Reklama

Reklama

​"Tu infolinia banku", czyli uwaga na spoofing. Jeden nierozważny ruch i oszuści wyczyszczą twoje konto

Oszukiwali, podając się za wnuczka. Przejmowali nasze dane, dzwoniąc jako pracownicy banków. Ale internetowi oszuści stają się coraz sprytniejsi. Dzięki bramkom spoofingowym dzwonią na nasze komórki z prawdziwych numerów bankowych infolinii. - Kiedy wyświetla ci się twój bank, nie przychodzi ci do głowy, że po drugiej stronie siedzi oszust - mówi Interii ofiara telefonicznego spoofingu.

Kiedy na telefonie pana Krzysztofa wyświetlił się numer banku, w którym ma konto, nie przeczuwał żadnych kłopotów.

- Kiedyś zapisałem sobie numer do nich, więc kiedy pewnego dnia wyświetlił mi się napis "Bank" byłem pewien, że chcą mi zaproponować jakiś kredyt albo kartę - opowiada mężczyzna.

Rozmowa potoczyła się jednak w nieco innym kierunku.

Uwaga! To już plaga, pieniądze znikają z kont

- Pan przedstawił się jako specjalista departamentu bezpieczeństwa banku. Podał moje imię i nazwisko, zapytał czy mam w ich banku kartę kredytową, a kiedy potwierdziłem, wyrecytował nawet cztery jej ostatnie cyfry. Nie miałem żadnych wątpliwości, że musi być ich pracownikiem - opowiada pan Krzysztof.

Reklama

Potem było już coraz bardziej dramatycznie.

- Konsultant powiedział mi, że dziesięć minut temu z mojego konta dokonano przelewu czterystu złotych na rachunek jakiegoś mężczyzny, podał nawet jego nazwisko. Zapytał, czy to ja wykonałem ten przelew? Byłem w szoku, bo nie robiłem żadnej transakcji - wspomina oszukany mężczyzna.

Oszust tłumaczył naszemu rozmówcy, że bank wykrył podejrzany przelew, bo ostatnio mają wiele prób kradzieży i przez to monitorują jeszcze dokładniej wszelkie podejrzane transakcje.

- Potem prosił jeszcze, żebym sprawdził czy nie zgubiłem karty, pytał czy w ostatnich dniach nie dostałem jakichś podejrzanych maili i czy nie otwierałem załączników z nieznanych źródeł. To wszystko brzmiało wiarygodnie i profesjonalnie - przyznaje nasz rozmówca.

Pan Krzysztof był coraz bardziej zdenerwowany. Lęk, że ktoś włamał się na jego konto rósł. Konsultant szybko zaoferował pomoc.

- Coś tam stukał, sprawdzał i powiedział, że przelew z mojego konta to wynik zainfekowania mojego telefonu złośliwym oprogramowaniem i żebym się nie denerwował, bo on zaraz pomoże mi zrobić skan antywirusowy, a to wyczyści mój telefon - opowiada oszukany mężczyzna.

Zamiast telefonu "konsultant" wyczyścił konto

Fałszywy konsultant poprosił naszego rozmówcę, aby ściągnął na swoją komórkę aplikację pozwalającą na zdalny dostęp do jego urządzenia. Krok po kroku wytłumaczył jak to zrobić.

- Jak już ściągnąłem to co kazał, to powiedział, że połączy mnie z działem technicznym, że tam specjaliści przeskanują mój telefon, że będą przychodzić jakieś wiadomości. Tłumaczył, że muszę zalogować się do banku, ale ponieważ moja bankowa aplikacja jest zawirusowana, to mam logować się przez przeglądarkę - wspomina.

SPRAWDŹ: Założyła fałszywe konto bankowe. Straciła prawie 40 tys. zł

Pan Krzysztof połknął haczyk. Zainstalował na swoim telefonie wskazaną aplikację. Nie wiedział, że w ten sposób oddał kontrolę nad swoim telefonem złodziejowi. Kosztowało go to 10 tysięcy złotych. Tyle, ile miał na koncie.

- I podobno i tak jestem szczęściarzem, bo na policji powiedzieli, że złodzieje mogli prócz wyczyszczenia mojego konta, jeszcze zaciągnąć na mnie kredyty - podsumowuje oszukany.

Brzmi jak film science fiction? To spoofing telefoniczny, czyli podszycie się pod cudzy numer telefonu w celu oszukania nieświadomej niczego ofiary. W ostatnich miesiącach jest codziennym sposobem na próbę oszukania milionów Polaków.

