Vishing, czyli co to jest i jak się przed tym chronić?

Odbierając telefon należy uważnie słuchać tego, co mówi do nas dzwoniący. Za każdym razem kiedy rozmówca prosi nas o jakiekolwiek informacje szczegółowe na nasz temat, powinniśmy być ostrożni. Żaden realny podmiot nie poprosi nas o podanie kodu PIN do karty, potwierdzenia jej numeru w całości, podania 3-cyfrowego kodu CVV z tyłu karty lub autoryzacji za pomocą naszego narzędzia autoryzacyjnego. Szczególnie powinniśmy uważać, gdy nasz rozmówca będzie naciskał na pośpiech, np. stwierdzając „mamy niewiele czasu”, „musimy szybko działać” albo „to absolutnie bezpieczne, proszę się nie obawiać”. Podobnie jeżeli zapyta nas czy jesteśmy przy komputerze i zaproponuje zainstalowanie oprogramowania udostępniającego ekran, które ma ułatwić „szkolenie” z obsługi narzędzi inwestycyjnych w Internecie lub szybkie sprawdzenie, czy nasz komputer nie jest “zawirusowany”. Nie wolno nam zapominać, że we wszystkich nowoczesnych instytucjach finansowych obsługa finansów odbywa się prawie wyłącznie za pomocą przeglądarki bezpośrednio w serwisie banku i nie wymaga pobierania czy instalowania jakiegokolwiek programu.

Vishing jest wybierany przez oszustów także dlatego, że niejako blokuje on możliwość szybkiej reakcji. Rozmawiając z oszustem nie możemy w tym samym czasie zadzwonić do banku, żeby potwierdzić czy oferta którą usłyszeliśmy od oszusta jest prawdziwa albo zablokować konta przed nieautoryzowanym dostępem, czy w końcu nawet zadzwonić bezpośrednio na policję. Zdolny oszust w momencie rozłączania się będzie miał już wszystko załatwione i praktycznie natychmiast zniknie.

Niestety znajomość numeru, z którego przychodzi połączenie nie zapewni Ci bezpieczeństwa. Oszuści wykorzystują tzw. spoofing, czyli podszywanie się pod kogoś lub pod coś w celu uzyskania jakichś informacji. Dlatego połączenia telefoniczne mogą pozornie wydawać się prawdziwe, bo na Twoim telefonie wyświetli się inny numer niż ten, z którego dzwoni przestępca.

Ogólnie można wskazać, że choć vishing może przybrać różną formę i może dotyczyć różnych kwestii tak z naszej praktyki wiemy, że najczęściej będzie dotyczył następujących tematów:

Włamanie na konto bankowe lub problem z przelewem

Niezależnie od tego, czy jest to osoba, czy nagrana wiadomość po drugiej stronie, zostaniesz poinformowany, że wystąpił problem z Twoim kontem lub płatnością, której dokonałeś. Możesz zostać poproszony o podanie danych do logowania w celu rozwiązania problemu lub o dokonanie nowej płatności. Zamiast podawać swoje dane, rozłącz się i zadzwoń do swojej instytucji finansowej pod jej ogólnodostępny numer.

Niezamówione oferty pożyczek/inwestycji

Oszuści dzwonią z ofertami, które są zbyt piękne, by mogły być prawdziwe. Mówią na przykład, że możesz zarobić miliony dolarów na jednej małej inwestycji, spłacić wszystkie swoje długi za jednym zamachem lub uzyskać umorzenie wszystkich kredytów studenckich za jednym zamachem. Zazwyczaj musisz „działać teraz” i będziesz musiał zapłacić niewielką opłatę. Nie daj się na to nabrać. Legalni pożyczkodawcy i inwestorzy nie będą składać tego typu ofert i nie będą nawiązywać kontaktu bez uprzedzenia.

“Szkolenie” z obsługi programu/narzędzi inwestycyjnych

Bardzo często oszuści podszywają się pod pracowników instytucji finansowych (szczególnie jeśli wiedzą, że na przykład interesujemy się inwestowaniem lub kryptowalutami) i dzwonią w celu “nauczenia” jak posługiwać się aplikacjami inwestycyjnymi, najczęściej polecając do tego pobranie program, który umożliwi im dostęp do komputera i jego zdalną blokadę oraz kradzież znajdujących się na nim danych.

Sprawdzenie “zabezpieczeń” komputera

W tym przypadku sytuacja rozgrywa się identycznie jak w przypadku powyżej z tym, że oszust informuje nas o tym, że nasz komputer został zawirusowany lub że musi sprawdzić połączenie i bezpieczeństwo łącza. Czasem występuje też wersja, w której oszust musi “sprawdzić” nasz komputer po to, by zapewnić “najlepsze wrażenia” z pracy z aplikacją.

Fałszywe wsparcie techniczne

Z pomocą tej metody najczęściej atakuje się pracowników dużych korporacji. Oszust podszywa się wtedy za pracownika pomocy technicznej względnie za jednego z jego zastępców i twierdzi, że na przykład sprawdza łączność z serwerami ze względu na ich niedawną konserwację lub wskazuje na inny problem techniczny wymagający “pilnej naprawy”. Następnie wykorzystując brak specjalistycznej wiedzy użytkownika, namawia go na pobranie programu służącego do przejęcia zdalnej kontroli nad urządzeniem i gotowe. Względnie może powiedzieć, że jego komputer z jakiegoś powodu nie może się połączyć z naszym i nakazać otwarcie połączenia od naszej strony.

Przedłużenie polisy ubezpieczeniowej

Inną już słynną próbą oszustwa były telefony od ludzi podających się za przedstawicieli firm ubezpieczeniowych, którzy oferowali możliwość przedłużenia polisy ubezpieczeniowej lub jej zmianę na inną “korzystniejszą”. Często dla uwiarygodnienia podawali serię danych o samochodzie ofiary, takich jak marka, kolor, model itd. Wszystko to po to, by uzyskać prywatne dane ofiar lub w celu wyłudzania pieniędzy.

Oszustwa związane z przesyłkami

Oszuści, często celując w populacje imigrantów, choć nie tylko, w rozmowie telefonicznej twierdzą, że ofiara ma paczkę, którą trzeba odebrać. Oszust początkowo podaje się za firmę kurierską. Nieistniejąca paczka jest z kolei związana z finansową sprawą karną. Oszust, podając się za firmę kurierską, przekazuje ofiarę innemu oszustowi, podającemu się za policję obcego państwa. Oszust podający się za policję twierdzi, że ofiara jest podejrzana i musi zostać zbadana w ramach fałszywego śledztwa dotyczącego prania brudnych pieniędzy. Odbywa się to poprzez przekonanie ofiary, że jej tożsamość została skradziona. Następnie oszust przekonuje ofiarę do wysłania pieniędzy „policji” w celu przeprowadzenia dochodzenia w sprawie pieniędzy znajdujących się w jej banku. W trakcie całego procesu oszust może podjąć dodatkowe kroki, aby twierdzić, że nie jest oszustem, powtarzając, że policja nie będzie pytać o dane osobowe ani informacje o koncie bankowym.

Komornik lub inne instytucje

Wreszcie ostatnią z możliwych sytuacji, a zarazem najbardziej klasyczną, jest podszywanie się pod różne instytucje i straszenie, że jeżeli nie wykona się odpowiedniego przelewu to wyciągnięta zostanie przeciwko ofierze odpowiedzialność karna itp. Choć ta metoda jest najbardziej znana i raczej mało skuteczna, to wciąż wiele osób daje się na nią nabrać.

Vishing – Jak chronić się przed tą formą wyłudzenia?

Przede wszystkim zawsze należy zachować spokój i dokładnie słuchać tego co mówi rozmówca oraz skrupulatnie przeanalizować – o co pyta lub jakie informacje chce uzyskać. Jak wskazaliśmy wyżej, żadna realna instytucja nie będzie oczekiwać podania przez nas poufnych informacji przez telefon, w szczególności jeśli informacje te miałyby dotyczyć loginów, haseł, kodów PIN oraz innych informacji, które mogą być kluczem dostępu do naszych kont bankowych, czy usług cyfrowych, jak media społecznościowe, portale pracownicze i inne zabezpieczone miejsca.

Jeżeli podejrzewamy, że rozmówca po drugiej stronie linii ma nieuczciwe intencje i chce wyłudzić od nas poufne dane, powinniśmy przerwać takie połączenie i zagrozić zgłoszeniem sprawy na policję. Oszuści specjalizujący się w vishingu są sprawnymi socjotechnikami i będą robić wszystko, żeby podtrzymać rozmowę i nie dopuścić do jakiejkolwiek próby weryfikacji prawdziwości „oferty”. Nasza przewaga, której w pierwszej chwili możemy nie docenić, polega na tym, że w każdym momencie możemy nacisnąć czerwony przycisk kończący połączenie lub zwyczajnie odłożyć słuchawkę.

Jeżeli nie masz pewności, czy osoba, która dzwoni, jest przedstawicielem banku, to zerwij połączenie. Potem samodzielnie zadzwoń na infolinię banku celem weryfikacji czy to co powiedziała ci taka osoba było prawdą i czy osoba ta rzeczywiście pracuje dla danej instytucji. Pamiętaj, że prawie nigdy bank czy inna instytucja nie będą wymagać natychmiastowego działania i że prawie zawsze na wszystkie czynności otrzymasz termin. Ponadto nie akceptuj żadnej alternatywnej formy kontaktu (e-mail, SMS). W tej sposób oszuści będą próbowali wysłać Ci link lub załącznik, który zainfekuje Twoje urządzenie.

Przed wpisaniem jakichkolwiek danych gdziekolwiek upewnij się czy adres strony internetowej został wpisany poprawnie. Przestępcy często tworzą strony internetowe o nieznacznie zmienionej nazwie. Sprawdź też czy adres strony poprzedzony jest przez https://? „S” oznacza „secure” (tłum.: bezpieczny). Dzięki temu strona zapewnia ochronę przed kradzieżą tożsamości i zakłóceniami podczas przesyłania danych – dane są po prostu odpowiednio kodowane. Jeżeli w adresie widnieje samo „http” (bez „s”) oznacza to, że połączenie nie jest bezpieczne i dzwonienie tam czy podawanie jakichkolwiek danych może narazić Cię na ich utratę. Ponadto należy sprawdzić, czy na ekranie widoczna jest ikona kłódki. Powinna ona pojawić się na każdej stronie od momentu zalogowania aż do wylogowania.

Co więcej, na rynku zaczynają się coraz szerzej pojawiać programy antywirusowe dedykowane telefonom komórkowym. Pozwalają one na automatyczne blokowanie znanych numerów związanych z wyłudzeniami oraz alarmują o podejrzanych aplikacjach lub o zmianach w działaniu tych już istniejących. Warto więc wyposażyć się w takie zabezpieczenie.

Vishing – słowem podsumowania

Jak mogliśmy zaobserwować vishing, choć z pozoru wydaje się być o wiele mniej skuteczny niż inne formy, jak zwykły phishing czy smshing, jest wciąż całkiem popularny i niestety wciąż wiele osób daje się na niego nabrać i traci setki tysięcy złotych. W każdej takiej sytuacji kluczowym jest zachować spokój i dokładnie wysłuchać tego, co mówi do nas nasz rozmówca i w razie czego nie bać się rozłączyć i samodzielnie zbadać sprawę. Należy zadawać też bardzo dużo pytań oraz pamiętać, że instytucje bardzo rzadko będą do nas dzwonić, a jeśli będą oczekiwać jakiegoś działania to zawsze zostanie nam zakreślony do tego termin. Jeśli jednak padliśmy ofiarą takiego przekrętu, należy niezwłocznie skontaktować się z policją.