29 marca 2023

Oszustwa telefoniczne „na pracownika banku” stały się plagą. W tym banku wierzą, że znaleźli na nie sposób – mobilną weryfikację pracownika. Czy to utnie problem kradzieży pieniędzy?

Oszustwa telefoniczne „na pracownika banku” stały się plagą. W tym banku wierzą, że znaleźli na nie sposób – mobilną weryfikację pracownika. Czy to utnie problem kradzieży pieniędzy?

Oszuści dzwonią do klientów, podszywając się pod pracowników banków, policjantów czy agentów CBA. Taka rozmowa może kosztować utratę pieniędzy z konta. Jak się przed tym bronić? Najlepszym sposobem jest… się rozłączyć. W mBanku przekonują, że połączenie telefoniczne z bankiem może być bezpieczne. Pracownika banku zweryfikujemy w aplikacji mobilnej

Tego artykułu możesz również posłuchać w naszym kanale podcastowym. Czyta Maciej Bednarek

Zobacz również:

Oszustwa telefoniczne, wyłudzenie pieniędzy  – jak to działa? Przytoczę historię opisaną niedawno w „kronice kryminalnej” małopolskiej policji. Chodzi o wyłudzenie 41 000 zł od mieszkanki Oświęcimia, która dała się nabrać na to, że przez telefon rozmawia z pracownikiem banku.

Mężczyzna poinformował, że ktoś za pośrednictwem jej danych osobowych próbuje zaciągnąć kredyt na 50 000 zł i może ukraść pieniądze z jej konta. Jak relacjonują policjanci, kobieta początkowo była nieufna. Zapytała bowiem rozmówcę, w jaki sposób może potwierdzić, czy rozmawia z pracownikiem banku. Oszust odpowiedział, że można to zweryfikować na stronie internetowej banku. I faktycznie, numer telefonu, z którego dzwonił oszust, zgadzał się z tym podanym na stronie banku.

To uśpiło czujność kobiety. Nie miała bowiem świadomości, że nie jest dziś trudno oszustom „podmienić” numer telefonu, z którego dzwonią. W telefonie może więc wyświetlić się numer telefonu bankowej infolinii lub numer kogoś, kogo mamy zapisanego w bazie kontaktów w telefonie.

Oszustwa z wykorzystaniem telefonu mają nawet swoje określenie – spoofing. Chodzi nie tylko o „podrobienie” numeru telefonu. To też znana od lat metoda „na wnuczka” czy „policjanta”, czyli podszywanie się pod kogoś z rodziny lub policjanta, wytworzenie atmosfery zagrożenia i skłonienie ofiary do przekazania pieniędzy czy kosztowności. Czyli zastosowanie socjotechniki.

Podobnie było w przypadku mieszkanki Oświęcimia. Oszust przekonał ofiarę, że jedynym sposobem uniknięcia utraty oszczędności z konta bankowego jest wypłata pieniędzy, a następnie ich wpłata we wpłatomacie. Złodziej polecił kobiecie, by się nie rozłączała, żeby mógł ją na bieżąco instruować, co robić dalej.

Choć wydaje się to nieprawdopodobne, kobieta połknęła haczyk i zrobiła wszystko zgodnie ze wskazówkami oszusta. Pojechała do banku, wypłaciła gotówkę, którą następnie w kilku transzach wpłaciła we wpłatomacie. Oczywiście na konto podane przez oszusta. I w ten sposób z jej konta zniknęło 41 000 zł.

Przeczytaj też: Numer telefonu: ważna informacja wykorzystywana do ochrony naszych pieniędzy w banku. Udostępniamy go w dziesiątkach miejsc. Jak zwiększyć bezpieczeństwo?

Spoofing, oszustwa telefoniczne – jak się przed nimi bronić?

Jak widzicie, wyświetlony numer telefonu, który zgadza się z podanym na stronie banku, nie daje gwarancji, że naprawdę rozmawiamy z pracownikiem banku. Co robić, by nie dać się nabrać? Jeżeli przez telefon ktoś podaje się za pracownika banku i jednocześnie prosi o przelanie pieniędzy czy podanie danych do konta, od razu powinna zapalić się nam czerwona lampka. Taką rozmowę należy potraktować jako próbę oszustwa i ją przerwać. Warto też o próbie wyłudzenie powiadomić nasz bank.

Jeśli zależy nam na rozmowie z bankiem, innym sposobem na zwiększenie bezpieczeństwa jest poproszenie rozmówcy o „wylegitymowanie się”. Wówczas możemy zadzwonić do banku i zapytać, czy taka osoba (dzwoniąca z takiego lub innego numeru telefonu) faktycznie dzwoni w imieniu banku, a następnie do niej oddzwonić.

