Bezpieczeństwo

Vishing, czyli rozmowa z oszustem

Michał Rosiak Michał Rosiak
21 października 2021
Vishing, czyli rozmowa z oszustem

Pamiętacie czasy, gdy telefon służył do rozmów z innymi ludźmi? Wiem, że tzw. "dzisiejsza młodzież" może czuć się tym zaskoczona :). Tak samo jak tym, że było to urządzenie, ograniczone kablem. I nie było na nie gier! Dobra, żarty żartami, ale sami przyznacie, że coraz częściej posługujemy się po prostu komunikatorami. W dużych firmach, jak choćby Orange Polska, nasz wewnętrzny komunikator służy też do rozmów głosowych, również na numery telefoniczne. Komu przydają się najczęściej konwersacyjne możliwości telefonu? Marketingowcom, cwaniakom i złym ludziom, stosującym vishing. Nie zrozumcie mnie źle, mam na myśli trzy rozłączne grupy :)

(pół)Automat zawsze świeży i rześki

W każdym z testowanych przeze mnie smartfonów używam dwóch kart SIM. Mój podstawowy numer służbowy oraz prywatny, zaszłość dawnych czasów. Ten drugi utrzymuję w zasadzie za darmo (Nju Po Wieki, polecam!). Wrzucam go np. do ofert sprzedaży w różnych serwisach (dlatego nie dostaję scamu na OLX, bo pod tym nr nie mam WhatsAppa :) ), czasami dzwonią nań dawno niesłyszani znajomi. A kto najczęściej? Scamerzy oczywiście!

Wczoraj w przypływie dobrego humoru odebrałem rozmowę z takiego numeru i po prostu milczałem. Co się działo?

- Dzień dobry!

[ok. 1,5 sekundy przerwy]

- Dzień dobry!

[ok. 1,5 sekundy przerwy]

- Dzień dobry!

Po trzecim razie rozłączyłem :) Za każdym razem słyszałem ten sam głos. Co to oznacza? Ano to, że w sporej części tego typu przedsięwzięć nie rozmawia z nami wcale żywy człowiek! Tzn. po części rozmawia - on/a siedzi przed komputerem ze słuchawkami na uszach. W zależności od naszych odpowiedzi, klika odpowiedni punkt ze skryptu, a my słyszymy odpowiadającą mu wypowiedź. Z punktu widzenia "drugiej strony" - świetne, prawda? Nagrany głos nigdy nie będzie zirytowany, nie będzie w nim słychać zmęczenia, zawsze będzie świeży i rześki. Ale czy tylko dla mnie jest to sytuacja mroczna i co najmniej dziwna?

Vishing, czy prawdziwy bank?

Dlaczego w ogóle o tym piszę? Bo w ostatnim czasie znacząco rośnie tzw. vishing (voice phishing), czyli próby phishingu głosowego. O ile takie sytuacje jak ta, którą opisałem na początku, można traktować jako - hmmm - ciekawostkę, groźnie się robi, gdy odbierzemy rozmowę z ostrzeżeniem lub ofertą inwestycji. Niestety o ile np. adresów e-mail, z których przychodzą do Was nasze faktury nie da się podrobić (zespoofować) to z numerami telefonów nie jest już tak dobrze. Rozwój technologii VoIP i aplikacji do dzwonienia oraz fakt, iż tworząc podstawowe funkcjonalności telefonii nikt nie spodziewał się, że trzeba ją będzie zabezpieczyć przed cyberzagrożeniami, spowodowały iż bardzo łatwo możemy zadzwonić do kolegi przy biurku obok, a jemu na ekranie telefonu pokaże się numer banku. A to już pierwszy krok do uzyskania zaufania ofiary i sprawienia by ta "łyknęła" vishing!

A co można z nami zrobić, gdy na pierwszy rzut mózgu zaufamy rozmówcy? W zasadzie wszystko. Z drugiej strony słuchawki siedzą naprawdę sprawni socjotechnicy, a ci potrafią tak - wybaczcie kolokwializm - nawinąć makaron na uszy, że nawet świadomi internauci uwierzą im naprawdę w wiele. Na co zatem trzeba w takiej sytuacji uważać? Przede wszystkim na:

  • prośby o login i/lub hasło
  • próby "potwierdzenia" danych pozornie niegroźnych
  • sugestię instalacji zewnętrznej aplikacji (głównie na komputerze, zazwyczaj jest to AnyDesk)

Pierwsza kwestia jest oczywista. W drugiej może to być np. nazwisko panieńskie matki, niezbędne w przynajmniej jednym banku do aktywacji aplikacji mobilnej. Trzecia - to aplikacja zdalnego pulpitu, dająca pełny dostęp do naszego komputera.

