Banki ostrzegają przed wzbierającą falą bardzo sprytnych kradzieży pieniędzy z naszych kont bankowych. Oszczędności całego życia są przelewane na konta złodziei niemal na naszych oczach. A wszystko zaczyna się od… telefonu z infolinii. Z bardzo dobrze podrobionej. To „bankowa infolinia”, której „pracownik” dzwoni z tego samego numeru telefonu, z którego rzeczywiście kontaktuje się z nami bank
Niektórzy bankowcy wiążą mnogość prób kradzieży pieniędzy z niedawnym gigantycznym wyciekiem danych z Facebooka i Linkedina – ujawniono w nich dane e-mail i numery telefonów kilku milionów Polaków oraz setek milionów osób na całym świecie. Złodzieje dostali więc do dyspozycji „książkę telefoniczną”, z której mogą korzystać (tutaj piszemy czy i jak można o to pozwać np. Facebooka).
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Wiele wskazuje na to, że do ataków wykorzystywane są fikcyjne call-centers, czyli kilku przestępców podszywa się pod pracowników bankowych infolinii, które dzwonią do nas i próbują nakłonić do przekazania loginu i hasła do konta oraz do zaakceptowania „testowego” przelewu.
Etap pierwszy: numer telefonu i e-mail. I fałszywy „mandat”
Jak to możliwe, że ludzie się na to nabierają? Wbrew pozorom oszustwo jest bardzo dobrze zorganizowane i uwiarygodnione na kilku etapach.
Wszystko wskazuje na to, że zanim dochodzi do próby kradzieży, następuje szeroka akcja wysyłania ludziom spamu e-mailowego. Są to informacje o konieczności dopłaty do przesyłki pocztowej (czyli podrobiona komunikacja od kuriera) albo o nie zapłaconym mandacie.
Gdy ofiara kliknie podesłany przez przestępców link, pojawia się podrobiona bramka płatnicza, na której klient wskazuje nazwę banku, za pomocą którego chce zrobić dopłatę. Dzięki temu przestępcy wiedzą, w którym banku ofiara ma konto bankowe.
Jeśli przy okazji uda się ją skłonić do przeprocesowania fikcyjnej płatności, to mają już jej login i hasło do konta. Jeśli nie – robią drugi krok, czyli do niej dzwonią. Jeśli jest to ofiara wycieków danych z portali społecznościowych, to mają przecież nie tylko jej e-mail, ale i numer telefonu.
Z informacji, które dostałem od bankowców wynika, że odstęp między etapem phishingu e-mailowego i telefonem do klienta jest długi, nawet kilkutygodniowy. Chodzi o to, żeby klient zapomniał już, że dostał podejrzanego e-maila o nie zapłaconym mandacie i nie skojarzył tego faktu z wydarzeniami, które później mają nastąpić.
W tzw. międzyczasie powstaje w internecie fikcyjna strona banku. Ale nie po to, żeby kraść dzięki niej pieniądze. Powstaje ona po to, żeby bank na to zareagował i wysłał do klientów komunikat: „uważajcie na fałszywą stronę banku, która pojawiła się w sieci”. Takie komunikaty zwykle są publikowane na stronach banków. I ten komunikat jest jedynym celem wystawienia fikcyjnej strony przez złodziei (za chwilę wyjaśnię po co im to jest potrzebne).
Etap drugi: bankowa infolinia prawie jak prawdziwa
W tym momencie zaczyna się decydujący etap kradzieży. Do klienta dzwonią bowiem „pracownicy” ich banku (przestępcy, po udanym phishingu e-mailowym wiedzą już którą infolinię mają udawać). Dzwonią – uwaga – z właściwego numeru telefonu, a więc klientowi wyświetla się na telefonie rzeczywisty numer infolinii. Z punktu widzenia to wygląda tak, jakby dzwoniła bankowa infolinia.