Bankowcy chyba mają świadomość tego, że klienci nie lubią odbierać połączeń z kolejnymi propozycjami „kredyciku” czy próbą wciskania innych produktów finansowych. Dla świętego spokoju po prostu się rozłączają, a nie przeprowadzają „śledztwa”, które ma ustalić, czy faktycznie rozmawiają z pracownikiem banku. Ale bankowcy z mBanku są przekonani, że znaleźli sposób na bezpieczną komunikację telefoniczną z klientami.

Przeczytaj też: Pan Andrzej przedłużył przez internet umowę z telekomem. W przesyłce miały być dwa telefony, a był jeden. Jak T-Mobile naprawił swój błąd? W dziwny sposób

Autoryzacja mobilna rozmowy telefonicznej

W mBanku zaczęło działać nowe zabezpieczenie. Od poniedziałku 27 marca wszystkie rozmowy inicjowane przez pracowników banku są potwierdzane w aplikacji mobilnej. W ten sposób klient mają zyskać pewność, że rozmawia z faktycznym przedstawicielem mBanku, a nie z oszustem.

Zabezpieczenie opiera się na mobilnej autoryzacji. Na początku rozmowy pracownik przesyła klientowi powiadomienie w aplikacji mobilnej ze swoim imieniem i nazwiskiem. Rozmowa będzie kontynuowana tylko wtedy, gdy klient zatwierdzi ją w aplikacji mobilnej. Wystarczy potwierdzenie rozpoczęcia rozmowy w aplikacji.

Wraz z nowym rozwiązaniem do kosza pójdzie proces telefonicznej weryfikacji klienta. Bankowcy – by mieć pewność, że rozmawiają z Kowalskim, a nie Iksińskim – pytają np. o nazwisko panieńskie matki, o to, czy mamy w banku lokatę walutową czy o miesiąc urodzenia. Choć – jak opisałem to w tym felietonie – telefoniczna weryfikacja może być dziurawa.

W każdym razie wdrożone przez mBank rozwiązanie wyeliminuje konieczność zadawania pytań weryfikacyjnych. Co więcej, jeśli osoba podająca się za pracownika mBanku zacznie zadawać takie pytania, świadczyć to będzie o próbie wyłudzenia.

Jarosław Górski, dyrektor departamentu bezpieczeństwa mBanku tłumaczy, że mobilne potwierdzenie tożsamości będzie obligatoryjne przy każdej rozmowie telefonicznej z mBankiem, która dotyczy produktów, danych klienta lub potwierdzenia płatności.

„W przypadku gdy do klienta zadzwoni osoba podająca się za pracownika banku, a ten nie otrzyma w aplikacji mobilnej mBanku powiadomienia o tożsamości, może to być sygnał, że po drugiej stronie słuchawki jest oszust. Taką rozmowę należy natychmiast przerwać i powiadomić mLinię o zaistniałej sytuacji”

– mówi Górski. Niestety, siłą rzeczy z nowego zabezpieczenia nie skorzystają klienci, którzy nie korzystają z aplikacji mobilnej mBanku. Mobilne potwierdzenie tożsamości pracownika nie dotyczy też klientów korporacyjnych banku.

—————————-

NOWY ODCINEK PODCASTU „FINANSOWE SENSACJE TYGODNIA”

W jubileuszowym 150. odcinku podcastu „Finansowe Sensacje Tygodnia” poruszamy ważny problem coraz częstszych oszustw telefonicznych „na pracownika banku”. Dajemy się okradać, bo jesteśmy łatwowierni? A może w poprawę naszego bezpieczeństwa bardziej powinny zaangażować się banki? Dlaczego systemy do wychwytywania nietypowych transakcji nie działają właściwie?  Niestety, szczególnie zagrożone takimi kradzieżami są osoby starsze, a w bankach nie ma specjalnych zasad wspomagania takich osób.

W podkaście zastanawiamy się też, czy kredyt hipoteczny na 2% – czyli nowa propozycja rządu – ma jakiś głębszy sens, bo to, że spowoduje wzrost cen nieruchomości, jest pewne jak w banku. A na koniec użalamy się nad losem pierwszej ofiary nowego kryzysu bankowego. Do wysłuchania podcastu zaprasza skład „4M”, czyli Maciek Samcik, Maciek Danielewicz, Maciek Jaszczuk i Maciek Bednarek.

—————————-

Zdjęcie tytułowe: Mastercard

Subscribe
Powiadom o
26 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
Zobacz wszystkie komentarze
Bambino
1 rok temu

Rozmowa będzie kontynuowana tylko wtedy, gdy klient zatwierdzi ją w aplikacji mobilnej.”

