26 kwietnia 2021

Bankowa infolinia wrotami do kradzieży pieniędzy. Uwaga na wyjątkowo perfidny trik cyberprzestępców! Jeśli mają twój e-mail i numer telefonu z wycieku…

Bankowa infolinia wrotami do kradzieży pieniędzy. Uwaga na wyjątkowo perfidny trik cyberprzestępców! Jeśli mają twój e-mail i numer telefonu z wycieku…

Banki ostrzegają przed wzbierającą falą bardzo sprytnych kradzieży pieniędzy z naszych kont bankowych. Oszczędności całego życia są przelewane na konta złodziei niemal na naszych oczach. A wszystko zaczyna się od… telefonu z infolinii. Z bardzo dobrze podrobionej. To „bankowa infolinia”, której „pracownik” dzwoni z tego samego numeru telefonu, z którego rzeczywiście kontaktuje się z nami bank

Niektórzy bankowcy wiążą mnogość prób kradzieży pieniędzy z niedawnym gigantycznym wyciekiem danych z Facebooka i Linkedina – ujawniono w nich dane e-mail i numery telefonów kilku milionów Polaków oraz setek milionów osób na całym świecie. Złodzieje dostali więc do dyspozycji „książkę telefoniczną”, z której mogą korzystać (tutaj piszemy czy i jak można o to pozwać np. Facebooka).

Zobacz również:

Wiele wskazuje na to, że do ataków wykorzystywane są fikcyjne call-centers, czyli kilku przestępców podszywa się pod pracowników bankowych infolinii, które dzwonią do nas i próbują nakłonić do przekazania loginu i hasła do konta oraz do zaakceptowania „testowego” przelewu.

Etap pierwszy: numer telefonu i e-mail. I fałszywy „mandat”

Jak to możliwe, że ludzie się na to nabierają? Wbrew pozorom oszustwo jest bardzo dobrze zorganizowane i uwiarygodnione na kilku etapach.

Wszystko wskazuje na to, że zanim dochodzi do próby kradzieży, następuje szeroka akcja wysyłania ludziom spamu e-mailowego. Są to informacje o konieczności dopłaty do przesyłki pocztowej (czyli podrobiona komunikacja od kuriera) albo o nie zapłaconym mandacie.

Gdy ofiara kliknie podesłany przez przestępców link, pojawia się podrobiona bramka płatnicza, na której klient wskazuje nazwę banku, za pomocą którego chce zrobić dopłatę. Dzięki temu przestępcy wiedzą, w którym banku ofiara ma konto bankowe.

Jeśli przy okazji uda się ją skłonić do przeprocesowania fikcyjnej płatności, to mają już jej login i hasło do konta. Jeśli nie – robią drugi krok, czyli do niej dzwonią. Jeśli jest to ofiara wycieków danych z portali społecznościowych, to mają przecież nie tylko jej e-mail, ale i numer telefonu.

Z informacji, które dostałem od bankowców wynika, że odstęp między etapem phishingu e-mailowego i telefonem do klienta jest długi, nawet kilkutygodniowy. Chodzi o to, żeby klient zapomniał już, że dostał podejrzanego e-maila o nie zapłaconym mandacie i nie skojarzył tego faktu z wydarzeniami, które później mają nastąpić.

W tzw. międzyczasie powstaje w internecie fikcyjna strona banku. Ale nie po to, żeby kraść dzięki niej pieniądze. Powstaje ona po to, żeby bank na to zareagował i wysłał do klientów komunikat: „uważajcie na fałszywą stronę banku, która pojawiła się w sieci”. Takie komunikaty zwykle są publikowane na stronach banków. I ten komunikat jest jedynym celem wystawienia fikcyjnej strony przez złodziei (za chwilę wyjaśnię po co im to jest potrzebne).

