Coraz więcej osób traci tysiące złotych dając się nabrać cyberprzestępcom. Jeżeli nie chcecie paść ofiarą cyberataku, to przeczytajcie jak działają nowocześni cyberprzestępcy.
Najczęściej hakerzy podszywają się pod pracowników banku. Cyberprzestępcy dzwonią do nas i twierdzą, że ktoś włamał się nam na konto. Dokładnie tak, – haker, który chce nas zhakować, mówi, że ktoś nas wcześniej zhakował. Oczywiście nikt nas nie zhakował, ale skąd mamy to wiedzieć.
Następnie haker, aby „zabezpieczyć” nasze pieniądze przed wymyślonym cyberprzestępcą prosi o jedną z tych rzeczy:
- Dostęp do naszego komputera przez zdalny pulpit, aby przeskanować komputer z wirusów. Najczęściej jesteśmy proszenie o zainstalowanie aplikacji AnyDesk, TeamViewer lub podobnej.
- Zainstalowanie fake’owej aplikacji, czyli wirusa na komputerze lub telefonie, aby autoryzować dostęp do konta.
- Podanie danych do logowania, aby upewnić się, że rozmawia z właściwą uprawnioną osobą.
- Podanie kodu BLIK, aby od razu przejąć sobie pieniądze.
Jeżeli zrobimy któraś z tych rzeczy, to niestety pożegnamy się ze swoimi pieniędzmi.
Warto wspomnieć, że cyberprzestępcy są bardzo bardzo autentyczni. Niestety – to świetni aktorzy. To nie jest tak, że dzwonią i mówią „podaj login i hasło”, tylko rozmowy przebiegają jak prawdziwe. Dzwoniący hakerzy przedstawiają się, podają fałszywy numer identyfikatora, informują, że „rozmowa jest nagrywana itd”. Dodatkowo często podszywają się pod prawdziwego pracownika banku (wyszukują go na LinkedIn i używają jego imienia i nazwiska).
Haker zaczyna od pytań typu “czy posiada Pan konto walutowe”, “czy dzisiaj wypłacał Pan pieniądze w bankomacie”, “czy w dniu 29.09. wykonał Pan transakcje BLIK”, “proszę podać nazwisko panieńskie matki” itd.. Dopiero potem mówią nam, że w ogóle mogę powiedzieć o co chodzi i dlaczego dzwonią. Cyberprzestępcy doskonale znają psychologię i działanie mózgu. Prowadzą nas przez oszustwo małymi krokami.
Naprzeciw tym oszustwom z bardzo fajnym nowoczesnym rozwiązaniem przychodzi PKO Bank Polski. Jeżeli dzwoni do nas pracownik banku, to możemy powiedzieć mu, że chcemy go zweryfikować. Jak działa ta weryfikacja? W aplikacji bankowej iKO otrzymamy powiadomienie z danymi tego pracownika. Jeżeli dane w aplikacji są takie same jak podał pracownik, to mamy gwarancję, że nikt nie próbuje nas właśnie okraść i oszukać.
Przeprowadziłem z pracownikiem rozmowę, aby dowiedzieć się jak przebiega weryfikacja w aplikacji. Oto jak to działa. Poniżej znajdziecie nagranie rozmowy telefoniczej oraz jej transkrypcje.
Dowiedz się więcej o spoofingu na stronie PKO Banku Polskiego
Konsultant: Dzień dobry. Nazywam się Damian Doan Quyet i dzwonię z PKO Banku Polskiego, czy rozmawiam z Panem Patrykiem Szczepaniakiem?
Klient: Tak. Przy telefonie.
Konsultant: Kontaktuję się w celu przekazania ważnej informacji związanej z bezpieczeństwem. Czy ma Pan czas na krótką rozmowę?
Klient: Chwilę mam. A ile to potrwa?
Konsultant: Rozmowa zajmie około 5 minut. Czy może Pan teraz rozmawiać?
Klient: Tak. Proszę powiedzieć o co chodzi, bo zaczynam się martwić.
Konsultant: Już za chwilę powiem o szczegółach. Na początek jednak zadam Panu kilka pytań w celu weryfikacji.
Klient: Ok.
Konsultant: Proszę o podanie nazwiska panieńskiego Pana mamy.
Klient: [..].
Konsultant: Dziękuję. Proszę o podanie Pana daty urodzenia.
Klient: Hmmm. Wie Pan co? Tak się zastanawiam, czy powinienem podawać te dane. Skąd ja mam pewność, że rozmawiam z pracownikiem banku. Tyle się teraz słyszy o tych wyłudzeniach danych. Mam duże obawy.
