Pamiętacie czasy, gdy telefon służył do rozmów z innymi ludźmi? Wiem, że tzw. "dzisiejsza młodzież" może czuć się tym zaskoczona :). Tak samo jak tym, że było to urządzenie, ograniczone kablem. I nie było na nie gier! Dobra, żarty żartami, ale sami przyznacie, że coraz częściej posługujemy się po prostu komunikatorami. W dużych firmach, jak choćby Orange Polska, nasz wewnętrzny komunikator służy też do rozmów głosowych, również na numery telefoniczne. Komu przydają się najczęściej konwersacyjne możliwości telefonu? Marketingowcom, cwaniakom i złym ludziom, stosującym vishing. Nie zrozumcie mnie źle, mam na myśli trzy rozłączne grupy :)
(pół)Automat zawsze świeży i rześki
W każdym z testowanych przeze mnie smartfonów używam dwóch kart SIM. Mój podstawowy numer służbowy oraz prywatny, zaszłość dawnych czasów. Ten drugi utrzymuję w zasadzie za darmo (Nju Po Wieki, polecam!). Wrzucam go np. do ofert sprzedaży w różnych serwisach (dlatego nie dostaję scamu na OLX, bo pod tym nr nie mam WhatsAppa :) ), czasami dzwonią nań dawno niesłyszani znajomi. A kto najczęściej? Scamerzy oczywiście!
Wczoraj w przypływie dobrego humoru odebrałem rozmowę z takiego numeru i po prostu milczałem. Co się działo?
- Dzień dobry![ok. 1,5 sekundy przerwy]
- Dzień dobry!
[ok. 1,5 sekundy przerwy]
- Dzień dobry!
Po trzecim razie rozłączyłem :) Za każdym razem słyszałem ten sam głos. Co to oznacza? Ano to, że w sporej części tego typu przedsięwzięć nie rozmawia z nami wcale żywy człowiek! Tzn. po części rozmawia - on/a siedzi przed komputerem ze słuchawkami na uszach. W zależności od naszych odpowiedzi, klika odpowiedni punkt ze skryptu, a my słyszymy odpowiadającą mu wypowiedź. Z punktu widzenia "drugiej strony" - świetne, prawda? Nagrany głos nigdy nie będzie zirytowany, nie będzie w nim słychać zmęczenia, zawsze będzie świeży i rześki. Ale czy tylko dla mnie jest to sytuacja mroczna i co najmniej dziwna?
Vishing, czy prawdziwy bank?
Dlaczego w ogóle o tym piszę? Bo w ostatnim czasie znacząco rośnie tzw. vishing (voice phishing), czyli próby phishingu głosowego. O ile takie sytuacje jak ta, którą opisałem na początku, można traktować jako - hmmm - ciekawostkę, groźnie się robi, gdy odbierzemy rozmowę z ostrzeżeniem lub ofertą inwestycji. Niestety o ile np. adresów e-mail, z których przychodzą do Was nasze faktury nie da się podrobić (zespoofować) to z numerami telefonów nie jest już tak dobrze. Rozwój technologii VoIP i aplikacji do dzwonienia oraz fakt, iż tworząc podstawowe funkcjonalności telefonii nikt nie spodziewał się, że trzeba ją będzie zabezpieczyć przed cyberzagrożeniami, spowodowały iż bardzo łatwo możemy zadzwonić do kolegi przy biurku obok, a jemu na ekranie telefonu pokaże się numer banku. A to już pierwszy krok do uzyskania zaufania ofiary i sprawienia by ta "łyknęła" vishing!
A co można z nami zrobić, gdy na pierwszy rzut mózgu zaufamy rozmówcy? W zasadzie wszystko. Z drugiej strony słuchawki siedzą naprawdę sprawni socjotechnicy, a ci potrafią tak - wybaczcie kolokwializm - nawinąć makaron na uszy, że nawet świadomi internauci uwierzą im naprawdę w wiele. Na co zatem trzeba w takiej sytuacji uważać? Przede wszystkim na:
- prośby o login i/lub hasło
- próby "potwierdzenia" danych pozornie niegroźnych
- sugestię instalacji zewnętrznej aplikacji (głównie na komputerze, zazwyczaj jest to AnyDesk)
Pierwsza kwestia jest oczywista. W drugiej może to być np. nazwisko panieńskie matki, niezbędne w przynajmniej jednym banku do aktywacji aplikacji mobilnej. Trzecia - to aplikacja zdalnego pulpitu, dająca pełny dostęp do naszego komputera.
Dodatkowo, słuchajcie komunikatów, gdy dzwoni do Was bank. Ten prawdziwy. Wiem, są długie i nudne, ale bywają bardzo ważne. Coraz częściej na automatycznych infoliniach, gdy generowane jest dla nas hasło, jesteśmy informowani o tym fakcie i jego celu. Po to, by komunikat: "Nie podawaj tego kodu nikomu!" przekonał nas, że to vishing. A nasz rozmówca tylko podaje się za pracownika banku.
Nie musisz (jeszcze) niczego przelewać
Wiem, miało być o inwestycjach. Czy raczej "inwestycjach", bo jedyny zysk mają na nich oszuści. Do niedawna ich aktywności ograniczały się do stron/reklam na Facebooku, obiecujących ogromne zyski ze złóż ropy, gazu, czy Bitcoinów. Ostatnio trafiłem na sprytny phishing hybrydowy. Zaczęło się od strony, sugerującej oddanie inwestycji w "ręce" automatu. Co więcej, nie musimy przelewać naszych pieniędzy! Tzn. musimy, ale - o dziwo - nie od razu. Najpierw poczytajmy stronę, opinie innych, zapiszmy się (oddając nasze personalia, mail i telefon oszustom) i... czekajmy na telefon! Tutaj oszuści w sprytniejszy sposób wzbudzają nasze zaufanie, podsuwając marchewkę i niczego (w pierwszym kroku) nie żądając. Stawiam ich wszystkie BTC, że dzwoniąc wezmą się za przekonywanie do instalacji AnyDeska albo czegoś podobnego.
Ten przykład to jednak wyjątek, scam "na bitcoiny" to wciąż nachalne reklamy w social mediach, czy - coraz częściej - rozmowy telefoniczne. W ostatnich dniach kilkakrotnie do CERT Orange Polska trafiły informacje o rozmówcach telefonicznych, próbujących przekonać, że "na naszej platformie czekają na pana bitcoiny do wypłaty", zgodnie ze schematem, który opisywałem jakiś czas temu. Zdarza się, że rozmówcy przypadkowo się rozłączają, a gdy niedoszła ofiara oddzwania, słyszy kogoś innego! Właściciel numeru twierdzi, że nie ma pojęcia o żadnych bitcoinach, zdarza się, iż mówi, że to nie pierwszy taki telefon, który danego dnia odebrał. Nie wiadomo na jakiej zasadzie oszuści wybierają numery - nikomu z moich znajomych nie zdarzyło się jeszcze, by podszywali się pod niego.
A co robić w przypadku takiej rozmowy? To akurat proste. "Proszę pana/i, nie mam u was żadnych bitcoinów, żegnam". Nie zaszkodzi z poziomu telefonu zablokować numeru, by nie próbowali nas przekonać, że jednak tak. Nikt nie rozdaje bitcoinów za darmo, a jeśli gdzieś zainwestowaliśmy nasze oszczędności w kryptowaluty, to przecież sami dobrze o tym wiemy!
Komentarze
Ja miałem taką sytuację dzwonił bank niby prawdziwy oczywiście dzwonił oszust nie dałem się nabrać i radzę wszystkim uważać na takie telefony najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank
Odpowiedz” najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank” – a to jakim cudem??? Michale!!! Jest taka możliwość??? :/
OdpowiedzNiestety tak https://en.m.wikipedia.org/wiki/Caller_ID_spoofing
OdpowiedzNo dobrze Michale, ale wyjaśnij mi proszę, jak to możliwe, że wszyscy wiedzą, jak prosto działa takie podszywanie się, a zarazem NIC SIĘ NIE ROBI w celu wyłączenia możliwości wysyłania przez centrale nazwy dzwoniącego (owej nakładki na numer) wraz z samym numerem?! Nie ogarniam tego swoim rozumkiem. Czy nakładka w postaci „nazwy” na numer jest ze względów technicznych gdzieś dla kogoś po prostu niezbędna i wyłączyć jej nie można, czy to tylko lenistwo i indolencja?
OdpowiedzJeszcze wczesniej kilka lat wstecz nie było tyle oszust.Obecnie mnóstwo jest co chwile słyszymy że ktoś po prostu przekazał dane login hasło i dane osobowe.Nie wiem tylko czemu rząd Polski nic nie robi bo przecież każdy z nas jest zagrożony skąd mogę wiedzieć czy dzwoni do mnie prawdziwy bank nie tylko bank ale i mnóstwo innych firm gdzie mam usługi i produkty.
OdpowiedzJa miałem taką sytuację dzwonił bank niby prawdziwy oczywiście dzwonił oszust nie dałem się nabrać i radzę wszystkim uważać na takie telefony najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank
Odpowiedz” najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank” – a to jakim cudem??? Michale!!! Jest taka możliwość??? :/
OdpowiedzNiestety tak https://en.m.wikipedia.org/wiki/Caller_ID_spoofing
OdpowiedzNo dobrze Michale, ale wyjaśnij mi proszę, jak to możliwe, że wszyscy wiedzą, jak prosto działa takie podszywanie się, a zarazem NIC SIĘ NIE ROBI w celu wyłączenia możliwości wysyłania przez centrale nazwy dzwoniącego (owej nakładki na numer) wraz z samym numerem?! Nie ogarniam tego swoim rozumkiem. Czy nakładka w postaci „nazwy” na numer jest ze względów technicznych gdzieś dla kogoś po prostu niezbędna i wyłączyć jej nie można, czy to tylko lenistwo i indolencja?
OdpowiedzJeszcze wczesniej kilka lat wstecz nie było tyle oszust.Obecnie mnóstwo jest co chwile słyszymy że ktoś po prostu przekazał dane login hasło i dane osobowe.Nie wiem tylko czemu rząd Polski nic nie robi bo przecież każdy z nas jest zagrożony skąd mogę wiedzieć czy dzwoni do mnie prawdziwy bank nie tylko bank ale i mnóstwo innych firm gdzie mam usługi i produkty.
OdpowiedzTak dzwoni bank niby zna Twoje dane nawiązuje z Tobą rozmowę oczywiście można szybko zorientować się że to nie jest bank ponieważ prosi o zainstalowanie zewnątrz aplikacji np AnyDesk lub też prosi nas o login i hasło do konta.Zaden bank nie prosi o zainstalowanie zewnątrz aplikacji a także o hasło i login do naszego konta.Lecz jeśli telefon jest wykonywany w trakcie dnia tzw jesteśmy w pracy więc nasze skupienie co przekazujemy po prostu jesteśmy skupieni na tym co w danej chwili robimy i możemy paść ofiarą oszusta.Dlatego też Michale bardzo dobra notka pisz dużo o tym przypominaj o tym bo to co mnie spotkało udowadnia sam fakt że każdy z nas jest zagrożony tym zjawiskiem.
OdpowiedzTak dzwoni bank niby zna Twoje dane nawiązuje z Tobą rozmowę oczywiście można szybko zorientować się że to nie jest bank ponieważ prosi o zainstalowanie zewnątrz aplikacji np AnyDesk lub też prosi nas o login i hasło do konta.Zaden bank nie prosi o zainstalowanie zewnątrz aplikacji a także o hasło i login do naszego konta.Lecz jeśli telefon jest wykonywany w trakcie dnia tzw jesteśmy w pracy więc nasze skupienie co przekazujemy po prostu jesteśmy skupieni na tym co w danej chwili robimy i możemy paść ofiarą oszusta.Dlatego też Michale bardzo dobra notka pisz dużo o tym przypominaj o tym bo to co mnie spotkało udowadnia sam fakt że każdy z nas jest zagrożony tym zjawiskiem.
OdpowiedzJa zawsze przy takich rozmowach, mam ich ostatnio dużo mniej, informuję przedstawiciela (konsultanta) firmy dzwoniącej do mnie ze rozmowa jest nagrywana. Uwierzcie nawet nie słyszę słowa do widzenia.
OdpowiedzPewnie i ja zaczne nagrywac rozmowy i w końcu tele marketing przestanie mnie męczyć
Źródło: blog Orange Polska https://biuroprasowe.orange.pl
OdpowiedzJa zawsze przy takich rozmowach, mam ich ostatnio dużo mniej, informuję przedstawiciela (konsultanta) firmy dzwoniącej do mnie ze rozmowa jest nagrywana. Uwierzcie nawet nie słyszę słowa do widzenia.
OdpowiedzPewnie i ja zaczne nagrywac rozmowy i w końcu tele marketing przestanie mnie męczyć
Źródło: blog Orange Polska https://biuroprasowe.orange.pl
OdpowiedzNie wiem czemu to zródło dołacza się 🙂
OdpowiedzAle, że co??? Jakie źródło Ci się dołącza i do czego??? :O
OdpowiedzŹródło nazwa bloga ?
OdpowiedzBo robisz kopiuj wklej ?
OdpowiedzNie wiem czemu to zródło dołacza się 🙂
OdpowiedzAle, że co??? Jakie źródło Ci się dołącza i do czego??? :O
OdpowiedzŹródło nazwa bloga ?
OdpowiedzBo robisz kopiuj wklej ?
OdpowiedzJuż nie robię 😉
OdpowiedzJuż nie robię 😉
Odpowiedz