Etap drugi: bankowa infolinia prawie jak prawdziwa

W tym momencie zaczyna się decydujący etap kradzieży. Do klienta dzwonią bowiem „pracownicy” ich banku (przestępcy, po udanym phishingu e-mailowym wiedzą już którą infolinię mają udawać). Dzwonią – uwaga – z właściwego numeru telefonu, a więc klientowi wyświetla się na telefonie rzeczywisty numer infolinii. Z punktu widzenia to wygląda tak, jakby dzwoniła bankowa infolinia.

Niestety, w XXI wieku istnieje możliwość zarówno wysłania nam e-maila, w którego adresie nadawcy będą nieprawdziwe dane (np. adres e-mail skrzynki naszego banku, choć nadawca wcale z banku nie pisze), jak i możliwość zadzwonienia do nas z innego numeru telefonu, niż ten, który nam się wyświetla.

Po odebraniu telefonu „z infolinii”, gdy klient żyje w przekonaniu, że dzwonią do niego z banku (bo numer się zgadza i rzeczywiście jest to „ich” bank), następuje socjotechniczna próba uwiarygodnienia całego przedsięwzięcia. Jeden „pracownik” zadaje kilka pytań weryfikacyjnych, po czym „łączy” klienta z drugim pracownikiem, z działu bezpieczeństwa. Ta fikcyjna bankowa infolinia jest prawie tak rozwinięta, jak prawdziwa

Ten drugi pyta, czy do klienta dotarł komunikat o fałszywej stronie banku. Komunikat – jak wiemy – prawdziwy, bo sprowokowany przez przestępców. Klient, jeśli go nie przeczytał, jest informowany o tym, żeby znalazł stronę banku w interencie i osobiście potwierdził, iż bank chce go ostrzec przed przestępcami.

Etap trzeci: „weryfikacja salda” na koncie

Potem klient jest przekierowany do „działu wsparcia”, w którym kolejny „pracownik” informuje go, że w związku z tą akcją trzeba sprawdzić czy pieniądze są bezpieczne, bo mogło dojść do wycieku. I prosi klienta, by ten potwierdził login, hasło do konta oraz wysokość salda oraz zatwierdził SMS-a autoryzacyjnego, który przyjdzie.

Sytuacja jest więc taka: dzwoni facet z numeru bankowego, przedstawia się jako pracownik infolinii mojego banku, pokazuje mi prawdziwy komunikat mojego banku informujący o ryzyku utraty pieniędzy i prosi o potwierdzenie salda rachunków SMS-em.

W drugim wariancie – gdy na pierwszym etapie phishingu przez e-mail klient podał na „podstawionej” stronie login i hasło, a nie tylko kliknął nazwę swojego banku stronie do „dopłaty za paczkę” czy „opłacenia biletu” – „pracownik” uwiarygadnia się dodatkowo, podając klientowi jego login.

Niezależnie od wariantu, w obu przypadkach SMS autoryzacyjny nie dotyczy oczywiście żadnego potwierdzenia sald, tylko przelewu pieniędzy na konto złodziei. W tym samym czasie, gdy klient loguje się na swoje konto, żeby „potwierdzić saldo” to samo robią złodzieje i zlecają przelew.

Jeśli klient nie przeczyta dokładnie tego, co zatwierdza – a „pracownik banku” wywiera na nim presję, przekonując, że na jego koncie dzieje się coś dziwnego (nota bene rzeczywiście się dzieje, ale wyłącznie z powodu tego złodzieja) i że uratowanie pieniędzy jest kwestią sekund – to zatwierdzi przelew do złodziei.

Czy podrabiana bankowa infolinia jest naprawdę aż tak dobra?

Zastanawiacie się, czy jest możliwe, żebyście też padli ofiarą takiego przekrętu? Na pierwszy rzut oka dużo rzeczy się tutaj nie zgadza. Ale pamiętajmy, że dzwoni do nas człowiek z numeru, z którego zwykle dzwonią do nas z banku. Że dzwoni z „naszego” banku. Że nasz bank rzeczywiście ostrzega przed przestępstwami i że ten człowiek pokazuje nam ten komunikat (a więc robi wrażenie, że ma dobre intencje). Do tego momentu wszystko się zgadza.

