Michał Rosiak 
Odzywa się telefon, odbierasz. Kto to? Okazuje się, że dzwonią z banku. A przynajmniej tak się wydaje, bo przekręt "na konsultanta" to jedno z popularniejszych sieciowych oszustw coraz częściej rozpoznawane przez internautów. W CERT Orange Polska zaobserwowaliśmy jednak nowy, niebezpieczny pomysł oszustów. Zobaczcie na co warto uważać.
Nie wiem, jak to wygląda w każdym banku, mam jednak świadomość, że na pewno mBank i Millennium wdrożyły dawno temu bardzo dobre i ważne rozwiązanie, poprawiające bezpieczeństwo, gdy dzwonią z banku.
Dzień dobry, nazywam się [imię i nazwisko]. Zanim będziemy mogli kontynuować naszą rozmowę, proszę o potwierdzenie kontaktu w aplikacji mobilnej.
Dla mnie rewelacja. Zdaję sobie oczywiście sprawę, że dla pełnej efektywności należy jeszcze odpowiednio wyedukować klientów. Korzystam z usług jednego z tych banków i gdyby nie fakt, że interesuję się tematem, nie dowiedziałbym się o tej funkcjonalności. W sumie być może przestępcy być może też dopiero teraz wpadli na to, że takie zabezpieczenie istnieje. Ale wygląda na to, że psuje im nieco krwi, więc próbują znaleźć sposób, by sobie z nim poradzić.
SMS z (fałszywym) potwierdzeniem
Dlaczego pisałem o konieczności edukacji klientów? Bo stawiam dolary przeciwko orzechom, że co najmniej 19 na 20 internautów uzna taki SMS jak poniższy za prawdziwy kontakt od banku.
Wystarczy mu się chwilę przyjrzeć, by zdać sobie sprawę z tego, z jaką ściemą mamy do czynienia.
- brak polskich liter
- niepoprawny styl (posiadać wątpliwości?)
- prosty sześciocyfrowy "kod"
Biorąc pod uwagę, że nadpisy mogą zastrzegać tylko podmioty administracji publicznej, jako "Millennium", czy "mBank" - bądź inny bank - może napisać każdy. No i sześć cyfr to nie jest żadne potwierdzenie tożsamości. Oszust nawet nie musi ich znać. Nieważne, co mu podasz - on i tak potwierdzi.
Dlaczego uważam, że wielu internautów może się na to nabrać? Ze względu na presję. W momencie, gdy dzwoni "konsultant" ze swoimi socjotechnicznymi sztuczkami, wzbudza w Tobie obawy, że Twoim pieniądzom coś grozi - po prostu spojrzysz na SMS-a i podasz mu te cyfry.
W przypadku potwierdzenia tożsamości w aplikacji mobilnej mamy pewność, że wiadomość push trafi do właściwej osoby, a ta potwierdzi jego odbiór biometrią lub ustalonym przez siebie hasłem, czy PIN-em.
Co robić, gdy nie wiesz, czy dzwonią z banku
Przede wszystkim warto być czułym na wszelkie socjotechniczne sztuczki. Powtarzam to do znudzenia, ale jeśli coś wywołuje w Tobie silne emocje - jest podejrzane! Dowiedz się, czy Twój bank ma funkcjonalność potwierdzenia tożsamości konsultanta w aplikacji. Jeśli tak - kod z takim opisem w SMS to oszustwo. Masz jakiekolwiek wątpliwości? Po prostu się rozłącz. A następnie zadzwoń do banku i spytaj, czy do Ciebie dzwonili.
A do SMS-ów z banku najlepiej stosować zasadę ograniczonego zaufania. Jeśli oszust użyje takiego samego nadpisu jak bank, fałszywe wiadomości "zakolejkują" się razem z prawdziwymi. Łatwo w ten sposób dać się oszukać. Warto też pamiętać, że przestępcy mogą uruchomić kreatywność. I - że pozwolę sobie jeszcze raz pójść śladem opisywanych tutaj banków - wysłać wiadomość od "Miillenium" czy "mBakn". Zawsze czytacie nadpisy? Idę o zakład, że wiele osób przegapiłoby literówkę.
Ja w jednym z moich banków czytam np. tylko treści w aplikacji. W drugim nie uniknę SMS-ów (niestety tylko tak potwierdzają przelewy). Ale wtedy dokładnie czytam każdą wiadomość zanim wpiszę kod. No i kody przychodzą, kiedy przeprowadzam transakcję, a nie nagle, "z kosmosu".
Nie dajcie się oszukać. Dbajcie o swoje pieniądze.
Kasia Barys 
Monika Kulik 
Komentarze
A wystarczy żeby te kredytowe hieny nie wydzwaniały po klientach i skończyłoby się oszukiwanie bo byłoby wiadomo że bank nigdy i po nic nie dzwoni do ludzi -radykalne ale skuteczne
Odpowiedz