Oszustwa „na pracownika banku”

image
Piotr Miernikiewicz
08.04.2021 r.
Czas czytania: 7 min

Tak jak zapowiadałem w jednym z poprzednich artykułów, dziś kolejne zestawienie aktualnych zagrożeń związanych z bankowością internetową. Poza scenariuszami opisywanymi już wcześniej niestety pojawiły się także nowe oszustwa. Od tego najpoważniejszego chciałbym dziś zacząć.

(tekst zaktualizowany 22.02.2022)

Oszuści telefonują do klientów i podają się za pracowników banku

Dzwoni telefon, wyświetlił się jeden z numerów twojego banku. To rozmowa przychodząca od pracownika działu bezpieczeństwa, sam się przedstawia, sprawnie podaje kilka twoich danych. I wyjaśnia, może trochę ze wschodnim akcentem, że ktoś chce ukraść twoje pieniądze, a on zaraz pomoże ci je uratować.

Brzmi dość wiarygodnie? Niestety tak. I drugie niestety – to oszustwo grubymi nićmi szyte…

Jak to działa?

Prawdopodobnie przestępcy wstępnie typują klientów banków korzystając z danych dostępnych w sieci z wycieków np. ze sklepów internetowych. W ten sposób w czasie rozmowy mogą podać np. nazwę banku, w którym klient ma rachunek, jego imię i nazwisko. Czasem mogą też znać kilka ostatnich cyfr numeru karty płatniczej.

Oszust dzwoni do atakowanej osoby i podaje się za pracownika banku – podaje swoje zmyślone imię i nazwisko, jakiś identyfikator. Zwykle jest podobno z Działu lub Departamentu Bezpieczeństwa. Aby podnieść swoją wiarygodność wykorzystuje technikę podszywania się pod numer telefonu należący do banku (to tzw. spoofing). Jak to wygląda? Otóż w telefonie wyświetli ci się numer jaki chce ci pokazać oszust, a nie ten prawdziwy. Dlatego nic nie da sprawdzenie w internecie tego numeru – wyszukanie pokaże, że to numer np. infolinii banku. Co warte podkreślenia – niestety bank nic z tym nie może zrobić, to słabość systemu telefonii komórkowej.

Pretekst

Żeby uśpić czujność ofiary oszust szybko powołuje się na kwestie cyberbezpieczeństwa. Straszy, że komputer lub smartfon klienta został zawirusowany i trzeba go dokładnie sprawdzić. Albo że jest jakiś oszust, który próbuje klienta okraść lub zaciągnąć w jego imieniu kredyt, a on właśnie dzwoni, aby go ratować itp. A może tym razem zaproponuje pomoc przy inwestycji w kryptowaluty? Scenariusze mogą się zmieniać, ale cel jest jeden – kradzież pieniędzy przez zmanipulowanie klienta, że działa w porozumieniu z pracownikiem banku.

[Aktualizacja 30.06.2021]

Już wiemy, że popularność zdobywają kolejne dwa scenariusze, od których zaczyna się atak.

Otóż w pierwszym przypadku rozmowa zaczyna się od odczytania przez automat komunikatu o rozpatrzeniu wniosku kredytowego i przyznaniu kredytu (najczęściej 15 000 PLN). Oczywiście osoba do której zadzwonili, nic nie wie o żadnym kredycie. Jest mocno zaniepokojona, korzysta z możliwości połączenia z doradcą („Aby połączyć się z doradcą wybierz 2…”), który uruchamia wspomniane wcześniej „ratowanie” pieniędzy klienta, czyli oszustwo nabiera rozpędu.

W drugim sprawa znowu kręci się wokół kredytu, ale tym razem rozmawia się rzekomo z pracownikiem Biura Informacji Kredytowej (BIK). Podobnie jak powyżej słyszymy, że został przyznany kredyt, ale podano niepoprawny numer rachunku do przelania całej kwoty. Ten we wniosku to podobno konto w zagranicznym banku. Chętny do pomocy „doradca” prosi o podanie prawidłowego numeru i zapewnia, że za chwilę kredyt zostanie przelany. Gdy zaskoczona potencjalna ofiara zaprzeczy, że starała się o kredyt, to słyszy, że w takim przypadku nie ma się czym przejmować. „Doradca” zaraz powiadomi policję i bank, wszystko zostanie wyjaśnione i odkręcone. Nie zapomni jeszcze zapytać „A w którym banku ma pan/pani konto?” i zapewni, że zaraz ktoś z banku się z nią skontaktuje. No i faktycznie, chwilę potem dzwoni ktoś, kto niby jest pracownikiem wspomnianego banku i zaoferuje… No tak, dobrze się domyślasz, znaną już „pomoc” w ratowaniu pieniędzy.
[koniec aktualizacji]

„Szybko pan zainstaluje ten program”

Przestępca przede wszystkim chce widzieć co się wyświetla na smartfonie lub komputerze klienta i móc sterować urządzeniem. Dlatego najczęściej namawia go do pilnej instalacji programu, który ma rzekomo „usuwać wirusy” albo „jest wymagany przez dział techniczny”. Może także podawać inne powody, ale wszystkie są fałszywe.