Jeśli klient – a „infolinia” jest podrobiona sprawnie, łącznie z przekierowaniem klienta z „działu” do „działu”, pytaniami weryfikacyjnymi – zapisze sobie w głowie, że naprawdę dzwonią do niego z banku, to może stracić czujność. Zwłaszcza pod presją czasu („proszę pana, decydują sekundy”).

Jak nie dać się nabrać? To w sumie proste. Po pierwsze nie podawać nikomu loginu, ani hasła oraz czytać SMS-y autoryzacyjne przed ich zatwierdzeniem (lub komunikaty podawane przez aplikację mobilną, o ile zatwierdzamy przelewy w ten sposób).

Druga rada: nie rozmawiajmy z pracownikami banków przez telefon na „strategiczne” tematy. Albo w ogóle nie rozmawiajmy. Niektóre banki pozwalają klientom definiować hasło, które pracownik musi podać potwierdzając swoją tożsamość. To też zmniejsza ryzyko.

Telekomy wrotami do pieniędzy klientów banków

Tak naprawdę żeby było bezpiecznie, to komunikacja klienta z banku powinna być prowadzona tylko „wewnątrz” aplikacji mobilnej. Tylko wtedy klient ma pewność, że rozmawia z pracownikiem banku, bo wcześniej sam zalogował się do aplikacji, czyli bezpiecznej przestrzeni. Infolinia bankowa to w zasadzie powinien być kanał przeznaczony do komunikacji tylko wtedy, gdy to klient chce się czegoś dowiedzieć.

Bolesna prawda jest taka, że coraz więcej kradzieży zaczyna się od „nieszczelności” sieci telekomunikacyjnych (wydanie nieuprawnionej osobie duplikatu karty SIM, możliwość podrobienia numeru telefonu), albo dostawców usług e-mail (podatność na włamania, możliwość podrobienia bankowego adresu e-mail w komunikacji z klientem). Bank nie ma na to żadnego wpływu. A to oznacza, że komunikacja z klientem powinna zostać docelowo skanalizowana w aplikacji mobilnej, do której klient się loguje.

To oczywiście nie wyklucza ostatniego czynnika ryzyka – iż ktoś go do tego logowania skłoni fałszywym komunikatem. Pamiętajmy: myśląc o swoich pieniądzach zachowujmy się tak, jakby nasz numer telefonu i adres e-mail znał każdy potencjalny złodziej na świecie. Niestety, po wyciekach z Facebooka i Linkedin w wielu przypadkach nie musimy sobie tego wyobrażać, bo po prostu tak jest.

Zobacz również to: W erze Covid-19 banki szerzej otwierają się na bankowanie przez telefon. A to najlepsza brama dla złodziei naszych pieniędzy!

Przeczytaj również: Nas również dopadł wyciek danych z Facebooka

Czytaj też: Prywatność w sieci. Jak chronić ją przed hakerami, złodziejami, szpiegami i… rządem?

—————————

HOMODIGITAL.PL POLECA:

>>> Sprawdź hosting od Zenbox: Masz stronę internetową, e-sklep, prowadzisz bloga? Szukasz najlepszego na rynku hostingu? Sprawdź Zenbox, czyli hosting, któremu zaufało „Subiektywnie o finansach”Po szczegóły zapraszam tutaj! tutaj przeczytaj czym różni się porządny hosting od kiepskiego.

