Fałszywy pracownik banku? Jest proste narzędzie, oszusta rozpoznasz w kilka sekund
Kolejne przypadki osób, które padły ofiarą oszustów podszywających się pod pracowników banków, bądź prawie dały się nabrać, pokazują, że nie wszyscy wiedzą, jak zweryfikować dzwoniącego i nie wpaść w pułapkę. Co gorsza niektórzy sprawdzają numer telefonu, który bardzo łatwo można spreparować. Tymczasem większość banków ma narzędzie, które pozwala zweryfikować, czy dzwoni prawdziwy konsultant, czy oszust.
Schemat prób wyłudzenia pieniędzy "na pracownika banku" jest podobny, ale wciąż są osoby, które dają się złapać. Pułapką jest sprawdzanie, z jakiego numeru telefonu dzwoni ktoś, kto przedstawia się jako pracownik banku, bo ten bardzo łatwo spreparować.
Oszuści są zazwyczaj świetnie przygotowani. Posługują się profesjonalnym językiem, znają procedury bankowe i potrafią stworzyć atmosferę presji czasu, która ma nakłonić ofiarę do szybkiego działania, np. do wykonania operacji przelewu, pobrania nowej aplikacji lub aktualizacji istniejącej, co w rzeczywistości może być początkiem cyberataku.
Tymczasem większość banków ma narzędzie, która pozwala sprawdzić, czy dzwoni pracownik, czy oszust. Bez tego lepiej nie rozpoczynać rozmowy.
Numer telefonu wyświetlany na ekranie nie stanowi sam w sobie wiarygodnego źródła identyfikacji, dlatego kluczową rolę odgrywa autoryzacja w aplikacji mobilnej lub bankowości internetowej. Oszuści mogą podszyć się pod dowolny numer telefonu lub nazwę użytkownika i przesłać swojej ofierze fałszywą wizytówkę SMS-em. Dlatego ze względów bezpieczeństwa lepiej korzystać z weryfikacji tożsamości pracownika w aplikacji bankowej lub serwisie internetowym - przypominają bankowcy.
Niektóre banki umożliwiają weryfikację na życzenie klienta, ale niektóre wymagają jej zawsze.
- W mBanku stosujemy mobilne potwierdzenie tożsamości pracownika. Oznacza to, że wszystkie rozmowy inicjowane przez pracowników banku są potwierdzane w aplikacji mobilnej. W ten sposób klient ma pewność, że rozmawia z faktycznym przedstawicielem mBanku, a nie oszustem. Na początku rozmowy pracownik przesyła klientowi powiadomienie w aplikacji mobilnej mBanku ze swoim imieniem i nazwiskiem. Rozmowa będzie kontynuowana tylko wtedy, gdy klient zatwierdzi ją w aplikacji mobilnej. Pracownik nie zadaje żadnych pytań weryfikacyjnych. Wystarczy potwierdzenie rozpoczęcia rozmowy w aplikacji - tłumaczy biuro prasowe mBanku.
Mobilne potwierdzenie tożsamości jest obligatoryjne przy każdej rozmowie telefonicznej z mBankiem, która dotyczy produktów, danych klienta lub potwierdzenia płatności. - W przypadku gdy do klienta zadzwoni osoba podająca się za pracownika banku, a klient nie otrzyma w aplikacji mobilnej mBanku powiadomienia o tożsamości, może to być sygnał, że po drugiej stronie słuchawki jest oszust. Taką rozmowę należy natychmiast przerwać i powiadomić mLinię o zaistniałej sytuacji - podkreśla Krzysztof Drozd z mBanku.
Jak dodaje, w przypadku osób, które korzystają z autoryzacji poprzez SMS-y lub nie posiadają aplikacji, nadal jest stosowana dotychczasowa metoda potwierdzania tożsamości. Każdy klient może również skontaktować się z naszą infolinią i potwierdzić dane pracownika, który się z nim kontaktował. - Niestety autoryzacja oparta o kody SMS nie pozwala zbudować takiego mechanizmu obrony. Ten kanał komunikacji wykorzystywany jest przez oszustów, którzy wysyłają do klientów fałszywie wiadomości SMS różnej treści, również podszywające się pod bank. Dlatego zachęcamy klientów do przejścia na mobilną autoryzację - dodaje przedstawiciel mBanku.
Podobne narzędzie ma miedzy innymi Pekao. - W praktyce, w trakcie rozmowy telefonicznej, pracownik banku przesyła klientowi tzw. wizytówkę, czyli specjalne powiadomienie push w aplikacji PeoPay lub komunikat w serwisie Pekao24. Po zalogowaniu się do wybranego kanału klient widzi imię, nazwisko oraz stanowisko osoby, z którą rozmawia, co może potwierdzić z rozmówcą. Weryfikacja poprzez wizytówkę nie wymaga od klienta wcześniejszej inicjatywy, a powiadomienie jest wysyłane automatycznie przez konsultanta banku, który dodatkowo może poprosić o potwierdzenie tej wizytówki. Podobna funkcja jest również dostępna dla klientów korzystających z bankowości elektronicznej PekaoBiznes24 - tłumaczy biuro prasowe banku.
W Santander weryfikacja jest na życzenie klienta. - Najlepszym sposobem na weryfikację dzwoniącego pracownika infolinii banku jest potwierdzenie w aplikacji mobilnej za pomocą wiadomości PUSH. Odbywa się to na życzenie klienta - pracownik banku wysyła wiadomość w aplikacji wraz ze swoimi danymi, a klient, po zapoznaniu się z nią, potwierdza ją tak, jak każdą transakcję. Jest to sposób bezpieczniejszy od SMS-ów, ponieważ oszustom łatwiej zdobyć do nich dostęp. Samo sprawdzenie, czy dany numer telefonu należy do banku jest niewystarczającym sposobem na weryfikację, dlatego, że przestępcy mogą podszywać się niemal pod każdy numer telefonu - tłumaczy Michał Mazur, ekspert cyberbezpieczeństwa w Santander Bank Polska.
Jak podkreśla, bank promuje wśród klientów weryfikację w aplikacji, a konsultanci podczas rozmów zachęcają, aby z niej aktywnie korzystać. - Poza tym bank prowadzi akcje edukacyjne, jak m.in. kampania "Nie wierz w bajki" czy komunikacja w bankowości internetowej, w których mówimy klientom, że każda rozmowa telefoniczna, podczas której ktoś przekonuje, że pieniądze są w niebezpieczeństwie, należy je przelać na wskazane konto lub nakłania do instalacji aplikacji, jest podejrzana i należy się rozłączyć. Następnie w celu zgłoszenia i weryfikacji konieczny jest kontakt z infolinią banku - tłumaczy Michał Mazur, ekspert cyberbezpieczeństwa w Santander Bank Polska.
Czego nie robić? Banki przypominają, że pracownik nigdy nie poprosi o podanie danych do logowania do bankowości elektronicznej, podanie pełnego numeru karty i kodu CVV/CVC, podanie kodów BLIK, pobranie aplikacji rzekomo służących do zabezpieczenia konta. Banki prowadzą akcję informacyjną n ten temat w różnych formach, filmów, podcastów, słuchowisk.
Monika Krześniak-Sajewicz