Dodatkowo, słuchajcie komunikatów, gdy dzwoni do Was bank. Ten prawdziwy. Wiem, są długie i nudne, ale bywają bardzo ważne. Coraz częściej na automatycznych infoliniach, gdy generowane jest dla nas hasło, jesteśmy informowani o tym fakcie i jego celu. Po to, by komunikat: "Nie podawaj tego kodu nikomu!" przekonał nas, że to vishing. A nasz rozmówca tylko podaje się za pracownika banku.

Nie musisz (jeszcze) niczego przelewać

Wiem, miało być o inwestycjach. Czy raczej "inwestycjach", bo jedyny zysk mają na nich oszuści. Do niedawna ich aktywności ograniczały się do stron/reklam na Facebooku, obiecujących ogromne zyski ze złóż ropy, gazu, czy Bitcoinów. Ostatnio trafiłem na sprytny phishing hybrydowy. Zaczęło się od strony, sugerującej oddanie inwestycji w "ręce" automatu. Co więcej, nie musimy przelewać naszych pieniędzy! Tzn. musimy, ale - o dziwo - nie od razu. Najpierw poczytajmy stronę, opinie innych, zapiszmy się (oddając nasze personalia, mail i telefon oszustom) i... czekajmy na telefon! Tutaj oszuści w sprytniejszy sposób wzbudzają nasze zaufanie, podsuwając marchewkę i niczego (w pierwszym kroku) nie żądając. Stawiam ich wszystkie BTC, że dzwoniąc wezmą się za przekonywanie do instalacji AnyDeska albo czegoś podobnego.

Ten przykład to jednak wyjątek, scam "na bitcoiny" to wciąż nachalne reklamy w social mediach, czy - coraz częściej - rozmowy telefoniczne. W ostatnich dniach kilkakrotnie do CERT Orange Polska trafiły informacje o rozmówcach telefonicznych, próbujących przekonać, że "na naszej platformie czekają na pana bitcoiny do wypłaty", zgodnie ze schematem, który opisywałem jakiś czas temu. Zdarza się, że rozmówcy przypadkowo się rozłączają, a gdy niedoszła ofiara oddzwania, słyszy kogoś innego! Właściciel numeru twierdzi, że nie ma pojęcia o żadnych bitcoinach, zdarza się, iż mówi, że to nie pierwszy taki telefon, który danego dnia odebrał. Nie wiadomo na jakiej zasadzie oszuści wybierają numery - nikomu z moich znajomych nie zdarzyło się jeszcze, by podszywali się pod niego.

A co robić w przypadku takiej rozmowy? To akurat proste. "Proszę pana/i, nie mam u was żadnych bitcoinów, żegnam". Nie zaszkodzi z poziomu telefonu zablokować numeru, by nie próbowali nas przekonać, że jednak tak. Nikt nie rozdaje bitcoinów za darmo, a jeśli gdzieś zainwestowaliśmy nasze oszczędności w kryptowaluty, to przecież sami dobrze o tym wiemy!

 

Komentarze

Łukasz
Łukasz 13:16 21-10-2021

Ja miałem taką sytuację dzwonił bank niby prawdziwy oczywiście dzwonił oszust nie dałem się nabrać i radzę wszystkim uważać na takie telefony najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank

Odpowiedz
    emitelek
    emitelek 17:02 21-10-2021

    ” najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank” – a to jakim cudem??? Michale!!! Jest taka możliwość??? :/

    Odpowiedz
      Michał Rosiak
      Michał Rosiak 17:36 21-10-2021

      Niestety tak https://en.m.wikipedia.org/wiki/Caller_ID_spoofing

      Odpowiedz
        nickt
        nickt 09:34 23-10-2021

        No dobrze Michale, ale wyjaśnij mi proszę, jak to możliwe, że wszyscy wiedzą, jak prosto działa takie podszywanie się, a zarazem NIC SIĘ NIE ROBI w celu wyłączenia możliwości wysyłania przez centrale nazwy dzwoniącego (owej nakładki na numer) wraz z samym numerem?! Nie ogarniam tego swoim rozumkiem. Czy nakładka w postaci „nazwy” na numer jest ze względów technicznych gdzieś dla kogoś po prostu niezbędna i wyłączyć jej nie można, czy to tylko lenistwo i indolencja?

        Odpowiedz
          Łukasz
          Łukasz 10:37 23-10-2021

          Jeszcze wczesniej kilka lat wstecz nie było tyle oszust.Obecnie mnóstwo jest co chwile słyszymy że ktoś po prostu przekazał dane login hasło i dane osobowe.Nie wiem tylko czemu rząd Polski nic nie robi bo przecież każdy z nas jest zagrożony skąd mogę wiedzieć czy dzwoni do mnie prawdziwy bank nie tylko bank ale i mnóstwo innych firm gdzie mam usługi i produkty.

          Odpowiedz
Łukasz
Łukasz 15:16 21-10-2021

Ja miałem taką sytuację dzwonił bank niby prawdziwy oczywiście dzwonił oszust nie dałem się nabrać i radzę wszystkim uważać na takie telefony najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank

Odpowiedz
    emitelek
    emitelek 19:02 21-10-2021

    ” najgorsze jest tylko to że numer jest z banku okazuje się że to nie bank” – a to jakim cudem??? Michale!!! Jest taka możliwość??? :/

    Odpowiedz
      Michał Rosiak
      Michał Rosiak 19:36 21-10-2021

      Niestety tak https://en.m.wikipedia.org/wiki/Caller_ID_spoofing

      Odpowiedz
        nickt
        nickt 11:34 23-10-2021

        No dobrze Michale, ale wyjaśnij mi proszę, jak to możliwe, że wszyscy wiedzą, jak prosto działa takie podszywanie się, a zarazem NIC SIĘ NIE ROBI w celu wyłączenia możliwości wysyłania przez centrale nazwy dzwoniącego (owej nakładki na numer) wraz z samym numerem?! Nie ogarniam tego swoim rozumkiem. Czy nakładka w postaci „nazwy” na numer jest ze względów technicznych gdzieś dla kogoś po prostu niezbędna i wyłączyć jej nie można, czy to tylko lenistwo i indolencja?

        Odpowiedz
          Łukasz
          Łukasz 12:37 23-10-2021

          Jeszcze wczesniej kilka lat wstecz nie było tyle oszust.Obecnie mnóstwo jest co chwile słyszymy że ktoś po prostu przekazał dane login hasło i dane osobowe.Nie wiem tylko czemu rząd Polski nic nie robi bo przecież każdy z nas jest zagrożony skąd mogę wiedzieć czy dzwoni do mnie prawdziwy bank nie tylko bank ale i mnóstwo innych firm gdzie mam usługi i produkty.

          Odpowiedz
Łukasz
Łukasz 21:50 21-10-2021

Tak dzwoni bank niby zna Twoje dane nawiązuje z Tobą rozmowę oczywiście można szybko zorientować się że to nie jest bank ponieważ prosi o zainstalowanie zewnątrz aplikacji np AnyDesk lub też prosi nas o login i hasło do konta.Zaden bank nie prosi o zainstalowanie zewnątrz aplikacji a także o hasło i login do naszego konta.Lecz jeśli telefon jest wykonywany w trakcie dnia tzw jesteśmy w pracy więc nasze skupienie co przekazujemy po prostu jesteśmy skupieni na tym co w danej chwili robimy i możemy paść ofiarą oszusta.Dlatego też Michale bardzo dobra notka pisz dużo o tym przypominaj o tym bo to co mnie spotkało udowadnia sam fakt że każdy z nas jest zagrożony tym zjawiskiem.

Odpowiedz
Łukasz
Łukasz 23:50 21-10-2021

Tak dzwoni bank niby zna Twoje dane nawiązuje z Tobą rozmowę oczywiście można szybko zorientować się że to nie jest bank ponieważ prosi o zainstalowanie zewnątrz aplikacji np AnyDesk lub też prosi nas o login i hasło do konta.Zaden bank nie prosi o zainstalowanie zewnątrz aplikacji a także o hasło i login do naszego konta.Lecz jeśli telefon jest wykonywany w trakcie dnia tzw jesteśmy w pracy więc nasze skupienie co przekazujemy po prostu jesteśmy skupieni na tym co w danej chwili robimy i możemy paść ofiarą oszusta.Dlatego też Michale bardzo dobra notka pisz dużo o tym przypominaj o tym bo to co mnie spotkało udowadnia sam fakt że każdy z nas jest zagrożony tym zjawiskiem.

Odpowiedz
pablo_ck
pablo_ck 06:22 23-10-2021

Ja zawsze przy takich rozmowach, mam ich ostatnio dużo mniej, informuję przedstawiciela (konsultanta) firmy dzwoniącej do mnie ze rozmowa jest nagrywana. Uwierzcie nawet nie słyszę słowa do widzenia.

Odpowiedz
pablo_ck
pablo_ck 08:22 23-10-2021

Ja zawsze przy takich rozmowach, mam ich ostatnio dużo mniej, informuję przedstawiciela (konsultanta) firmy dzwoniącej do mnie ze rozmowa jest nagrywana. Uwierzcie nawet nie słyszę słowa do widzenia.

Odpowiedz
Łukasz
Łukasz 11:12 23-10-2021

Nie wiem czemu to zródło dołacza się 🙂

Odpowiedz
    emitelek
    emitelek 15:44 24-10-2021

    Ale, że co??? Jakie źródło Ci się dołącza i do czego??? :O

    Odpowiedz
      Łukasz
      Łukasz 18:47 24-10-2021

      Źródło nazwa bloga ?

      Odpowiedz
        pablo_ck
        pablo_ck 19:00 25-10-2021

        Bo robisz kopiuj wklej ?

        Odpowiedz
Łukasz
Łukasz 13:12 23-10-2021

Nie wiem czemu to zródło dołacza się 🙂

Odpowiedz
    emitelek
    emitelek 17:44 24-10-2021

    Ale, że co??? Jakie źródło Ci się dołącza i do czego??? :O

    Odpowiedz
      Łukasz
      Łukasz 20:47 24-10-2021

      Źródło nazwa bloga ?

      Odpowiedz
        pablo_ck
        pablo_ck 21:00 25-10-2021

        Bo robisz kopiuj wklej ?

        Odpowiedz
Łukasz
Łukasz 15:28 26-10-2021

Już nie robię 😉

Odpowiedz
Łukasz
Łukasz 17:28 26-10-2021

Już nie robię 😉

Odpowiedz

Oferta

OPPO w Ofercie Tygodnia taniej nawet 360 zł

Kasia Barys Kasia Barys
21 października 2021
OPPO w Ofercie Tygodnia taniej nawet 360 zł

Jak co tydzień wystartowaliśmy z nową ofertą tygodnia. Będzie aktualna do 27 października lub wyczerpania zapasów. Klienci ofert abonamentowych mogą kupić najnowszy flagowiec OPPO Reno6 Pro nawet 360 zł taniej. Natomiast wybierając Xiaomi Mi 11 Lite 5G 6/128 GB z Planem 60 lub Orange Love Standard, zaoszczędzą 190 zł. W przypadku oferty bez abonamentu, oba smartfony w okresie obowiązywania promocji, będą tańsze o 100 zł.

Tutaj test Xiaomi Mi 11 Lite 5G Michała Rosiaka. Warto zwrócić uwagę na wyjątkowo mocną baterię tego modelu. O OPPO też możecie poczytać na naszym blogu. W tym przypadku Michała zachwycił świetny aparat.

Komentarze


Odpowiedzialny biznes

Jak rozmawiać z dzieckiem o internecie?

Antonina Bojanowska Antonina Bojanowska
20 października 2021
Jak rozmawiać z dzieckiem o internecie?

Raport Nastolatki 3.0  pokazuje, że młodzi przed ekranami spędzają coraz więcej czasu, a problematyczne używanie internetu dotyczy już 1/3 z nich. Im wcześniej przygotujemy dzieci do używania technologii „z głową”, tym lepiej. Edukacja ta toczy się w dużej mierze poza ekranami. Dziś mam dla Was pomysł na to, jak stworzyć przestrzeń do ważnych rozmów o cyfrowej aktywności z dzieciakami.

Czas ekranowy

Liczba godzin, jakie nastolatki spędzają przed ekranem, stale rośnie. Obecnie jest to średnio 4 godzin i 50 min dziennie, a w dni wolne od szkoły ponad 6 godzin. Co szósty nastolatek intensywnie korzysta z internetu w nocy, część korzystała z sieci do celów osobistych w czasie lekcji online. Okazuje się, że rodzice nie doszacowują tego czasu i nie kontrolują, co ich dzieci robią w internecie w nocy.

Raport Nastolatki 3.0

To dane z wydanego w tym roku Raportu z ogólnopolskiego badania uczniów „Nastolatki 3.0” pod red. Dr. Rafała Lange. Odbyło się ono w grudniu 2020. Wzięło w nim udział ponad 1700 uczniów. NASK – Państwowy Instytut Badawczy realizuje badanie co 2 lata od 2014 roku. Lubię czytać te raporty, bo dzięki regularności pomiarów widoczne są porównania i tendencje w zachowaniach nastolatków w internecie. Zachęcam Was do lektury, bo nie o wszystkim jestem w stanie dziś opowiedzieć.

Problematyczne używanie internetu

33,6% badanych nastolatków wpada do kategorii tzw. problematycznego użytkowania internetu (PUI). Co piąty wskazał, że doświadczył przemocy online. Co trzeci nic z tym nie robi, nawet nie rozmawia z kimś, kto mogłyby okazać wsparcie. 27% młodych mówi, że ogląda patostreamy, ale problem ten dostrzega już tylko 12% rodziców.

Edukacja cyfrowa od kołyski?

Tak w raporcie przedstawia się sytuacja nastolatków. Ale warto pamiętać, że edukacja o zdrowych nawykach cyfrowych zaczyna się dużo wcześniej i nie jest tylko „szkoleniem”. Tym bardziej, że już 7-8 latki mają najczęściej swoje urządzenie z dostępem do internetu. Jak zapobiegać? Sposobów na to jest sporo.

My z Fundacją Orange działamy już w prawie 1300 szkół z programem MegaMisja. To na tych cotygodniowych zajęciach uczniowie i uczennice klas 1-3 poprzez zabawę, współpracę, refleksję i rozwiązywanie zagadek uczą się m.in., jak sprawdzać wiarygodność informacji, jak chronić swoją prywatność i zabezpieczać sprzęt, jak zachować umiar w korzystaniu z ekranów,  jak reagować na niebezpieczne treści online, jak kulturalnie wyrażać swoje zdanie i emocje.

Spora część tego typu edukacji odbywa się - czy tez powinna odbywać się - też w domu, w relacji z rodzicami i opiekunami. Potrzebujecie podpowiedzi, materiału, inspiracji?

Kilka tygodni temu wyszła nowa książka: „Sieciaki. Twarzozmieniacz i Wielka Gala Fejmu” (Muchomor, 2021). Czytanie jej z dzieckiem (głownie 7-12 lat) może być dobrym pretekstem do rozmowy o internecie, o zasadach bezpieczeństwa, o tym, jak nie ulegać licznym pokusom w świecie technologii. Autorem jest Łukasz Wojtasik, ekspert ds. zapobiegania zagrożeniom dzieci i młodzieży online, autor wielu kampanii społecznych i projektów edukacyjnych, członek zarządu Fundacji Dajemy Dzieciom Siłę. Książkę można wykorzystywać na zajęciach szkolnych.

Fundacja Orange

Poprzednia, pierwsza część opowiadała o złych Sieciuchach, które chcą rządzić w internecie, a do tego przyciągnąć dzieciaki i uzależnić je od ekranów. W tej części Sieciuchy mają inny pomysł: obiecują popularność, kuszą dzieci lajkami i „heheszkami” na YouTube. Ale jaki tak naprawdę mają plan? Czy ślepa pogoń za serduszkami w social media i konsumpcyjna fascynacja YouTubem to coś naprawdę dobrego dla dzieciaków?

Historia o Sieciakach i złych Sieciuchach uczy dzieci zasad bezpieczeństwa w internecie już od 2005 roku. Sieciaki to strona www, to komiksy, to gry i zabawy oraz podpowiedzi dla nauczycieli i rodziców. Szczególnie przy okazji Dnia Bezpiecznego Internetu wiele szkół i wiele rodzin korzystało z tych materiałów, co bardzo nas cieszy jako partnera tego projektu.

Żeby zadbać o zdrowe nawyki swoich dzieci, zaglądajcie też po inspiracje na stronę Fundacji Orange  lub na nasz portal Razem w Sieci.

Scroll to Top