>>> Chcesz chronić swoją prywatność podczas przeglądania stron internetowych? Skorzystaj z VPN od firmy Surfshark. Bezpieczeństwo i dyskrecja w sieci level hard za rozsądną cenę. Przetestowane przez ekipę „Subiektywnie o finansach” i Homodigital, czyli subiektywnie o technologii. Sprawdź przed jakimi niebezpieczeństwami chroni cię VPN. Potrzebujesz więcej prywatności i bezpieczeństwa? Kliknij tutaj

Homodigital.pl, czyli subiektywnie o technologii. Codziennie nowy artykuł, w którym walczymy o Twoje prawa, rozwiązujemy problemy, ostrzegamy przed pułapkami, radzimy jak ochronić się przed utratą prywatności, danych lub pieniędzy. Zaglądaj na Homodigital.pl, codziennie nowy felieton!

zdjęcie tytułowe: Hack Capital/Unsplash

Subscribe
Powiadom o
26 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
gosc
7 miesięcy temu

Podatność klientów na ataki opisane w artykule wynika z braku wiedzy klientów na temat bankowości telefonicznej i internetowej oraz związanych z tym zagrożeń. Ponieważ aplikacje mobilne są nowszym rozwiązaniem wiedza klientów na ich temat jest jeszcze mniejsza. Moim zdaniem namawianie klientów na korzystanie z aplikacji mobilnych (w tym oparcie komunikacji na aplikacji mobilnej) i mówienie im, że jest to bezpieczne tylko pogarsza sytuację. W poniższym reportażu mamy przykład klientki (i jej córki), która utraciła 59tyś zł korzystając z aplikacji mobilnej. Jaka była ich wiedza na temat aplikacji mobilnej? Ich wiedza zatrzymała się na etapie kiedy nie było bankowości telefonicznej, internetowej… Czytaj więcej »

Mg.
7 miesięcy temu
Reply to  Maciej Samcik

I działać spójnie. Bo np. tyle się mówi o nieklikaniu linków, a Santander jakiś czas temu radośnie poinformował, że od tej pory mogą wysyłać linki smsem 😐 Potem jak komuś wyparuje kasa z konta, okaże się nagle, że wszystko to wina klienta, bo nie wypracował sobie właściwych nawyków. Inna sprawa – z tego, co pamiętam, jakiś czas temu w google store były dostępne fałszywe aplikacje bankowe z zaszytymi trojanami. Klient powinien być przytomny, ale odpowiedzialność spoczywa też po stronie instytucji – tym bardziej, że o wiele bliżej monitorują o sytuację i jako pierwsze są świadome nowych zagrożeń/rodzajów ataków. Przeciętny użytkownik,… Czytaj więcej »

BdB
7 miesięcy temu
Reply to  Mg.

Durny Citibank dalej śle linki i wspiął się na wyżyny: wyświetla w mailu inny adres niż finalnie kieruje link!

Mg.
7 miesięcy temu
Reply to  Maciej Samcik

Pamiętam. A co najlepsze, mają też technologię rejestrowania próbki głosu do późniejszego identyfikowania klienta przez AI na infolinii, żeby nikt nie mógł się podszyć. Czyli nie są tacy do końca nieogarnięci, tylko ciut niekonsekwentni.

gosc
7 miesięcy temu
Reply to  Maciej Samcik

Klient, który ma świadomość, że nie jest wszystkowiedzący i ultraodporny założy sobie konto bez dostępu przez telefon oraz internet. Jest to systemowe rozwiązanie oferowane przez banki, które chroni przed prawie wszystkimi zagrożeniami (wliczając zagrożenia opisane w artykule). Chyba tylko Alior stosuje hasło na wypadek gdy pracownik banku dzwoni do klienta. Dlaczego tego rozwiązania nie oferują pozostałe banki? Być może dlatego, że klienci mają skłonność do zapominania haseł. Każdy klient do którego dzwoni bank, który zapomniał hasła, zmniejsza szansę na sprzedaż nowego produktu. Procedura przypomnienia/zmiany takiego hasła to również koszty. Takie hasło nie daje klientowi gwarancji bezpieczeństwa ponieważ baza danych z… Czytaj więcej »

gosc
7 miesięcy temu
Reply to  gosc

Wczoraj pierwszy raz się spotkałem z sytuacja, że w popularnym programie informacyjnym mówiono o nieautoryzowanych transakcjach – to chyba znak czasu.
Bohaterką jest kolejna klientka – zupełnie nieświadoma ryzyka związanego z bankowością internetową. Oddała oszustom kontrolę nad swoim komputerem, oszuści zaciągnęli kredyt i ukradli prawie 100 tyś zł.
2021.04.26 – Wydarzenia 18.50 (od 22:45)
https://www.polsatnews.pl/wideo-program/20210426-wydarzenia-1850_6788934/

gosc
7 miesięcy temu
Reply to  Maciej Samcik

Nieautoryzowane transakcje i wyłudzenia kredytów w reportażach (Interwencja, Uwaga, Alarm) czasami się pojawiają. Jednak w przypadku programu informacyjnego to pierwszy raz kiedy na taki temat trafiłem.

