Spoofing telefoniczny: jak rozpoznać, czy to oszust, czy pracownik banku albo policjant
Na ekranie smartfona wyświetla się numer twojego banku. Odbierasz połączenie. W słuchawce słyszysz głos pracownika, który prosi o wykonanie kilku prostych czynności. Nie masz powodów do podejrzeń, wszak chwilę wcześniej zobaczyłeś numer telefonu banku, z którego usług korzystasz od wielu lat. Krótko po tym z twojego konta znikają wszystkie oszczędności. Tak działają przestępcy wykorzystujący spoofing – szybko zyskującą na popularności metodę oszustwa.
Partnerem publikacji jest PKO BP
Spoofing to metoda ataku pozwalająca na podszywanie się pod cudze numery telefonów. Mogą to być zarówno instytucje (np. bank, ZUS czy CBA), jak również osoby prywatne. Ciąg cyfr, który wyświetli się na telefonie ofiary, wprowadzany jest przez oszusta, a służby nie mają możliwości zablokowania procederu, gdyż telefon naciągacza nie jest podłączony do sieci komórkowej (wszystko odbywa się za pośrednictwem sieci komputerowej).
Atak, który zaczyna się od podszywania się pod numer telefonu może skończyć się np. przejęciem kontroli nad komputerem ofiary albo utratą wszystkich pieniędzy z konta, co prowadzi do ogromnych ludzkich dramatów. Zwłaszcza, jeśli ktoś zgromadził na koncie oszczędności całego swojego życia. Oczywiście przed tak poważnymi konsekwencjami ataku można się chronić.
Zanim przejdziemy do sposobów ochrony przed spoofingiem warto dokładnie poznać mechanizm działania oszustów. Podszycie się pod numer telefonu to dopiero pierwszy etap. Jego głównym celem jest uśpienie czujności potencjalnej ofiary i zbudowanie zaufania. Skoro bowiem widzimy, że wyświetla nam się numer banku albo innej instytucji to jesteśmy przekonani, że nic złego nie może się stać.
Oszust, który do nas dzwoni ma określony cel - ukraść nasze pieniądze, pozyskać wrażliwe dane albo przekonać do zainstalowania oprogramowania, które będzie wykradać dane bądź przejmie kontrolę nad naszym sprzętem. Żeby osiągnąć swój cel cyberprzestępcy podczas rozmowy telefonicznej tworzą wiarygodną historię np. że nasze konto jest zablokowane, że wykryto podejrzaną operację albo chcą nam pomóc rozwiązać pewien problem. Wykonując polecenia osoby przez telefon, z każdym kolejnym krokiem coraz bardziej wpadamy w pułapkę zastawioną przez oszusta. Cyberprzestępcy są mistrzami socjotechniki, więc dokładnie wiedzą, jakich technik użyć, żeby przekonać nas do zrobienia tego, na czym im zależy. I za każdym razem konsekwencje tych działań są dla nas negatywne.
Jeśli podczas rozmowy z oszustem podamy nasze dane, takie jak PESEL, numer dowodu, adres to przestępca będzie w stanie np. wziąć kredyt bez naszej wiedzy i zgody. Jeśli podamy nasze dane do logowania do konta w banku to cyberprzestępca będzie mógł ukraść nasze pieniądze. Z kolei umożliwienie zdalnego dostępu albo zainstalowanie dodatkowego oprogramowania na komputerze może skończyć się przejęciem naszych dokumentów, danych oraz pieniędzy. Cyberprzestępca będzie bowiem widział wszystko to, co robimy na naszym sprzęcie.
Przed większością ataków można się bronić, trzeba tylko wiedzieć, na czym one polegają i znać podstawowe metody ochrony przed nimi.
- Użytkownik powinien pamiętać, że jeśli ma już konto w PKO Banku Polskim, to pracownik posiada część jego danych i nie musi o nie prosić. Oszust tymi danymi nie dysponuje, więc za wszelką cenę będzie starał się nakłonić potencjalną ofiarę do ich podania. Najbardziej będzie mu zależało na loginie i haśle do konta. Prośba o podanie takich informacji to dowód, że masz do czynienia z oszustem - mówi Barbara Michałowska, kierownik zespołu w Departamencie Cyberbezpieczeńswa w PKO Banku Polskim.
Prawdziwy pracownik nigdy nie poprosi również o przekazanie mu całego numeru PESEL. Mogą pojawić się co najwyżej pytania weryfikacyjne - jedno o datę urodzenia, a drugie o 5 ostatnich cyfr numeru PESEL. Nigdy jednak pracownik banku nie zada tych dwóch pytań w jednej rozmowie. Nie poprosi też nigdy o podanie pełnego numeru i serii dokumentu tożsamości, a także numeru karty płatniczej oraz kodu CVV/CVC. Pamiętajmy również, że jeśli w trakcie rozmowy cokolwiek wzbudzi nasze podejrzenia to powinniśmy się rozłączyć i zadzwonić do banku korzystając z numeru zapisanego w telefonie albo tego, który znajdziemy na oficjalnej stronie internetowej.
Spoofing telefoniczny może być jednak wykorzystywany w przeróżny sposób. Podszywanie się pod bank to tylko jeden z wielu przykładów kreatywności, jaka cechuje oszustów. Podają się oni za najróżniejsze instytucje, a często również za osoby zaufania publicznego, jak choćby policjantów.
Uwagę warto zwracać także na sposób i styl wypowiadania się dzwoniącej do nas osoby (czasem komunikaty czytane są przez bota bądź modulowanym głosem).
Pamiętajmy, że spoofing telefoniczny, podobnie jak każde inne oszustwo, jest karalny. Nie zawsze też jest za późno na odzyskanie utraconych pieniędzy. Wszelkie incydenty (nawet takie, które wzbudziły jedynie nasze podejrzenia) warto zgłaszać na policję. Często pomogą także pracownicy banku. Jak się zachować, gdy padliśmy ofiarą spoofingu telefonicznego?
- W takich przypadkach liczy się czas reakcji. Jeżeli padliśmy lub podejrzewamy, że padliśmy ofiarą oszustwa powinniśmy jak najszybciej skontaktować się z bankiem, najlepiej pod numerem infolinii. Pracownicy sprawdzą stan naszego konta i je zabezpieczą. Jeżeli doszło już do kradzieży konieczne będzie również zgłoszenie sprawy na policję. - podkreśla Barbara Michałowska z PKO Banku Polskiego.
Partnerem publikacji jest PKO BP
![Wielki finał "Tańca z gwiazdami". Emocje sięgają zenitu [relacja na żywo]](/p.gif)