Mechanizm prosty i bardzo bolesny

Cała sytuacja ma na celu jedno: aby klient zainstalował na swym urządzeniu aplikacje pozwalające oszustom na zdalny dostęp do smartfona lub laptopa ofiary.  

- Fałszywi konsultanci najczęściej proszą o ściągnięcie aplikacji TeamViewer Quick Support lub AnyDesk. Zainstalowanie ich powoduje, że oszust zyskuje swobodny dostęp do naszych haseł, danych do logowania i nim się obejrzymy ukradnie z naszego konta wszystko co mamy - przestrzega Szymon Bagrowski, ekspert ds. bezpieczeństwa w sieci.

Żeby uwiarygodnić atak i uśpić naszą czujność oszuści dzwonią z numerów naprawdę należących do banków. Jeśli mamy numer naszego banku wpisany do książki telefonicznej, to w momencie połącznie na naszym wyświetlaczu pojawi się taka nazwa rozmówcy, jaką wpisaliśmy. Jeśli nie mamy banku wpisanego, pojawi się numer, który po szybkim sprawdzeniu w internecie okaże się rzeczywistym numerem infolinii.

Jakim cudem?

- Taką możliwość dają nowe rozwiązania technologiczne, gdzie aparat telefoniczny nie jest podłączony do sieci telefonicznej tylko do komputerowej. Dzięki temu dzwoniący może ręcznie wprowadzić numer, a nawet jego opis, który wyświetli się adresatowi jako połączenie przychodzące - tłumaczy Iwona Liszczyńska z Wielkopolskiej Policji.

Spoofingowe bramki można znaleźć w internecie bez trudu. Kuszą opisami:

"Zaloguj się, aby wykonywać fałszywe połączenia". "Zmień to, co widzi odbiorca na swoim wyświetlaczu, gdy do niego dzwonisz. Nigdy się nie dowiedzą, że to ty!". "To proste i działa na każdym telefonie na świecie!"

- Serwery czy też bramki spoofingowe to oficjalnie internetowa usługa lub platforma do robienia niegroźnych żartów. Dla garstki może i jest sposobem na zrobienie komuś mniej lub bardziej zabawnej "wkrętki", ale dla innych jest już możliwością zarobku, kosztem kogoś, kto traci swój majątek - mówi Szymon Bagrowski, ekspert ds. bezpieczeństwa w sieci.

- Tych bramek zablokować nie można. Są legalne, jak przed laty bramki do wysyłania sms-ów. To są rozwiązania technologiczne, które daje telefonia internetowa - tłumaczy Iwona Liszczyńska z Komendy Wojewódzkiej Policji w Poznaniu.

Unia Europejska chce pozwać Apple. Chodzi o płatności NFC

Skąd złodziej ma nasze dane, nierzadko bardzo szczegółowe?

- Informacje te pochodzą z baz danych, które wykradziono na przykład sklepom internetowym, w jakich robiliśmy zakupy w przeszłości. Takie wycieki zdarzają się co kilkanaście dni. W ten sposób złodzieje otrzymują nasze nazwisko, numer telefonu i cztery ostatnie cyfry karty płatniczej - ostrzega Piotr Konieczny, szef zespołu bezpieczeństwa portalu Niebezpiecznik.pl, w opublikowanym przez serwis na You Tubie filmie "Posłuchaj złodzieja, który od roku oszukuje Polaków".  

"Nie ma dnia by w ten sposób kogoś nie oszukano. To już plaga"

Eksperci przyznają, że mimo publikowanych od miesięcy ostrzeżeń banków i policji skala takich ataków i ich skuteczność jest bardzo duża.

- Do oszukańczych prób wyłudzeń kredytów, które podlegają analizie, dochodzi do ponad 21 razy dziennie, ale w rzeczywistości skala nieraportowanych ataków oszustów jest wielokrotnie większa. Jak podaje raport InfoDok, opracowany przez Związek Banków Polskich, łączna kwota na jaką złodzieje chcieli wyłudzić kredyty w drugim kwartale 2021 roku wyniosła 76,4 mln zł. To o 21 proc. więcej niż przed rokiem - podkreśla Aleksandra Stankiewicz-Billewicz z Biura Informacji Kredytowej.

Na spoofing telefoniczny nabierają się nie tylko starsi, mniej doświadczeni użytkownicy internetu. Okraść dają się także młodzi, obyci z technologią ludzie.

