Uwaga na fałszywe telefony

Dynamicznemu rozwojowi cyfrowej bankowości na polskim rynku towarzyszy wzrost aktywności przestępców, próbujących w różny sposób przejąć kontrolę nad kontami klientów. Jedną z metod wyłudzenia danych, stosowanych przez oszustów jest podszywanie się pod numer infolinii lub pracownika banku. Dlatego, w razie jakichkolwiek wątpliwości powinniśmy sprawdzić, czy próba kontaktu w danej sprawie lub otrzymany SMS są autentyczne, korzystając np. z nowatorskich rozwiązań, pozwalających zweryfikować tożsamość dzwoniącej osoby. Klienci PKO Banku Polskiego od niedawna mogą to zrobić w aplikacji mobilnej IKO.

Z roku na rok rośnie liczba ataków na klientów banków, korzystających z elektronicznych kanałów dostępu. Z danych udostępnionych portalowi Bankier.pl przez Komendę Główną Policji wynika, że w 2021 roku stwierdzono blisko 14,5 tys. przestępstw dotyczących e-bankowości i phishingu. Dla porównania, rok wcześniej było ich 6,7 tys., w 2019 roku – 6,3 tys., w 2018 roku – 3,6 tys., a w 2017 roku – 1,8 tys. Warto dodać, że nie wszystkie przypadki muszą być obligatoryjnie opisywane w katalogach tagami e-bankowość czy phishing. W rzeczywistości takich przestępstw może być jeszcze więcej.

Przestępcy, chcąc wyłudzić pieniądze lub dane, posługują się różnymi metodami: od prostego przekrętu „na wnuczka”, poprzez podawanie się za pracownika banku czy policjanta, po bardziej wyrafinowane cyberataki. Wykorzystują przy tym luki w zabezpieczeniach komputerów czy urządzeń mobilnych potencjalnych ofiar.

Różne metody wyłudzania danych

Jedną z najbardziej popularnych metod wyłudzenia danych stosowanych przez cyberprzestępców jest phishing – najczęściej za pomocą wiadomości e-mail. Oszuści próbują też pozyskać nasze dane w trakcie rozmowy telefonicznej (wtedy mamy do czynienia z vishingiem) oraz za pomocą SMS-ów (smishing). Aby uniknąć konsekwencji działań cyberoszustów, warto poznać te metody.
W przypadku phishingu przestępcy wysyłają np. maila z prośbą o aktualizację danych. W wiadomości załączają link, kierujący do strony łudząco podobnej do strony banku. Próba zalogowania się do serwisu jest równoznaczna z pozyskaniem przez przestępców loginu i hasła, które mogą wykorzystać do kradzieży z bankowego konta. Z kolei o vishingu mówimy w sytuacji, gdy oszuści dzwonią do klientów i podszywają się za pracowników banku W trakcie rozmowy proszą o podanie loginu oraz hasła do bankowości internetowej, a potem kodu SMS. Wykorzystują te informacje do zmiany numeru telefonu niezbędnego do autoryzacji transakcji. W efekcie kody SMS trafiają na telefon przestępcy, który może wyczyścić konto z pieniędzy. Czujność osłabia w tym przypadku magia autorytetu pracownika poważnej instytucji finansowej, który dzwoni w sprawie kluczowej dla naszych pieniędzy. Pretekst do ich podania może być różny, np. awaria systemów, prowadzone przez policję śledztwo czy zagrożenie utratą pieniędzy lub danych poufnych. Zdarza się również, że przestępcy wysyłają wiadomości SMS, zawierające prośbę o podanie informacji lub wykonanie przelewu, np. w związku z przebudową serwisu transakcyjnego. Ta metoda definiowana jest jako smishing.

Cyberprzestępcy podszywają się również pod firmy i wysyłają wiadomości z informacją, że np. zalegamy z opłatą za jakąś przesyłkę albo usługę. W obawie przed konsekwencjami z powodu  nieuregulowania płatności, otwieramy link lub załącznik, co może skutkować zainfekowaniem naszego urządzenia wirusem. Często też wysyłają zawirusowane dokumenty, które mają na celu wzbudzić naszą ciekawość. Może to być chociażby fałszywa lista płac współpracowników, kontrowersyjne zdjęcie, albo rzekomo poufny dokument.

Groźny spoofing

Oszuści mogą podszyć się też pod dowolny numer telefonu. Dzięki dostępnym narzędziom do tzw. spoofingu na ekranie ofiary wyświetli się numer telefonu urzędu skarbowego, infolinii bankowej, ale też policji czy prokuratury.

Przestępcy przedstawiają się jako pracownicy banku lub innej instytucji zaufania społecznego. Często wykorzystują pretekst zabezpieczenia konta - twierdzą, że bank zablokował próbę przelewu na dużą kwotę lub podejrzanej płatności kartą i potrzebują od ofiary pełnych danych logowania do serwisu, karty lub kodów BLIK. Czasem proszą o wykonanie transakcji, zalogowanie się do konta lub zainstalowanie oprogramowania typu AnyDesk, TeamViewer itd. Aplikacje te pozwalają podglądać i przejąć komputer ofiary.

