności.

W ramach vishingu i przyjętego przez przestępców scenariusza ataku, poza kradzieżą pieniędzy z rachunku ofiary, może także dochodzić do wyłudzania innych jej danych, takich jak loginy do kont w mediach społecznościowych czy wrażliwych informacji dotyczących firmy, w której ona pracuje. Oszuści mogą również nagrywać fragmenty rozmowy z ofiarą, aby później wykorzystać je w biometrycznej weryfikacji głosu w banku lub u innych podmiotów finansowych.

 

Aby nie paść ofiarą oszustów grasujących w sieci wystarczy pamiętać o kilku podstawowych zasadach bezpieczeństwa:

  • przede wszystkim kieruj się zasadą ograniczonego zaufania – nigdy nie masz pewności,
    kto może znajdować się po "drugiej stronie słuchawki”,
  • pamiętaj, że pracownik banku nigdy nie prosi o:
  • podanie pełnych danych osobowych jak numer PESEL, numer dowodu osobistego,
  • loginu i hasła do bankowości internetowej,
  • numeru karty płatniczej, daty jej ważności oraz numeru CVV,
  • zrealizowania przelewu na wskazany przez niego rachunek,
  • podanie kodu SMS autoryzującego operację finansową,
  • instalowanie aplikacji na twoim urządzeniu,
  • jeżeli nie masz pewności, z kim rozmawiasz, rozłącz się z rozmówcą i samodzielnie zadzwoń
    do instytucji, która do Ciebie dzwoniła.