Oszust zawsze dzwoni. Czym jest vishing?

Hakerzy i oszustwa internetowe to temat, który cały czas jest aktualny. Internet to przestrzeń, która stale się rozwija, a wraz z nim cyberprzestępczość. W mediach nieustannie słyszymy o nowych metodach oszustw, a jedną z nich jest vishing.

W Polsce zjawisko vishingu stało się popularne w 2023. Powszechnie trudno było jednak spotkać się z tym terminem. Jeśli jesteś ciekawy, jak wygląda zjawisko vishingu i jak się przed nim chronić, zapraszamy do lektury.

Co to jest vishing?

Vishing to termin, który jest połączeniem angielskich słów voice (głos) i phishing (wyłudzanie informacji). To forma oszustwa przez telefon, w której przestępca podaje się za przedstawiciela firmy lub instytucji. Rozmowa ma tylko jeden cel: wyłudzenie. Niezależnie od tego, czy są to dane osobowe, czy też środki finansowe, skutki vishingu są dotkliwe.

Smishing – czy należy się go bać?

Przez to, że techniki vishingu mogą być podobne, nierzadko vishing jest mylony ze smishingiem. 

Smishing to połączenie angielskich słów: Short Message Service (krótka wiadomość tekstowa – SMS) oraz phishing (wyłudzanie informacji). Smishing to forma ataku tekstowego – skierowanego na telefony. Na korzyść smishingu działają:

• Ogromne zaufanie do SMSów (pierwszy SMS został wysłany w 1992 roku) i powszechne ich użycie przez instytucje czy firmy. Dzięki SMSom oszustwa są dużo prostsze do przeprowadzenia. 
• Niemal nieograniczona liczba losowych kombinacji numerów telefonów. Dużo łatwiej jest wygenerować losowy numer telefonu niż np. adres e-mail.
• Wycieki baz danych przechowujących numery telefonów.

Smishing opiera się na wzbudzeniu zaufania oraz próbie oszustwa. Przestępcy wykorzystują zaufane marki (np. dostawców gazu, prądu, firmy kurierskie) do wzbudzenia zaufania u potencjalnej ofiary i w ten sposób wyłudzają dane czy środki pieniężne. W przypadku smishingu to końcowy etap oszustwa. W przypadku vishingu, SMSy to jedynie element na drodze do celu.

Skutki jednej rozmowy telefonicznej

Oszuści uzyskują numery telefonów na różne sposoby. Mogą je uzyskać z nielegalnie zdobytych baz danych, w dark webie, przez media społecznościowe czy poprzez fałszywe ogłoszenia oferujące pracę. W ten sposób przestępcy uzyskują wiarygodne dane oraz dodatkowe informacje, dzięki którym wydają się bardziej godni zaufania.

Po uzyskaniu potwierdzenia, że dany numer jest używany oraz po zdobyciu informacji np. używanego banku, przestępcy przystępują do próby ataku. Nieodzownym krokiem vishingu jest kontakt telefoniczny, który, co zaskakujące, może rozpocząć się z obydwu stron: ofiary, jak i przestępcy.

Niejednokrotnie słyszeliśmy o przypadkach, gdy przestępcy nakłaniali do wypłaty środków. W Polsce najpopularniejsze to:

• Metoda “na wnuczka”. Przestępca przez telefon najczęściej podawał się za członka rodziny, który rzekomo uległ wypadkowi. Prosił on o przekazanie środków finansowych znajomemu, który te środki miał przekazać dzwoniącemu. W rzeczywistości ofiary przekazywały nieznajomej osobie, która znikała, najczęściej z oszczędnościami życia ofiary. Schemat oraz metody przeciwdziałania podobnym zdarzeniom zostały opisane przez policję.
• Telefon z banku. Najczęstszy schemat to przestępca podający się za pracownika banku. Najczęściej ofiara otrzymuje informację, że wszystkie środki finansowe zostały skradzione i należy postępować zgodnie z instrukcjami pracownika banku. Tu następuje prośba o pobranie aplikacji z link wysłanego SMSem i wprowadzenie danych do logowania w banku. I w ten sposób oszuści rzeczywiście wyprowadzają środki z konta, które do tej pory były bezpieczne. Urząd Komisji Nadzoru Finansowego dokładnie opisuje atak i podpowiada jak postępować w takich sytuacjach.

Oszuści z infolinii a Twoje dane

Oszuści stosujący technikę vishingu często udają rozmówców z bankowej infolinii, próbując wzbudzić zaufanie swojej ofiary. Podczas połączenia telefonicznego, fałszywy rozmówca może prosić o podanie danych, takich jak login, hasło czy nawet numer PESEL, twierdząc, że jest to konieczne z powodów poufnych. Pamiętaj, że infolinia bankowa nigdy nie zadzwoni do klienta z prośbą o podanie tak wrażliwych informacji. Dlatego, aby mieć pewność, że nie padamy ofiarą oszustów, nigdy nie powinniśmy dzielić się poufnymi danymi podczas nieoczekiwanego połączenia telefonicznego.

Czym jest spoofing?

Przy okazji opisywania ataków telefonicznych, często możemy się natknąć na hasło spoofing. To angielskie słowo, które oznacza fałszowanie. Z kolei spoofing attack to podszywanie się pod kogoś lub coś. W sytuacjach oszustwa przez telefon nierzadko mamy do czynienia ze spoofingiem, czyli podszywaniem się. W przypadku wyświetlenia nam połączenia z np. banku, przestępcy korzystają z oprogramowania, które fałszuje wyświetlaną nazwę. To samo dotyczy się fałszywych aplikacji czy wiadomości e-mail.

