Uwaga na telefonicznych oszustów, którzy podają się za pracowników banku. W sieci ważna jest ostrożność i ograniczone zaufanie
fot. AdobeStock / mat. pras. / mat. pras.

Cyberprzestępcy próbują różnych sposobów, aby móc wyłudzić dane i przejąć kontrolę nad naszym kontem. Jedną z bardzo popularnych  metod jest podszywanie się pod numer infolinii lub pracownika banku, tzw. spoofing. Dlatego w razie jakichkolwiek wątpliwości należy sprawdzić, czy próba kontaktu w danej sprawie lub otrzymany SMS są autentyczne. Klienci PKO Banku Polskiego mogą to zrobić m.in. w aplikacji mobilnej IKO, pozwalającej szybko zweryfikować tożsamość dzwoniącej osoby. 

Pomimo prowadzonych przez banki i policję akcji edukacyjnych klienci banków wciąż dają się nabierać na różne sztuczki stosowane przez przestępców w celu wyłudzenia danych czy pieniędzy. Cyberprzestępcy posługują się rozmaitymi metodami i podstępami, od prymitywnego przekrętu „na wnuczka”, poprzez podawanie się za pracownika banku czy policjanta, po bardziej wyrafinowane cyberataki, wykorzystujące luki w zabezpieczeniach komputerów czy urządzeń mobilnych potencjalnych ofiar przestępstw. Skalę tego zjawiska obrazują dane Komendy Głównej Policji, z których wynika, że w 2021 roku stwierdzono już prawie 14,5 tys. przestępstw dotyczących e-bankowości i phishingu, podczas gdy rok wcześniej odnotowano ich „jedynie” 6,7 tys. 

Przestępcy często podszywają się pod pracownika banku 

W ostatnim czasie bardzo popularną metodą stosowaną przez cyberprzestępców stał się tzw. spoofing. Przestępcy wykorzystują słabość infrastruktury GSM i są w stanie podszyć się pod dowolny numer telefonu – infolinii bankowej, ale też policji czy prokuratury. Telefonują do osób, których dane pochodzą najczęściej z mediów społecznościowych czy wycieków z różnych portali i przedstawiają się jako pracownicy banku lub innej instytucji zaufania społecznego. Często wykorzystują pretekst zabezpieczenia konta – informują o zablokowaniu rzekomego przelewu na dużą kwotę lub podejrzanej płatności kartą. Najczęściej twierdzą, że bank zablokował podejrzaną transakcję i potrzebuje od ofiary pełnych danych logowania do serwisu, karty lub kodów blik. Czasem proszą o wykonanie transakcji, zalogowanie się do konta, zainstalowanie oprogramowania typu AnyDesk, TeamViewer itd. Aplikacje te pozwalają „podglądać” komputer ofiary. 

Wykorzystując zdezorientowanie użytkownika, wyłudzają dane dostępowe do bankowości elektronicznej, dane kart płatniczych, kody BLIK, nalegają na zainstalowanie aplikacji lub przelanie pieniędzy na „konto techniczne”. W praktyce te dane uzyskane w trakcie rozmowy pozwalają im okraść ofiarę, a zainstalowana na jej telefonie aplikacja służy wykradaniu np. kodów autoryzacyjnych. Warto pamiętać, że spoofing może mieć charakter bezosobowy – na ekranie telefonu może wyświetlić się nazwa lub numer infolinii znanych instytucji, np. ZUS, nazwa banku lub nawet numer 997. Dlatego trzeba z ostrożnością podchodzić do tego, co widzimy na ekranie telefonu komórkowego. Trzeba też uważać, komu udostępnia się dane kontaktowe, adres e-mail i numer telefonu. A przede wszystkim nigdy nie powinno się podawać żadnych danych dostępowych do swojego konta.

Weryfikacja tożsamości przez aplikację 

Banki ostrzegają o oszustwach metodą spoofingu na swoich stronach internetowych, stronach logowania, w aplikacjach mobilnych, w mediach społecznościowych czy na infolinii. Ostrzeżenia wystosowały też Związek Banków Polskich i Policja. Jednak skuteczna walka z tego rodzajem oszustwami nie byłaby możliwa bez wprowadzanych przez banki nowatorskich rozwiązań informatycznych. I tak klienci PKO Banku Polskiego, którzy mają aktywną aplikację mobilną IKO, mogą teraz za jej pomocą zweryfikować, czy kontaktuje się z nimi rzeczywisty pracownik banku. Klient otrzyma w aplikacji wiadomość (push) z danymi pracownika i poprosi go o podanie tych danych np. imienia i nazwiska – jeśli dane się zgadzają, zatwierdza je PIN-em do IKO. 

Potwierdzenie tożsamości pracownika banku w aplikacji mobilnej PKO Banku Polskiego to rozwiązanie, które zwiększa bezpieczeństwo danych i finansów klientów banku, pomaga zapobiegać wielu wyłudzeniom i kradzieżom dokonywanym przez oszustów podających się za bankowych doradców czy konsultantów. – PKO Bank Polski jako jeden z pierwszych na polskim rynku finansowym wprowadził takie rozwiązanie, które z pewnością zdecydowanie zwiększy skuteczność walki z oszustami. Plaga spoofingu, czyli oszustwa podszywania się pod numer infolinii i pod pracowników banku, wymaga praktycznych i skutecznych działań i to rozwiązanie do nich należy – podkreśla Michał Macierzyński, dyrektor Departamentu Usług Cyfrowych w PKO Banku Polskim.