Konsultant: Rozumiem i bardzo dobrze, że jest Pan ostrożny. Sami zalecamy rozwagę i sprawdzanie rozmówców. Jeżeli korzysta Pan aktywnie z IKO, to będzie Pan mógł zweryfikować moją tożsamość w aplikacji. Czy ma Pan teraz dostęp do IKO?
Klient: Tak. Mam.
Konsultant: W takim razie za chwilę prześlę Panu prośbę o weryfikację mojej tożsamości. Proszę uruchomić aplikację. W IKO na ekranie Mobilna autoryzacja prezentowany będzie typ operacji Weryfikacja pracownika banku, a na ekranie będą widoczne Moje dane oraz numer infolinii. Przypomnę, że nazywam się Damian Doan Quyet. Ma Pan możliwość potwierdzenia weryfikacji przy użyciu PIN-u. Proszę teraz o potwierdzenie w IKO mojej tożsamości przy użyciu PIN-u.
Klient: Wezmę Pana na głośnomówiący i działam.
Konsultant: Proszę powiedzieć, jeżeli będę miał coś powtórzyć.
[W tym momencie dostałem powiadomienie w aplikacji IKO z danymi pracownika i numerem infolinii z której dzwoni. Jeżeli dane są takie same jak podane przez pracownika, to mam pewność, że to prawdziwy pracownik banku. Potwierdzenie polega na kliknięciu w powiadomienie z aplikacji bankowej i potwierdzenie przez podanie PIN-u.]
Klient: Pan Damian Doan Quyet… Już. Potwierdziłem.
Konsultant: Dziękuję. Czy możemy kontynuować rozmowę?
Klient: No lećmy dalej.
Konsultant: Dziękuję. W takim razie proszę o podanie Pana daty urodzenia.
Klient: [..].
Konsultant: Dziękuję. Z informacji, które posiadam wynika, że w dniu [..] na Pana koncie została zarejestrowana transakcja BLIK na kwotę [..]. Proszę o informację, czy to Pan wykonywał tę transakcję?
Klient: Tak. To ja.
Konsultant: Dziękuję. Zadam Panu jeszcze kilka pytań związanych z bezpieczeństwem konta.
Czy otrzymał Pan podejrzanego maila lub SMS-a z linkiem?
Klient: Nie.
Konsultant: Dziękuję. Czy podał Pan dane do logowania, numer karty, PIN / kod z aplikacji IKO, kod z karty kodów lub kod SMS albo dane z dokumentu tożsamości?
Klient: Nie.
Konsultant: Dziękuję. Czy kontaktowały się z Panem osoby podające się za pracowników banku / bezpieczeństwa lub innych instytucji z prośbą o podanie danych lub proponujące wysoki zysk z transakcji albo prosiły o przekazanie środków pieniężnych na inne konto lub wpłatę na inne konto Banku?
Klient: Nie.
Konsultant: Dziękuję. Czy instalował Pan aplikację z linku otrzymanego mailem lub SMS-em, ustawiając opcję Zezwalaj na instalowanie aplikacji ze źródeł innych niż oficjalne sklepy lub dodatkowe oprogramowanie do zdalnego dostępu, np. AnyDesk, TeamViewer, Quick Support, Radmin?
Klient: Nie.
Konsultant: Dziękuję. To już wszystkie pytania z mojej strony. Być może Pan ma do mnie jakieś pytania?
Klient: Tak. Często dzwonicie do Klientów w takich sprawach?
Konsultant: Bank od zawsze dba o bezpieczeństwo finansów swoich Klientów. Codziennie monitorujemy transakcje i gdy coś wzbudza nasze wątpliwości – reagujemy. Dzięki temu w wielu przypadkach udaje nam się uratować naszych Klientów przed oszustwem. W Pana przypadku nie widzę nic niepokojącego. Może być Pan spokojny, ale proszę o ostrożność i nie podawanie danych do logowania w rozmowie telefonicznej i nie wchodzenie w linki, które otrzymuje Pan z nieznanych źródeł. Czy w czymś jeszcze mogę pomóc?
Klient: Nie. To wszystko. Dziękuję.
Konsultant: Ja również dziękuję za rozmowę i życzę miłego dnia. Do usłyszenia.
Klient: Do usłyszenia.
Słowo podsumowania – uważajcie, weryfikujcie, sprawdzajcie. Nie bądźcie łatwowierni. Wszystko poddawajcie pod wątpliwość. Oszuści wymyślają coraz nowsze metody na przejęcie naszych pieniędzy. Chwila nieuwagi i możemy stracić swoje oszczędności. Pieniądze trzymajcie tylko w najlepszych bankach.