Niestety, w XXI wieku istnieje możliwość zarówno wysłania nam e-maila, w którego adresie nadawcy będą nieprawdziwe dane (np. adres e-mail skrzynki naszego banku, choć nadawca wcale z banku nie pisze), jak i możliwość zadzwonienia do nas z innego numeru telefonu, niż ten, który nam się wyświetla.
Po odebraniu telefonu „z infolinii”, gdy klient żyje w przekonaniu, że dzwonią do niego z banku (bo numer się zgadza i rzeczywiście jest to „ich” bank), następuje socjotechniczna próba uwiarygodnienia całego przedsięwzięcia. Jeden „pracownik” zadaje kilka pytań weryfikacyjnych, po czym „łączy” klienta z drugim pracownikiem, z działu bezpieczeństwa. Ta fikcyjna bankowa infolinia jest prawie tak rozwinięta, jak prawdziwa
Ten drugi pyta, czy do klienta dotarł komunikat o fałszywej stronie banku. Komunikat – jak wiemy – prawdziwy, bo sprowokowany przez przestępców. Klient, jeśli go nie przeczytał, jest informowany o tym, żeby znalazł stronę banku w interencie i osobiście potwierdził, iż bank chce go ostrzec przed przestępcami.
Etap trzeci: „weryfikacja salda” na koncie
Potem klient jest przekierowany do „działu wsparcia”, w którym kolejny „pracownik” informuje go, że w związku z tą akcją trzeba sprawdzić czy pieniądze są bezpieczne, bo mogło dojść do wycieku. I prosi klienta, by ten potwierdził login, hasło do konta oraz wysokość salda oraz zatwierdził SMS-a autoryzacyjnego, który przyjdzie.
Sytuacja jest więc taka: dzwoni facet z numeru bankowego, przedstawia się jako pracownik infolinii mojego banku, pokazuje mi prawdziwy komunikat mojego banku informujący o ryzyku utraty pieniędzy i prosi o potwierdzenie salda rachunków SMS-em.
W drugim wariancie – gdy na pierwszym etapie phishingu przez e-mail klient podał na „podstawionej” stronie login i hasło, a nie tylko kliknął nazwę swojego banku stronie do „dopłaty za paczkę” czy „opłacenia biletu” – „pracownik” uwiarygadnia się dodatkowo, podając klientowi jego login.
Niezależnie od wariantu, w obu przypadkach SMS autoryzacyjny nie dotyczy oczywiście żadnego potwierdzenia sald, tylko przelewu pieniędzy na konto złodziei. W tym samym czasie, gdy klient loguje się na swoje konto, żeby „potwierdzić saldo” to samo robią złodzieje i zlecają przelew.
Jeśli klient nie przeczyta dokładnie tego, co zatwierdza – a „pracownik banku” wywiera na nim presję, przekonując, że na jego koncie dzieje się coś dziwnego (nota bene rzeczywiście się dzieje, ale wyłącznie z powodu tego złodzieja) i że uratowanie pieniędzy jest kwestią sekund – to zatwierdzi przelew do złodziei.
Czy podrabiana bankowa infolinia jest naprawdę aż tak dobra?
Zastanawiacie się, czy jest możliwe, żebyście też padli ofiarą takiego przekrętu? Na pierwszy rzut oka dużo rzeczy się tutaj nie zgadza. Ale pamiętajmy, że dzwoni do nas człowiek z numeru, z którego zwykle dzwonią do nas z banku. Że dzwoni z „naszego” banku. Że nasz bank rzeczywiście ostrzega przed przestępstwami i że ten człowiek pokazuje nam ten komunikat (a więc robi wrażenie, że ma dobre intencje). Do tego momentu wszystko się zgadza.
Jeśli klient – a „infolinia” jest podrobiona sprawnie, łącznie z przekierowaniem klienta z „działu” do „działu”, pytaniami weryfikacyjnymi – zapisze sobie w głowie, że naprawdę dzwonią do niego z banku, to może stracić czujność. Zwłaszcza pod presją czasu („proszę pana, decydują sekundy”).