Ta aplikacja – zwykle to jest AnyDesk, QuickSupport lub TeamViewer – służy do uzyskiwania zdalnego dostępu do urządzenia, na którym jest zainstalowana. Jest legalna, ma poważne i praktyczne zastosowania, a w oficjalnym sklepie z programami wiele pobrań i dobre opinie. Utrudnia to zorientowanie się, że jej użycie może też być tak niebezpieczne. Niestety, w ten sposób daje się przestępcy możliwość zdalnego wykonywania operacji na telefonie lub komputerze. Do odczytywania z nich informacji, tak jakby to robił sam klient. Bardzo ważne – nie instaluj jej.

Rozwój oszustwa

Jeśli klient da się zmanipulować, to skończy się to kradzieżą pieniędzy. Klient namówiony przez przestępcę loguje się do bankowości internetowej (np. „żeby sprawdzić, czy wszystko jest teraz w porządku”), a tamten przechwytuje dane logowania. Potem odczytuje kody autoryzacyjne z wiadomości SMS z telefonu klienta i przelewa pieniądze na swoje konta. Może wypłacać środki z kart kredytowych, będzie próbował zaciągać pożyczki.

Pamiętaj – pracownicy banków nie wymagają zainstalowania jakiegokolwiek dodatkowego oprogramowania. Nigdy nie proszą także o podawanie danych logowania ani danych kart płatniczych (numer karty, data ważności, kod CVV/CVC). Nie będą cię także prosili o wykonywanie jakichkolwiek przelewów, wypłacanie gotówki i wpłacanie jej na inne konta, podawanie kodów BLIK itp.
W przypadku jakichkolwiek wątpliwości rozłącz się, nie kontynuuj rozmowy, nie wykonuj żadnych poleceń. Zawsze możesz sam zadzwonić do swojego doradcy lub na ogólną infolinię i sprawdzić, czy ktoś z banku faktycznie z tobą się kontaktował.

Najważniejsza zasada? Jeśli masz wykonać jakąkolwiek operację pierwszy raz, nie rozumiesz jej celu lub skutków, to nie daj się namówić do jej zrobienia. Odmów, rozłącz się, skontaktuj z bankiem lub porozmawiaj o tym z kimś bliskim.

Zobacz film, z naszego kanału YouTube, o tego rodzaju ataku

Przegląd innych ataków

Niestety nadal także są bardzo aktywni fałszywi brokerzy „pomagający inwestować” w kryptowaluty. Publikują reklamy w internecie, zapewniające o nieograniczonych zarobkach. Zalewają wiadomościami pocztowymi „przestrzegającymi”, że nie możesz tego przegapić, że to jest ten moment, aby zostać milionerem. Że ten czy inny celebryta już to zrobił i teraz jest bogaczem…

Zbyt piękne, aby było prawdziwe? Bo tak właśnie jest. To oszustwo. Żadnych zysków w tym szachrajstwie nie ma. Co najgorsze – to nie jest żadne inwestowanie, nie zobaczysz ponownie żadnych pieniędzy, które wpłacisz przestępcom.

Nie ustają także „w wysiłkach” przestępcy grasujący na OLX, Allegro Lokalnie i Vinted, udający kupujących. Kontaktują się ze sprzedającym i na różne sposoby próbują go przekonać, że musi kliknąć w link, a na wyświetlonej stronie wprowadzić dane swojej karty płatniczej albo zalogować się do swojej bankowości internetowej, żeby odebrać pieniądze ze sprzedaży. Opisywałem już ten scenariusz – nie daj się oszukać, nie podawaj tych danych, bo nie tylko nic nie dostaniesz, ale jeszcze stracisz swoje pieniądze.

A gdyby się okazało, że ni stąd ni zowąd, odezwał się do ciebie znajomy na Facebooku z prośbą o pożyczkę kilku setek złotych (chce kod BLIK). Albo gdyby przyszedł SMS, że jakaś paczka wymaga dopłaty (bo za ciężka), albo musisz zapłacić za jej dezynfekcję. Albo wreszcie, że jest jakiś mandat na 10 zł, którego nadal nie zapłaciłeś, to pamiętaj, że to mogą być oszustwa. Jak sobie z nimi poradzić dowiesz się tutaj.

Nie wierz nawet wtedy, gdy nadawca SMS-a sugeruje, że tym razem to nie ty masz za coś zapłacić, ale to tobie ktoś przelał pieniądze (na telefon, BLIK-iem), a Ty musisz kliknąć i podać dane, aby je odebrać. Tak, niestety takie oszustwa też już się pojawiły.

I jak zawsze – bądź dobrym duchem, pomagaj bliskim, przyjaciołom i znajomym, dziel się z nimi artykułami o bezpieczeństwie z naszego bloga. Gdy zadzwoni do nich oszust „pomogę, bo ktoś kradnie twoje pieniądze”, odezwie się na OLX kupujący, który podobno chce, żeby już tylko „odebrać jego pieniądze” itd. to dzięki tobie będą wiedzieli jak zachować zimną krew.

Podoba Ci się ten artykuł?

Subskrybuj nasz Newsletter i zyskaj:

  • interesujące publikacje ekspertów,
  • informacje o aktualnych promocjach,
  • wyjątkowe oferty Klubu korzyści.

Wprost na Twojego mejla!

Zapisz się

Może jeszcze
u nas zostaniesz?

Przejrzyj naszego bloga i dowiedz się, jak:

Interesujesz się tematyką oszczędzania pieniędzy?
Koniecznie sprawdź #WyzwanieOszczędzanie