W praktyce dane uzyskane w trakcie rozmowy pozwalają im okraść ofiarę, a zainstalowana na jej telefonie aplikacja służy wykradaniu np. kodów autoryzacyjnych.

Niezależnie od zachowania ostrożności w kontaktach telefonicznych z bankiem, każdy klient powinien wiedzieć, że prawdziwy pracownik banku nigdy nie poprosi o zainstalowanie dodatkowego oprogramowania czy aplikacji ani też o zdalny dostęp do komputera. Nie może też prosić o podanie danych do logowania do bankowości elektronicznej, kodów autoryzacyjnych, pełnego numeru karty i kodu CVV/CVC czy kodów BLIK. Jeśli w trakcie rozmowy padnie taka prośba to na pewno klient ma do czynienia z oszustem. Warto więc już na początku rozmowy sprawdzić, czy osoba po drugiej stronie na pewno jest pracownikiem banku.

Banki ostrzegają o takich oszustwach na swoich stronach internetowych, stronach logowania, w aplikacjach mobilnych, w mediach społecznościowych czy na infolinii. Ostrzeżenia wystosowały też Związek Banków Polskich i Policja.

Prosta weryfikacja tożsamości pracownika

Jedno z pierwszych na polskim rynku rozwiązań, umożliwiających klientom weryfikację tożsamości pracownika banku przez aplikację bankową, wprowadził PKO Bank Polski. Klienci największego polskiego banku, którzy mają aktywną aplikację mobilną IKO, mogą zweryfikować, czy kontaktuje się z nimi rzeczywisty pracownik banku. W praktyce wygląda to tak, że w trakcie rozmowy z konsultantem klient otrzyma na swój telefon wiadomość (push) z danymi pracownika, który z nim się kontaktuje (imię i nazwisko, stanowisko, adres oddziału). Może zweryfikować tożsamość osoby dzwoniącej, prosząc pracownika banku o podanie tych danych. Jeśli zgadzają się z tymi z przysłanej informacji, zatwierdza je PIN-em do IKO (ma na to 2 minuty) i obie strony mogą bezpiecznie kontynuować rozmowę.

– W kilku prostych krokach klient może potwierdzić w aplikacji IKO tożsamość pracownika banku. PKO Bank Polski, jako jeden z pierwszych na polskim rynku finansowym, wprowadził takie rozwiązanie, które z pewnością zdecydowanie zwiększy skuteczność walki z oszustami. Plaga spoofingu, czyli oszustwa podszywania się pod numer infolinii i pod pracowników banku, wymaga praktycznych i skutecznych działań i to rozwiązanie do nich należy – podkreśla Michał Macierzyński, dyrektor Departamentu Usług Cyfrowych w PKO Banku Polskim.

Potwierdzenie tożsamości pracownika banku w aplikacji mobilnej PKO Banku Polskiego to rozwiązanie, które zwiększa bezpieczeństwo danych i finansów klientów banku, pomaga zapobiec wielu wyłudzeniom i kradzieżom dokonywanym przez oszustów podających się za bankowych doradców czy konsultantów.

Warto zadbać o swój telefon

Cyberprzestępcy doskonale wiedzą, że użytkownicy często lekceważą kwestie bezpieczeństwa swoich urządzeń mobilnych i dlatego coraz chętniej właśnie je atakują. Tworzą chociażby złośliwe aplikacje, licząc na to, że zainstalujemy je na naszym smartfonie. Stąd już prosta droga, żeby oszust zdobył dostęp do naszych kontaktów, smsów albo loginów i haseł. A to może skończyć się kradzieżą pieniędzy z konta. Dlatego bardzo ważne jest, żeby pobierać aplikacje na telefon tylko z oficjalnych sklepów.

Oszuści wykorzystują również luki bezpieczeństwa, które pojawiają się w oprogramowaniu na smartfonach oraz aplikacjach i w ten sposób próbują włamać się na nasz telefon. Stąd tak ważne jest, aby regularnie instalować aktualizacje. Innym zagrożeniem może być brak blokady ekranu albo ustawienie zbyt łatwego kodu PIN. Jeśli zgubimy telefon, ktoś bez problemu uzyska dostęp do wszystkiego, co się tam znajduje – aplikacji bankowych, prywatnej korespondencji, maili albo zdjęć. Takie informacje mogą być potem wykorzystane do oszustwa.

Dla własnego bezpieczeństwa warto także co jakiś czas robić kopie zapasowe zgromadzonych na telefonie danych (kontaktów, zdjęć itd.). To może nas uchronić przed ich stratą w sytuacji, kiedy „złapiemy” złośliwe oprogramowanie i aby się go pozbyć trzeba będzie całkowicie sformatować smartfona. Natomiast jeśli decydujemy się wyrzucić albo sprzedać nasz smartfon, to koniecznie przywróćmy go do ustawień fabrycznych i upewnijmy się, że wszystkie nasze dane i aplikacje zostały z niego usunięte. Inaczej ktoś obcy może bez większego wysiłku uzyskać dostęp do wszystkiego, co się znajduje na naszym sprzęcie.