Coraz częściej stosowaną formą oszustwa jest Vishing (voice phishing). Podobnie jak phishing jest to oparty o inżynierię społeczną atak mający na celu skłonienie ofiary do podania wrażliwych danych lub wykonania określonych działań. Realizowany jest on za pomocą kontaktu telefonicznego. W celu wyłudzenia poufnych informacji lub „potwierdzenia” danych posiadanych przez bank lub instytucję, przestępca podszywa się pod osobę lub instytucję godną zaufania (np. pracownika banku, agenta ubezpieczeniowego, policjanta, wnuczka czy konsultanta).

Na co zwrócić uwagę?

Zazwyczaj przestępca wykorzystuje element zaskoczenia, wskazuje problem wymagający podjęcia natychmiastowego działania. Wskazując ofierze wymagane działanie wskazują na zapewnienie bezpieczeństwa klienta. Przedstawianym ofierze powodem kontaktu mogą być pilna potrzeba wsparcia bliskiej osoby, awaria techniczna, audyt jakości usług lub nawet rzekomy atak hakerski.

Sugerując możliwe rozwiązania przestępca wymaga potwierdzenia danych teleadresowych, osobowych, numeru PESEL, dowodu osobistego, identyfikatora klienta czy hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, data ważności). Przestępca może również żądać potwierdzenia smsem autoryzacyjnym transakcji wykonanej na wcześniej wyłudzonych danych bądź podania kodu autoryzacyjnego.

Połączenia telefoniczne wykorzystywane w ataku często posiadają cechy połączenia przychodzącego z zaufanego źródła. Przestępca wykorzystując tzw. „spoofing”, podszywa się pod osobę lub instytucję zaufaną, a na telefonie wyświetlany jest inny numer niż ten, z którego faktycznie następuje połączenie, np. numer Banku.

Również często stosowaną metodą jest SMS uprzedzający kontakt telefoniczny. Zawarte w nim informacje (takie jak nazwa czy imię i nazwisko „pracownika” zaufanej instytucji) mają w atakowanym wzbudzić zaufanie do następującego po nim kontaktu telefonicznego.

Jak się chronić?

Jeżeli podawana przyczyna kontaktu telefonicznego z jakiegokolwiek powodu wydaje się nietypowa lub podejrzana, należy założyć, że jest to atak. W celu weryfikacji należy zadzwonić pod znany numer kontaktowy osoby lub organizacji, która się z nami kontaktuje (uwaga: nie należy korzystać z numeru telefonu podanego w trakcie rozmowy lub w uprzedzającej rozmowę wiadomości SMS). W przypadku rozmówcy podającego się za pracownika banku można skorzystać z opcji autoryzacji rozmówcy dostępnej w aplikacji mobilnej banku lub z ustanowionego wcześniej hasła.

O czym należy pamiętać?

• pracownik banku nigdy nie prosi o dane do logowania do bankowości internetowej (identyfikator, hasło),
• pracownik banku nigdy nie zasugeruje wypłaty środkó, wykonania przelewu na „konto bezpieczeństwa” lub na inne bezpieczne konto techniczne,
• pracownik nigdy nie prosi o podanie kodu BLIK;
• pracownik banku nigdy nie przesyła linku do dodatkowej aplikacji i nie wymaga od klienta jej zainstalowania,
• wszelkie problemy techniczne po stronie banku są rozwiązywane przez bank – bez żądania realizacji działań przez klienta,
• zawsze należy zwracać uwagę na treść SMS-ów i komunikatów z aplikacji mobilnej, które dostajesz – może z nich wynikać, że jesteś nakłaniany do akceptacji transakcji przygotowanej przez przestępcę.

Najlepszą ochroną jest zachowanie rozwagi i zdrowego rozsądku. Zweryfikuj rozmówcę zanim podasz jakiekolwiek informacje. Nie podawaj swojego identyfikatora i innych danych (np. danych osobowych, kartowych) bez upewnienia się co do tożsamości rozmówcy.

Przypominamy: W przypadku podejrzenia próby popełnienia przestępstwa, gdy masz podejrzenia dotyczące tożsamości osoby z którą rozmawiasz lub gdy przestępstwo zostało popełnione, niezwłocznie skontaktuj się z nami dzwoniąc na infolinię pod numer 19 502 oraz złóż stosowne zawiadomienie na Policję lub do prokuratury.