Oszuści – dlaczego to działa?

Rozwój technologiczny i rosnąca świadomość społeczeństwa niestety nie wyklucza działań oszustów. Do wyłudzenia pieniędzy lub danych osobowych wykorzystywana jest zaawansowana technologia oraz psychologiczne mechanizmy manipulacji. To sprawia, że ludzie wciąż stają się ofiarami. Zrozumienie tych mechanizmów pomoże Ci w rozwijaniu świadomego podejścia i skutecznego bronienia się przed oszustami.

W przypadku vishingu opartego o rozmowy np. z pracownikiem banku przestępcy stosują metodę manipulacji, jaką jest reguła autorytetu. Łatwiej jest nam zaufać komuś, kto reprezentuje zaufaną instytucję, jaką jest bank. Przestępcy w łatwy sposób wyciągają od nas wrażliwe dane, dzięki którym uzyskują dostęp do naszych pieniędzy.

Sytuacje, w których tracimy oszczędności to momenty, w których targają nami emocje. Najczęściej panikujemy i nie myślimy zdroworozsądkowo. Przestępcy, wykorzystując emocje, manipulują nami w celu osiągnięcia konkretnych korzyści.

Vishing, czyli voice phishing – jak się chronić przed oszustwem?

Wiedząc, jak się bronić przed atakami hakerskimi, uchronisz się od kradzieży oraz zadbasz o swoich bliskich! Jak zatem się zabezpieczać?

1. Zapanuj nad emocjami. Jak przy każdym ataku hakerskim warto przestać panikować. Oszuści niejednokrotnie będą próbowali Cię okraść i oszukać. Pierwszą zasadą, którą warto zastosować, to opanowanie emocji.
2. Zadawaj sobie pytania. Dlaczego bliska mi osoba dzwoni z nieznanego numeru? Czy mam możliwość bezpośredniego kontaktu z nią? Po co konsultant banku każe mi zainstalować dodatkową aplikację? Ochłonięcie pozwala na spokojną analizę i weryfikację sytuacji.
3. Rozłącz się. Jeśli jakikolwiek z elementów rozmowy wzbudza Twoje wątpliwości, podziękuj za telefon i skontaktuj się z bankiem (lub inną instytucją) bezpośrednio. Zignorowanie przestępcy pozwoli Ci się uchronić przed kradzieżą.
4. Stosuj zasadę ograniczonego zaufania. Widzisz lub słyszysz kogoś pierwszy raz? Kto to jest? Czy ma legitymację i jest w stanie przedstawić rzetelne dokumenty? Na każdym kroku kontaktu z nową osobą, sprawdzaj jej wiarygodność.
5. Naucz się rozpoznawać vishing i inne metody przestępstw w Internecie. Podziel się tym artykułem z jak największą ilością osób. Przeczytaj także artykuły o hakerach, włamaniu na skrzynkę czy phishingu. Im więcej wiesz, tym lepiej jesteś w stanie przygotować się na atak i odpowiednio zareagować.
6. Weryfikuj u źródła. Dzwoni przedstawiciel banku? Rozłącz się i samodzielnie zweryfikuj, czy była to rzeczywiście rozmowa z konsultantem banku. Ktoś podaje się za bliską osobę i prosi o pieniądze? Rozłącz się i spróbuj skontaktować się z bliską osobą.
7. Nie podawaj danych osobowych przez telefon. Nie wiesz, z kim rozmawiasz i czym będzie skutkowało przekazanie danych przez telefon. Spróbuj tego typu sprawy realizować osobiście.
8. Weryfikuj domeny. Czy adres: https://domeny.tv/ to ten sam adres, co https://dome.nyc/? Zweryfikuj poprawność domen (nazw stron internetowych), zanim w nie klikniesz. Oszuści bardzo często wymyślają nazwy, które są łudząco podobne do rzeczywistych stron banków czy innych instytucji. Przeczytaj więcej o cybersquattingu oraz o tym, jak się przed nim chronić.

Reaguj

Jeśli zauważysz podejrzany kontakt, SMS lub wiadomość e-mail – zareaguj. W Polsce obowiązki Computer Security Incident Response Team (CSIRT), czyli z zespołem reagującym na incydenty związane z bezpieczeństwem komputerowym jest CERT (Computer Emergency Response Team). Na stronie https://incydent.cert.pl/ możesz zgłosić podejrzane SMSy czy złośliwe domeny. Wystarczy jeden krok, by przestępcy zaczęli być ścigani.

Tylko w 2022 roku CERT odnotował 322 479 zgłoszeń. Ilość zgłaszanych incydentów wzrosła o 178% w stosunku do roku 2021. To oznacza, że jesteśmy coraz bardziej świadomi czyhających na nas zagrożeń, ale jednocześnie ilość niebezpiecznych zdarzeń i nowych metod, wzrasta.

Telefoniczny przekręt – nie daj się zaskoczyć!

W miarę rozwoju technologii, tego rodzaju ataki stały się coraz bardziej zaawansowane i trudne do wykrycia. Znając sposoby pozwalające Ci się przed nim chronić, łatwiej będzie Ci funkcjonować w Internecie.

Zachęcamy Cię do stałego podnoszenia swojej świadomości w zakresie bezpieczeństwa. Bądź gotowy na reagowanie w sytuacjach podejrzanych czy potencjalnie niebezpiecznych.