Każde zabezpieczenie można złamać, kwestia czasu…. Dopóki klient nie zainicjuje samodzielnie kontaktu z bankiem, zawsze będzie ryzyko oszustwa. Hakerzy nie takie zabezpieczenia obchodzili :)))))) Powinno być tak, że klient otrzymuje prośbę o pozwolenie kontaktu, na aplikację mobilną, jak zatwierdzi w aplikacji, wtedy z aplikacji łączy się z bankiem. Nie odwrotnie.

Kamil
1 rok temu
Reply to  Bambino

„Rozmowa będzie kontynuowana tylko wtedy, gdy klient zatwierdzi ją w aplikacji mobilnej.”
czyli istnieje ryzyko że – biorąc udział w promocyjnym otwarciu konta/ lokaty itp. nie będą z banku ot tak dzwonić z marketingowymi pierdołami. No i elegancko 🙂

Mariusz
1 rok temu
Reply to  Bambino

Jasne. Tyle, że samodzielne zainicjowanie kontaktu akurat z mBankiem na inicjacji się kończy, jak to właśnie pięknie opisała pani Monika Madej.

Kropek z CABP
1 rok temu
Reply to  Bambino

Dopóki klient nie zainicjuje samodzielnie kontaktu z bankiem, zawsze będzie ryzyko oszustwa.”
pozwolę się sobie nie zgodzić z tym twierdzeniem. Przy ataku targetowanym w konkretną osobę, można postawić fałszywy BTS i udawać bank na infolinii. Nie jest to coś niemożliwego.

Admin
1 rok temu
Reply to  Kropek z CABP

Teoretycznie tak

Bambino
1 rok temu
Reply to  Kropek z CABP

Można rozszerzyć o wprowadzenie kodu, po połączeniu z bankiem z aplikacji. Wystarczy zrobić inny numer tylko na takie połączenia z apki, plus podać kod podczas połączenia, który będzie wygenerowany apce. Dopóki bank będzie inicjował połączenie, ryzyko oszustwa pozostanie. To my mamy zainicjować zdarzenie, nie bank.

gosc
1 rok temu

„Oszustwa z wykorzystaniem telefonu mają nawet swoje określenie – spoofing.” Co to dokładnie jest spoofing? Spoofing to fałszowanie numer telefonu. Spoofing może dotyczyć zarówno rozmowy telefonicznej jak i wiadomości sms. Odbiorcy połączenia telefonicznego czy wiadomości sms wyświetli się taki numer telefonu jaki zostanie wpisany w serwisie lub aplikacji do wykonywania spoofingu. Przestępcy wykorzystują spoofing podczas oszustw ponieważ zwiększa to ich wiarygodność. Spoofing można wykorzystać również do zrobienia głupiego żartu np. na prima aprilis. W Skype jest opcja wykonywania rozmów tak jakbyśmy dzwonili z naszej komórki (w sensie z naszego numeru telefonu). W Skype aby aktywować tą usługę trzeba podać kod… Czytaj więcej »

gosc
1 rok temu

Rozwiązanie mBanku jest dobrym rozwiązaniem, ale moim zdaniem nie poprawi ono w znaczący sposób bezpieczeństwa. 1) Nie wszyscy korzystają z aplikacji mobilnej. 2) Wiele osób korzystających z aplikacji mobilnej nie będzie wiedziało, że jest taka usługa. 3) Część osób ma cofnięte zgody marketingowe więc bank i tak do nich nie dzwoni z ofertami marketingowymi. 4) Tta identyfikacja będzie dotyczyłą tylko romów marketingowych a nie telefonów z działów bezpieczeństwa. Przestępcy podszywają się pod działy bezpieczeństwa. 5) Nawet jeśli to nowe rozwiązanie dotyczyłoby również działu bezpieczeństwa to oszust powie, że w przypadku działu bezpieczeństwa taka usługa nie działa lub, że jest chwilowa… Czytaj więcej »

Admin
1 rok temu
Reply to  gosc

W zasadzie te dwie porady zmniejszają ryzyko do minimum

Radek
1 rok temu

Niewiele to zmieni. Kobieta jak ta wspomniana na początku (czy mężczyźni opisywani w podobnych historiach), którzy dają się nabrać na takie bzdury i tak nie będą wiedzieć co to jest ten cały push i potwierdzanie tożsamości w trakcie rozmowy. A w razie czego to powie się, że system dziś szwankuje a tu trzeba działać bo złodziej pieniążki kradnie.

Ale jest jeden sposób – wspomniany nawet w innym komentarzu: nigdy nie rozmawiaj z bankiem, gdy to on dzwoni.

Radek
1 rok temu

„ Oszustwa z wykorzystaniem telefonu mają nawet swoje określenie – spoofing.”

Nieprawda. Vishing, ewentualnie phishing.

