Pamiętacie czasy, gdy telefon służył do rozmów z innymi ludźmi? Wiem, że tzw. "dzisiejsza młodzież" może czuć się tym zaskoczona :). Tak samo jak tym, że było to urządzenie, ograniczone kablem. I nie było na nie gier! Dobra, żarty żartami, ale sami przyznacie, że coraz częściej posługujemy się po prostu komunikatorami. W dużych firmach, jak choćby Orange Polska, nasz wewnętrzny komunikator służy też do rozmów głosowych, również na numery telefoniczne. Komu przydają się najczęściej konwersacyjne możliwości telefonu? Marketingowcom, cwaniakom i złym ludziom, stosującym vishing. Nie zrozumcie mnie źle, mam na myśli trzy rozłączne grupy :)
(pół)Automat zawsze świeży i rześki
W każdym z testowanych przeze mnie smartfonów używam dwóch kart SIM. Mój podstawowy numer służbowy oraz prywatny, zaszłość dawnych czasów. Ten drugi utrzymuję w zasadzie za darmo (Nju Po Wieki, polecam!). Wrzucam go np. do ofert sprzedaży w różnych serwisach (dlatego nie dostaję scamu na OLX, bo pod tym nr nie mam WhatsAppa :) ), czasami dzwonią nań dawno niesłyszani znajomi. A kto najczęściej? Scamerzy oczywiście!
Wczoraj w przypływie dobrego humoru odebrałem rozmowę z takiego numeru i po prostu milczałem. Co się działo?
- Dzień dobry!
[ok. 1,5 sekundy przerwy]
- Dzień dobry!
[ok. 1,5 sekundy przerwy]
- Dzień dobry!
Po trzecim razie rozłączyłem :) Za każdym razem słyszałem ten sam głos. Co to oznacza? Ano to, że w sporej części tego typu przedsięwzięć nie rozmawia z nami wcale żywy człowiek! Tzn. po części rozmawia - on/a siedzi przed komputerem ze słuchawkami na uszach. W zależności od naszych odpowiedzi, klika odpowiedni punkt ze skryptu, a my słyszymy odpowiadającą mu wypowiedź. Z punktu widzenia "drugiej strony" - świetne, prawda? Nagrany głos nigdy nie będzie zirytowany, nie będzie w nim słychać zmęczenia, zawsze będzie świeży i rześki. Ale czy tylko dla mnie jest to sytuacja mroczna i co najmniej dziwna?
Vishing, czy prawdziwy bank?
Dlaczego w ogóle o tym piszę? Bo w ostatnim czasie znacząco rośnie tzw. vishing (voice phishing), czyli próby phishingu głosowego. O ile takie sytuacje jak ta, którą opisałem na początku, można traktować jako - hmmm - ciekawostkę, groźnie się robi, gdy odbierzemy rozmowę z ostrzeżeniem lub ofertą inwestycji. Niestety o ile np. adresów e-mail, z których przychodzą do Was nasze faktury nie da się podrobić (zespoofować) to z numerami telefonów nie jest już tak dobrze. Rozwój technologii VoIP i aplikacji do dzwonienia oraz fakt, iż tworząc podstawowe funkcjonalności telefonii nikt nie spodziewał się, że trzeba ją będzie zabezpieczyć przed cyberzagrożeniami, spowodowały iż bardzo łatwo możemy zadzwonić do kolegi przy biurku obok, a jemu na ekranie telefonu pokaże się numer banku. A to już pierwszy krok do uzyskania zaufania ofiary i sprawienia by ta "łyknęła" vishing!
A co można z nami zrobić, gdy na pierwszy rzut mózgu zaufamy rozmówcy? W zasadzie wszystko. Z drugiej strony słuchawki siedzą naprawdę sprawni socjotechnicy, a ci potrafią tak - wybaczcie kolokwializm - nawinąć makaron na uszy, że nawet świadomi internauci uwierzą im naprawdę w wiele. Na co zatem trzeba w takiej sytuacji uważać? Przede wszystkim na:
- prośby o login i/lub hasło
- próby "potwierdzenia" danych pozornie niegroźnych
- sugestię instalacji zewnętrznej aplikacji (głównie na komputerze, zazwyczaj jest to AnyDesk)
Pierwsza kwestia jest oczywista. W drugiej może to być np. nazwisko panieńskie matki, niezbędne w przynajmniej jednym banku do aktywacji aplikacji mobilnej. Trzecia - to aplikacja zdalnego pulpitu, dająca pełny dostęp do naszego komputera.
Dodatkowo, słuchajcie komunikatów, gdy dzwoni do Was bank. Ten prawdziwy. Wiem, są długie i nudne, ale bywają bardzo ważne. Coraz częściej na automatycznych infoliniach, gdy generowane jest dla nas hasło, jesteśmy informowani o tym fakcie i jego celu. Po to, by komunikat: "Nie podawaj tego kodu nikomu!" przekonał nas, że to vishing. A nasz rozmówca tylko podaje się za pracownika banku.
Nie musisz (jeszcze) niczego przelewać
Wiem, miało być o inwestycjach. Czy raczej "inwestycjach", bo jedyny zysk mają na nich oszuści. Do niedawna ich aktywności ograniczały się do stron/reklam na Facebooku, obiecujących ogromne zyski ze złóż ropy, gazu, czy Bitcoinów. Ostatnio trafiłem na sprytny phishing hybrydowy. Zaczęło się od strony, sugerującej oddanie inwestycji w "ręce" automatu. Co więcej, nie musimy przelewać naszych pieniędzy! Tzn. musimy, ale - o dziwo - nie od razu. Najpierw poczytajmy stronę, opinie innych, zapiszmy się (oddając nasze personalia, mail i telefon oszustom) i... czekajmy na telefon! Tutaj oszuści w sprytniejszy sposób wzbudzają nasze zaufanie, podsuwając marchewkę i niczego (w pierwszym kroku) nie żądając. Stawiam ich wszystkie BTC, że dzwoniąc wezmą się za przekonywanie do instalacji AnyDeska albo czegoś podobnego.
Ten przykład to jednak wyjątek, scam "na bitcoiny" to wciąż nachalne reklamy w social mediach, czy - coraz częściej - rozmowy telefoniczne. W ostatnich dniach kilkakrotnie do CERT Orange Polska trafiły informacje o rozmówcach telefonicznych, próbujących przekonać, że "na naszej platformie czekają na pana bitcoiny do wypłaty", zgodnie ze schematem, który opisywałem jakiś czas temu. Zdarza się, że rozmówcy przypadkowo się rozłączają, a gdy niedoszła ofiara oddzwania, słyszy kogoś innego! Właściciel numeru twierdzi, że nie ma pojęcia o żadnych bitcoinach, zdarza się, iż mówi, że to nie pierwszy taki telefon, który danego dnia odebrał. Nie wiadomo na jakiej zasadzie oszuści wybierają numery - nikomu z moich znajomych nie zdarzyło się jeszcze, by podszywali się pod niego.
A co robić w przypadku takiej rozmowy? To akurat proste. "Proszę pana/i, nie mam u was żadnych bitcoinów, żegnam". Nie zaszkodzi z poziomu telefonu zablokować numeru, by nie próbowali nas przekonać, że jednak tak. Nikt nie rozdaje bitcoinów za darmo, a jeśli gdzieś zainwestowaliśmy nasze oszczędności w kryptowaluty, to przecież sami dobrze o tym wiemy!
Komentarze
Fajna akcja, czekamy na kolejne ?
OdpowiedzDziękujemy !
Odpowiedz