Niezależnie od zachowania ostrożności w kontaktach telefonicznych z bankiem, każdy klient powinien wiedzieć, że prawdziwy pracownik banku nigdy nie poprosi o zainstalowanie dodatkowego oprogramowania czy aplikacji ani też o zdalny dostęp do komputera. Nie może też prosić o podanie danych do logowania do bankowości elektronicznej, kodów autoryzacyjnych, pełnego numeru karty i kodu CVV/CVC czy kodów BLIK. Jeśli w trakcie rozmowy padnie prośba o wykonanie którejś z powyższych czynności, to na pewno klient ma do czynienia z oszustem. Warto więc już na początku rozmowy sprawdzić, czy osoba po drugiej stronie na pewno jest pracownikiem banku.

Uwaga na phishing

Innymi popularnymi metodami wyłudzenia danych stosowanymi przez cyberprzestępców są phishing, vishing (wyłudzanie danych w trakcie rozmowy telefonicznej) oraz smishing (wyłudzanie danych za pomocą SMS-ów). W przypadku phishingu przestępcy wysyłają np. maila z prośbą o aktualizację danych użytkownika, niezbędną dla właściwego działania systemu bankowego. W liście załączają link kierujący do strony łudząco podobnej do strony banku. Próba zalogowania się do serwisu jest równoznaczna z pozyskiwaniem przez przestępców loginów i haseł, które mogą wykorzystać do opróżnienia bankowego konta. Z kolei o vishingu mówimy w sytuacji, gdy oszuści dzwonią do klientów podając się za pracowników banku i prosząc w trakcie rozmowy o podanie loginu oraz hasła do bankowości internetowej, a potem kodu SMS. Wykorzystują te informacje do zmiany numeru telefonu niezbędnego do autoryzacji transakcji. W efekcie kody SMS trafiają na telefon przestępcy i może on wyczyścić konto z pieniędzy. Czujność osłabia w tym przypadku „magia” autorytetu pracownika poważnej instytucji finansowej, który dzwoni w sprawie kluczowej dla naszych pieniędzy. Pretekst do ich podania może być różny, np. awaria systemów, prowadzone przez policję śledztwo czy zagrożenie utratą pieniędzy lub danych poufnych. Zdarza się również, że przestępcy wysyłają wiadomości SMS zawierające prośbę o podanie informacji lub wykonanie przelewu, np. w związku z przebudową serwisu transakcyjnego. 

Cyberprzestępcy podszywają się również pod firmy i wysyłają maile z informacją, że np. zalegamy z opłatą za jakąś przesyłkę albo usługę. Bojąc się konsekwencji wynikających z nieuregulowania płatności, otwieramy taki załącznik, co może skutkować zainfekowaniem sprzętu. Inną metodą stosowaną przez cyberprzestępców jest wysyłanie zainfekowanych dokumentów, które mogą wzbudzić naszą ciekawość. Może to być chociażby lista płac, zdjęcie, na którym rzekomo jesteśmy, albo jakiś poufny dokument.

Warto zadbać o bezpieczeństwo urządzeń mobilnych

Cyberprzestępcy doskonale wiedzą, że użytkownicy czasem  z lekceważeniem podchodzą do bezpieczeństwa swoich urządzeń mobilnych i dlatego coraz chętniej atakują właśnie w ten sposób. Tworzą chociażby złośliwe aplikacje licząc na to, że zainstalujemy je na naszym smartfonie. Stąd już prosta droga, żeby oszust zdobył dostęp do naszych kontaktów, smsów albo loginów i haseł. A to może skończyć się np. kradzieżą pieniędzy z konta. Dlatego bardzo ważne jest, żeby pobierać aplikacje na telefon tylko z oficjalnych sklepów. I zanim je zainstalujemy, powinniśmy zwrócić uwagę na opinię innych użytkowników oraz uprawnienia, jakich żąda aplikacja podczas instalacji. Jeśli np. program do mierzenia aktywności chce dostępu do wiadomości, to znaczy, że coś jest nie tak. 

Mechanizm ataków skonstruowany jest tak, że to użytkownik wykonując określoną czynność „otwiera drzwi” oszustowi. Oznacza to, że każdy z nas staje się odpowiedzialny za bezpieczeństwo. W sieci należy zachować ostrożność i zasadę ograniczonego zaufania. Dlatego jeśli np. dzwoni do nas ktoś podający się za pracownika banku i nakłania nas do pilnego zainstalowania aplikacji, to powinna nam się zapalić lampka ostrzegawcza, bo żadna osoba zatrudniona w banku nigdy czegoś takiego nie zrobi.

Należy także uważać na otwarte i niezabezpieczone sieci wi-fi. Oszuści potrafią specjalnie tworzyć fałszywe punkty dostępu, żeby np. wykradać dane (chociażby loginy i hasła). Wskazane jest co jakiś czas robić kopie zapasowe zgromadzonych na telefonie danych (kontaktów, zdjęć itd.). Warto także pamiętać o  ostrożności przy wymianie telefonu.

Pamiętaj! 
Pracownik banku nigdy nie poprosi o: 

  • zainstalowanie dodatkowego oprogramowania czy aplikacji, 
  • zdalny dostęp do komputera, 
  • podanie danych do logowania do bankowości elektronicznej, 
  • kodów autoryzacyjnych kodów BLIK, 
  • pełnego numeru karty i kodu CVV/CVC.

Uwaga!
Jeżeli nie jesteś pewien, czy rozmawiasz z pracownikiem danej instytucji, po prostu rozłącz się. Bezpiecznie jest zadzwonić do takiej instytucji i zapytać, czy próba kontaktu w danej sprawie lub otrzymany SMS są autentyczne. Klienci PKO Banku Polskiego mogą zweryfikować tożsamość dzwoniącego pracownika w aplikacji IKO. 

/ar/