Spoofing nie ma nic wspólnego z telefonem, bo nie polega na oszukiwaniu przez telefon a podszywaniu się pod kogoś. I to podszywanie się może dotyczyć nr telefonu, maila, DNSa itd.

Admin
1 rok temu
Reply to  Radek

Tak, uzupełnimy

Dominik
1 rok temu

„I w ten sposób z jej konta zniknęło 41 000 zł.”.

O tym, że z konta zniknęło 41 tys. moglibyśmy mówić gdyby wieczorem pieniądze były, a rano już by ich nie było, a klientka nic by w tym czasie nie robiła. Tutaj poszkodowana sama wypłaciła i oddała swoje pieniądze przestępcom.

Hieronim
1 rok temu

Czy ja tu widzę niejawne założenie, że aplikacja mobilna jest zawsze zainstalowana na telefonie z SIM z numerem kontaktowym?

Jacek
1 rok temu

A już liczyłem na to, że do aplikacjosceptycznych nie będą w ogóle dzwonić…

Stef
1 rok temu

Nie prościej żeby był obrazek bezpieczeństwa ustalony do rozmów telefonicznych, na tej samej zasadzie jak przy logowaniu? Np nosorożec, ktoś do mnie dzwoni, mówi że jest z banku a ja do niego podaj haslo/treść obrazka.
Podał prawidłowe rozmawiamy dalej.

Admin
1 rok temu
Reply to  Stef

Pewnie tak. Nawet była opisywana u nas firma, która takie rozwiązanie bankom oferowała. Ale nie chciały

Bambino
1 rok temu
Reply to  Stef

Oszust na chybił/trafił w końcu trafi. Jak jest 10 obrazków, max za 10 próbą trafi 🙂 który z Was zmienia i jak często obrazek bezpieczeństwa? A propos danych osobowych osób z banku, bardzo prosto je zdobyć: zadzwońcie kilkanaście czy więcej razy na infolinię, za każdym razem ktoś odbierze, przedstawi się….. Rozłączyć się i powtarzać to. Macie spis ludzi infolinia z banku, oszust autoryzuje się z imienia i nazwiska, możecie dzwonić do banku się upewniać czy ktoś taki tam pracuje :))))))) oszuści mają sposoby jak to wszystko obejść. Dopóki bank będzie inicjować połączenia, nigdy nie będzie to bezpieczne połączenie.

Dariusz
1 rok temu

Artykuł z 29 marca a w nim stwierdzenie, że „Za kilka dni 27 marca”. Coś tu się kupy nie trzyma 😉
No i literówka – ’dziurowa
Pozdrawiam.

Admin
1 rok temu
Reply to  Dariusz

Bo chwilę czekał na publikację :-). Poprawione

Albert K.
1 rok temu
Reply to  Maciej Samcik

Profesjonalizm…

afga
1 rok temu

Z rozwiązaniem push w apliakcji spotkałem się już kilka miesięcy temu w Millennium.
Zadzwoniła konsultantka, bo prosiłem o kontakt. Przedstawiła się a ja poprosiłem o jakąś weryfikację, że dzwoni z banku.
Dostałem push, który mogłem otworzyć tylko w aplikacji banku z imieniem i nazwiskiem oraz informacją, że właśnie prowadzę z nią rozmowę.
Zatem mbank wcale nie jest pierwszy z tym rozwiązaniem.

Albert K.
1 rok temu
Reply to  afga

W PKO BP od dawna można potwierdzać tożsamość konsultanta.

AAA
1 rok temu

„Wraz z nowym rozwiązaniem do kosza pójdzie proces telefonicznej weryfikacji klienta. ” – taa, screenshot tutaj i scenariusz ataku – https://twitter.com/niebezpiecznik/status/1640963824680329220

MaciejW
5 miesięcy temu

Ja o to od kilku lat dopytywałem, kiedy ktoś z mBanku do mnie dzwonił. Pytałem, czy mogę go zweryfikować w aplikacji albo czy mogę do niego oddzwonić po zalogowaniu się w aplikacji. Zawsze padała w mBanku odpowidledź, że nie. A potem nieraz s,kojąco głupie stwierdzenie kogoś, kto podawał się za pracownika mBanku: że nazywa się tak i siak i można sprawdzić, że osoba o takim imieniu i nazwisku jest zatrudniona w mBanku – logika na poziomie przedszkolaka.

Admin
5 miesięcy temu
Reply to  MaciejW

Rzeczywiście, niezbyt mądrze…

Subiektywny newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślę ci powiadomienie o najważniejszych tematach dla twojego portfela. Otrzymasz też zestaw pożytecznych e-booków. Dla subskrybentów newslettera przygotowuję też specjalne wydarzenia (np. webinaria) oraz rankingi. Nie pożałujesz!

Kontrast

Rozmiar tekstu