Jak nie dać się nabrać? To w sumie proste. Po pierwsze nie podawać nikomu loginu, ani hasła oraz czytać SMS-y autoryzacyjne przed ich zatwierdzeniem (lub komunikaty podawane przez aplikację mobilną, o ile zatwierdzamy przelewy w ten sposób).
Druga rada: nie rozmawiajmy z pracownikami banków przez telefon na „strategiczne” tematy. Albo w ogóle nie rozmawiajmy. Niektóre banki pozwalają klientom definiować hasło, które pracownik musi podać potwierdzając swoją tożsamość. To też zmniejsza ryzyko.
Telekomy wrotami do pieniędzy klientów banków
Tak naprawdę żeby było bezpiecznie, to komunikacja klienta z banku powinna być prowadzona tylko „wewnątrz” aplikacji mobilnej. Tylko wtedy klient ma pewność, że rozmawia z pracownikiem banku, bo wcześniej sam zalogował się do aplikacji, czyli bezpiecznej przestrzeni. Infolinia bankowa to w zasadzie powinien być kanał przeznaczony do komunikacji tylko wtedy, gdy to klient chce się czegoś dowiedzieć.
Bolesna prawda jest taka, że coraz więcej kradzieży zaczyna się od „nieszczelności” sieci telekomunikacyjnych (wydanie nieuprawnionej osobie duplikatu karty SIM, możliwość podrobienia numeru telefonu), albo dostawców usług e-mail (podatność na włamania, możliwość podrobienia bankowego adresu e-mail w komunikacji z klientem). Bank nie ma na to żadnego wpływu. A to oznacza, że komunikacja z klientem powinna zostać docelowo skanalizowana w aplikacji mobilnej, do której klient się loguje.
To oczywiście nie wyklucza ostatniego czynnika ryzyka – iż ktoś go do tego logowania skłoni fałszywym komunikatem. Pamiętajmy: myśląc o swoich pieniądzach zachowujmy się tak, jakby nasz numer telefonu i adres e-mail znał każdy potencjalny złodziej na świecie. Niestety, po wyciekach z Facebooka i Linkedin w wielu przypadkach nie musimy sobie tego wyobrażać, bo po prostu tak jest.
Zobacz również to: W erze Covid-19 banki szerzej otwierają się na bankowanie przez telefon. A to najlepsza brama dla złodziei naszych pieniędzy!
Przeczytaj również: Nas również dopadł wyciek danych z Facebooka
Czytaj też: Prywatność w sieci. Jak chronić ją przed hakerami, złodziejami, szpiegami i… rządem?
—————————
HOMODIGITAL.PL POLECA:
>>> Sprawdź hosting od Zenbox: Masz stronę internetową, e-sklep, prowadzisz bloga? Szukasz najlepszego na rynku hostingu? Sprawdź Zenbox, czyli hosting, któremu zaufało „Subiektywnie o finansach”. Po szczegóły zapraszam tutaj! A tutaj przeczytaj czym różni się porządny hosting od kiepskiego.
>>> Chcesz chronić swoją prywatność podczas przeglądania stron internetowych? Skorzystaj z VPN od firmy Surfshark. Bezpieczeństwo i dyskrecja w sieci level hard za rozsądną cenę. Przetestowane przez ekipę „Subiektywnie o finansach” i Homodigital, czyli subiektywnie o technologii. Sprawdź przed jakimi niebezpieczeństwami chroni cię VPN. Potrzebujesz więcej prywatności i bezpieczeństwa? Kliknij tutaj
Homodigital.pl, czyli subiektywnie o technologii. Codziennie nowy artykuł, w którym walczymy o Twoje prawa, rozwiązujemy problemy, ostrzegamy przed pułapkami, radzimy jak ochronić się przed utratą prywatności, danych lub pieniędzy. Zaglądaj na Homodigital.pl, codziennie nowy felieton!
zdjęcie tytułowe: Hack Capital/Unsplash