- Metoda na wnuczka czy na policjanta dotyczyła osób starszych, które mają dobre serce, chcą pomóc bliskim. Oszuści wykorzystywali ich ufność. Przy spoofingu poszli w swojej bezczelności o krok dalej, ponieważ oszukani to cały przekrój klientów banków. Bez względu na wiek, płeć, zawód czy wykształcenie, wszyscy dają się na to naciągnąć - opowiada Iwona Liszczyńska z wielkopolskiej policji.

Bo tu w grę wchodzą sprawdzone socjotechniki. Oszuści zazwyczaj wykorzystują moment, kiedy jesteśmy zajęci, skoncentrowani na czymś innym. Dodatkowo we wszystkich rozmowach zawsze występują dwa elementy - presja czasu i poczucie zagrożenia.

- Pośpiech, budowanie napięcia, wspominanie, że po rozmowie skontaktuje się z nami policja lub prośba, byśmy po odłożeniu słuchawki sami zgłosili sprawę organom ścigania. A do tego szczegółowe dane jakie podaje nam konsultant - nazwisko tego, kto rzekomo usiłował nas okraść i własne dane, w tym imię, nazwisko, a nawet numer pracownika. Wszystko oczywiście zmyślone - tłumaczy Szymon Bagrowski.

Słowa eksperta potwierdza oszukany pan Krzysztof.

- Rzekomy pracownik ciągle powtarzał, że muszę zainstalować tę aplikację natychmiast, że zaraz pójdą następne przelewy, że nie mamy czasu do stracenia - wspomina poszkodowany.

Kolejne warianty oszustwa

Internetowi oszuści są coraz sprytniejsi. Kilka dni temu do pani Magdy zadzwonił telefon z numeru (22) 310 44 44 - faktycznej infolinii Biura Informacji Kredytowej.

- Pan poinformował mnie, że na moje dane udzielono właśnie pożyczki na 15 tysięcy złotych. Znał moje nazwisko, nazwę banku, w którym mam naprawdę konto i co gorsza mój adres zamieszkania - opowiada kobieta.

Rzekomy pracownik BIK-u tłumaczył zaskoczonej kobiecie, że pieniądze jej przyznano, ale wskazany we wniosku rachunek jest zagraniczny i jest problem z wypłatą środków.

- Wiedziałam, że nie składałam żadnego wniosku o kredyt, więc szczerze się przeraziłam, że właśnie ktoś się podszył pode mnie i chce mnie okraść. Przez chwilę dziękowałam opatrzności, że ktoś w BIK-u dopatrzył się jakiś nieprawidłowości i dzięki niemu nie stracę pieniędzy - wspomina pani Magda.

Kobieta bardzo się ucieszyła, kiedy "pracownik" BIK-u zapewnił, że za chwilę zadzwoni do niej pracownik banku i razem postarają się odkręcić sprawę. I tak też się stało. Kilka minut później zadzwonił kolejny oszust. Natychmiast zaproponował kobiecie zainstalowanie aplikacji TeamViewer Quick Support. Na szczęście dla pani Magdy, zapytał także o to, ile kobieta ma środków na koncie.

- Wtedy coś mnie oświeciło, że gdyby naprawdę był z banku to przecież by to wiedział. Rozłączyłam się i natychmiast zadzwoniłam do banku. Oczywiście nic o żadnym przyznanym mi kredycie nie wiedzieli - wspomina pani Magda. - Ale do momentu pytania o ilość środków na koncie to wszystko brzmiało tak bardzo wiarygodnie. To nie są amatorzy - przestrzega kobieta.

- Obserwujemy taką aktywność, że oszuści dzwonią już nie tylko podszywając się pod banki, ale także pod Narodowy Bank Polski, Związek Banków Polskich czy Biuro Informacji Kredytowej. Czyli instytucje, które same w sobie nie mają nic wspólnego z udzielaniem kredytów, ale ich nazwy kojarzą się z finansami. Ludziom miesza to w głowie, zaczynają się obawiać. Działa element zaskoczenia i strachu - mówi Aleksandra Stankiewicz-Billewicz z Biura Informacji Kredytowej.

- Bywały takie dni, że w przeciągu kilku godzin odnotowywaliśmy nawet kilkanaście prób podszywania się pod samych policjantów naszego Wydziału do Walki z Cyberprzestępczością. Metod które są wykorzystywane przez oszustów jest bardzo dużo. Daleka jestem od pochylania się nad ich pomysłowością, ale jest ona ogromna - tłumaczy Iwona Liszczyńska.