Klaudia
7 miesięcy temu

Ważne aby przestrzegać i mówić o tym. Najważniejsza jest jednak w tym ostrzeganiu rola banku. ja mam konto w Getin Noble i do mnie zadzwoniła Pani z banku i ostrzegała, że jest takie niebezpieczeństwo. Do mojej koleżanki też.

Wanda
7 miesięcy temu
Reply to  Maciej Samcik

Panie Redaktorze po wprowadzeniu hasła będą takie dialogi w niektórych przypadkach: Hasło Pan Zna? Jakie hasło? Żyrafy wchodzą do szafy. Oczywiście, że znam. Musi Pan je powiedzieć. Naturalnie, żyrafy wchodzą do szafy. Pawiany wchodzą na ściany.
Konsekwencją też będzie wyczyszczenie konta 🙂
Cześć klientów w systemie zawsze będzie łatwowierna i naiwna.

BdB
7 miesięcy temu

Skoro na potrzeby produktów inwestycyjnych na podstawie ankiety banki potrafią ocenić doświadczenie inwestycyjne, to tak samo mogłyby badać obeznanie w ryzykach i zagrożeniach bezpieczeństwa. Na tej podstawie można by dobierać maksymalny limit transakcyjny, czyli słabo obeznany łatwy do oszukania nie straci wtedy kilkudziesięciu tysięcy tylko kilka.

gosc
7 miesięcy temu
Reply to  BdB

Trochę inne podejście do sprawy to zdać się na zdrowy rozsądek klienta i dać mu możliwość określenia ryzyka jakie chce ponosić w związku z korzystaniem z bankowości telefonicznej i internetowej. Klient miałby opcje ustalenia dziennego i miesięcznego limitu przelewów zlecanych przez telefon i internet, których podniesienie byłoby możliwe tylko w oddziale banku.
Ponieważ banki nie dają takiej możliwości trzymam na koncie internetowym ograniczoną ilość środków – ustaliłem sobie limit, którego staram się nie przekraczać.

Robert
7 miesięcy temu

Mogę prosić o wskazanie, które banki dają taką możliwość?: „(…)Niektóre banki pozwalają klientom definiować hasło, które pracownik musi podać potwierdzając swoją tożsamość. To też zmniejsza ryzyko.(…)”

Adam S.
7 miesięcy temu
Reply to  Maciej Samcik

Pytajcie, pytajcie, to o wiele lepszy temat niż clickbaity o ujemnym oprocentowaniu.

Jacek
7 miesięcy temu

Ta operacja wygląda na dość skomplikowaną… do której trzeba się trochę przygotować.

Stef
7 miesięcy temu
Reply to  Jacek

Wystarczy że 1 na 100 się uda i już się pewnie opłaca. Przy dużej skali telefonów zawsze się uda.

Ignorowany przez banki
7 miesięcy temu

Mam kilka kont w bankach, osad co najmniej średni i nikt do mnie nie dzwoni.

Zenek
6 miesięcy temu

Otrzymuję wiele wiadomosci email od organizacji dobroczynnych i podobnych które zbieraja pieniadze.
Zazwyczaj pojawia się w nich lista banków z których mozemy wpłacic. Po kliknieciu banków pojawia sie formularz przelewu i przycisk loguj. Nieraz dokonuję wpłat . Czy to może byc tez forma oszustwa. jak uniknąć wpadki w takich przypadkach.

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!