„Dzwoni pracownik banku” — vishing i spoofing numeru
Telefon z numeru banku, spokojny „konsultant” i rzekome włamanie na konto. Rozkładamy oszustwo na pracownika banku i pokazujemy, jak je przerwać.
Dzwoni telefon. Na wyświetlaczu — numer infolinii Twojego banku. Miły „konsultant” informuje, że wykryto próbę nieautoryzowanej transakcji i trzeba „zabezpieczyć środki”. To vishing — phishing głosowy — i jedno z najgroźniejszych oszustw, bo rozgrywa się na żywo, pod presją i z pełną kontrolą narracji po stronie przestępcy.
Spoofing numeru: dlaczego wyświetla się bank
Podobnie jak w SMS-ach, numer dzwoniącego można podrobić. Przestępca ustawia, że na Twoim telefonie wyświetli się prawdziwy numer banku, policji czy prokuratury. To najsilniejszy element socjotechniczny — widzimy znany numer i automatycznie ufamy. Dlatego numer na wyświetlaczu nie jest dowodem tożsamości rozmówcy.
Scenariusze, które się powtarzają
- „Pracownik banku” — „wykryliśmy włamanie, aby ratować pieniądze, przelej je na konto techniczne / bezpieczne”. Konto „techniczne” należy do przestępcy.
- „Policjant / CBŚP” — „bierze Pan udział w akcji zatrzymania nieuczciwego pracownika banku, prosimy o współpracę i dyskrecję”. Element tajności odcina ofiarę od bliskich, którzy mogliby ją otrzeźwić.
- Instalacja „aplikacji zabezpieczającej” — w rzeczywistości narzędzia do zdalnego dostępu, które oddaje ekran i bankowość w ręce oszusta.
Wspólny mianownik: presja, tajność i pośpiech. Przestępca nie daje czasu na myślenie i utrzymuje ofiarę na linii, żeby nie zdążyła zweryfikować historii.
Zasady, które rozbrajają vishing
- Bank nigdy nie prosi o przelew „na bezpieczne konto”, pełne hasło, kod PIN karty ani o zainstalowanie aplikacji do zdalnego dostępu. Nigdy.
- Rozłącz się i oddzwoń na numer z odwrotu karty lub oficjalnej strony banku — wpisany ręcznie, nie „oddzwoń” z historii połączeń. Prawdziwy bank to zrozumie.
- Żadna prawdziwa instytucja nie wymaga tajemnicy przed rodziną. Prośba o dyskrecję to sygnał alarmowy.
Co zrobić w praktyce
Jeśli odbierzesz taki telefon: nie podawaj żadnych danych, zakończ rozmowę i samodzielnie zadzwoń do banku. Nie instaluj niczego na polecenie rozmówcy. Jeśli już przekazałeś dane lub zainstalowałeś aplikację — natychmiast odetnij urządzenie od sieci, zadzwoń do banku z innego telefonu i zastrzeż dostęp.
W organizacjach warto szkolić zespoły finansowe pod kątem weryfikacji drugim kanałem przy każdej nietypowej dyspozycji telefonicznej — to ta sama dyscyplina, która chroni przed phishingiem. Technologia spoofingu jest tania i dostępna; jedyną skuteczną obroną jest nawyk: nie ufaj wyświetlonemu numerowi, oddzwoń sam.
Chcesz sprawdzić, jak Twój zespół finansowy zareaguje na taki telefon? Prowadzimy kontrolowane testy socjotechniczne i szkolenia — skontaktuj się z nami.
Źródła i dalsza lektura: CERT Polska, Niebezpiecznik, CSIRT KNF.