Nie ma znaczenie w jakim banku masz konto. Z bankowych ostrzeżeń wynika jasno, że oszuści podszywają się obecnie pod niemal każdy bank.

Jak nie dać się okraść? "Nic nie ściągaj i natychmiast się rozłącz"

- Ponieważ zablokowanie spoofingu telefonicznego jest technicznie niemożliwe, zapobieganie tego typu oszustwom polega przede wszystkim na zwiększaniu świadomości ludzi w zakresie metod i technik wykorzystywanych przez przestępców - tłumaczy Iwona Liszczyńska z wielkopolskiej policji. - Aby nie dać się oszukać, musimy uważnie słuchać dzwoniącego i panować nad emocjami.

Najprostszy sposób to rozłączyć się i samemu zadzwonić na infolinię banku. Jeśli dzwonił do nas prawdziwy konsultant w celu potwierdzenia faktycznej operacji, potwierdzi że taki telefon naprawdę pochodził z banku. Ale zdaniem ekspertów szanse na to są niewielkie.

- Po pierwsze, trzeba pamiętać, że bank nigdy nie zadzwoni w sprawie na przykład zagrożonej gotówki, bo to tak jakby się przyznał do nie działających zabezpieczeń i na przykład włamania na serwer - mówi Interii Szymon Bagrowski, ekspert ds. bezpieczeństwa w sieci.

Podkreśla, że bank może zadzwonić i poprosić o ustne potwierdzenie próby wykonanego przelewu, ale nigdy nie będzie prosił o przelew na konto techniczne lub instalowanie czegokolwiek.

- Żadne poważne instytucje finansowe przenigdy nie będą prosiły o takie rzeczy. Jeśli ktoś dzwoni i nas o to prosi, to wiedzmy od razu, że to oszust, który chce wyczyścić nasze konto - tłumaczy Szymon Bagrowski.

Jak banki i instytucje walczą o bezpieczeństwo swoich klientów?

- Alior Bank od samego początku swojej działalności udostępnia klientom rozwiązanie pozwalające na zabezpieczenie się przed telefonicznymi próbami wyłudzenia danych metodą "na pracownika banku". Nasi klienci mają możliwość ustalenie tzw. hasła do weryfikacji zwrotnej. Jest to hasło lub fraza wymyślana przez klienta. Kiedy dzwonimy klient może poprosić osobę dzwoniącą i podającą się za pracownika banku o podanie mu tego uprzednio wymyślonego przez klienta hasła lub frazy w celu potwierdzenia, że jest pracownikiem banku - czytamy przesłanej przez Alior Bank odpowiedzi na nasze pytania.

- Biuro Informacji Kredytowej proponuje Alerty BIK, prewencyjną usługę ostrzegającą przed wyłudzeniem kredytu czy pożyczki na nasze dane.  W sytuacji wyłudzenia liczy się czas, a Alerty BIK działają w czasie rzeczywistym - przychodzą w momencie, gdy ktoś próbuje zaciągnąć kredyt na nasze dane - tłumaczy Aleksandra Stankiewicz-Billewicz z Biura Informacji Kredytowej. - Wiadomość z Alertu BIK zawiera datę złożenia wniosku, nazwę pytającej instytucji oraz numer infolinii BIK. Dzięki takiej informacji posiadacz Alertu może błyskawicznie zareagować i skutecznie uniemożliwić dalsze działanie oszustowi.

Jakie szanse ma policja z cyberprzestępcami?

- Nasi policjanci z Wydziału do Walki z Cyberprzestępczością nie raz udowodnili, że są skuteczni w swoich działaniach i że anonimowość internetowa jest tylko pozorna i w tej sprawie również nie składają broni. Nasze ustalenia trwają, ale nam zależy na tym, by jak najwięcej osób uchroniło swoje oszczędności. Ostrzegamy, że niekoniecznie to co wyświetla się na ekranie telefonu jest prawdą - dodaje Iwona Liszczyńska z Komendy Wojewódzkiej Policji w Poznaniu.

- Pamiętajmy, że kiedy dzwoni do nas oszust i mówi, że coś zainfekowało nasz telefon i właśnie jesteśmy okradani, tak naprawdę nasze pieniądze wtedy są jeszcze bezpieczne. Jeszcze! Bo jeśli posłuchamy tego o co prosi i zainstalujemy na naszym urządzeniu wskazane przez niego aplikacje to na pewno nie będą - podsumowuje Szymon Bagrowski.

Irmina Brachacz

Reklama

Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy