Plaga wyłudzeń pieniędzy z banku. Jest nowy sposób obrony przed oszustami

Kwitnie plaga wyłudzeń "na pracownika banku". Przestępcy dzwonią, podają się za pracownika, wyłudzają dane, a potem "czyszczą" konta. Banki wprowadzają możliwość weryfikacji, czy taka osoba rzeczywiście jest pracownikiem, czy oszustem. To potwierdzenie "push" w aplikacji. - Jeśli go nie dostałeś, lepiej się rozłącz - ostrzegają bankowcy.

Choć metoda "na pracownika banku" nie jest nowa, to niestety często okazuje się skuteczna dla przestępców i proceder trwa. Zazwyczaj wygląda to podobnie. Oszust dzwoni do konkretnej osoby i podaje się za konsultanta bankowego. 

Na telefonie ofiary zazwyczaj wyświetla się prawdziwy numer banku, który jest podawany m.in. na stronie internetowej. Dzwoniący informuje o niepokojących transakcjach na koncie ofiary. Aby zapobiec i unieważnić te przelewy "konsultant" poleca zainstalowanie aplikacji, która umożliwia mu wykonywanie zdalnych działań na smartfonie lub komputerze rozmówcy. 

Reklama

W ten sposób oszust uzyskuje dostęp do urządzenia ofiary i tym samym konta, z którego dokonuje przelewów, a następnie wypłaca zgromadzone na nim środki, a nawet próbuje też zaciągnąć kredyt na konto ofiary. Jednym z elementów takiej metody jest wywieranie presji czasu, tak by ofiara nie zdążyła na chłodno zorientować, czy nie wpada w pułapkę zastawioną przez cyberprzestępców.

- Nie zgadzajmy się na instalowanie żadnego dodatkowego oprogramowania na swoich komputerach. Poprzez takie aplikacje oszuści mają łatwy dostęp do naszego pulpitu, a tym samym do dysponowania naszymi pieniędzmi - ostrzega policja.

Mimo wielu apeli i akcji informacyjnych wciąż kolejne osoby padają ofiarami takich przestępców. Banki wprowadzają nowe narzędzia, które pozwalają klientowi sprawdzić, czy rzeczywiście rozmawiają z ich prawdziwym pracownikiem. Niektóre instytucje już je mają, a inne planują wdrożyć je wkrótce.

Powiadomienie "push" w bankowej aplikacji potwierdzi tożsamość pracownika

O obecne i przyszłe rozwiązania zapytaliśmy kilka działających w Polsce banków. 

- 27 marca wprowadziliśmy mobilne potwierdzenie tożsamości pracownika. Oznacza to, że wszystkie rozmowy inicjowane przez pracowników banku są potwierdzane w aplikacji mobilnej. W ten sposób klient ma pewność, że rozmawia z faktycznym przedstawicielem mBanku, a nie oszustem. Na początku rozmowy pracownik przesyła klientowi powiadomienie w aplikacji mobilnej mBanku ze swoim imieniem i nazwiskiem. Rozmowa będzie kontynuowana tylko wtedy, gdy klient zatwierdzi ją w aplikacji mobilnej. Pracownik nie zadaje żadnych pytań weryfikacyjnych. Wystarczy potwierdzenie rozpoczęcia rozmowy w aplikacji - tłumaczy Krzysztof Drozd z biura prasowego mBanku. 

Jak zaznacza, mobilne potwierdzenie tożsamości jest obligatoryjne przy każdej rozmowie telefonicznej z mBankiem, która dotyczy produktów, danych klienta lub potwierdzenia płatności.  

- W przypadku gdy do klienta zadzwoni osoba podająca się za pracownika banku, a ten nie otrzyma w aplikacji mobilnej mBanku powiadomienia o tożsamości, może to być sygnał, że po drugiej stronie słuchawki jest oszust. Taką rozmowę należy natychmiast przerwać i powiadomić mLinię o zaistniałej sytuacji - ostrzega przedstawiciel mBanku.

Podobną weryfikację udostępnił w ubiegłym roku bank Millennium.

- Klient podczas rozmowy z pracownikiem banku może poprosić o powiadomienie push z aplikacji mobilnej z imieniem i nazwiskiem konsultanta oraz godziną kontaktu. Takie powiadomienie pracownik banku wysyła wyłącznie przez aplikację banku. Nigdy nie wyśle takiego powiadomienia potwierdzenia przez e-mail, SMS czy zewnętrzny komunikator - mówi Krzysztof Kurek z biura prasowego Millennium.  

Klient podczas rozmowy może poprosić o przesłanie potwierdzenia w aplikacji. - Regularnie informujemy klientów o takiej możliwości w specjalnych kampaniach edukacyjnych - dodaje przedstawiciel Millennium. 

Kolejne banki wprowadzają nową ochronę przed oszustami

Z możliwości zweryfikowania osoby dzwoniącej i podającej się za pracownika banku mogą korzystać też klienci BNP Paribas i PKO BP.

- W przypadku wątpliwości czy dzwoni konsultant banku wystarczy podczas takiej podejrzanej rozmowy się rozłączyć i zadzwonić na numer infolinii ze strony banku i zweryfikować czy rzeczywiście sytuacja, która została przedstawiona ma miejsce. Jeśli faktycznie telefon z banku był prawdziwy to konsultant z infolinii poinformuje, że dzwonił i w jakiej sprawie. Żeby zapobiegać takim oszustom, na początku 2022 roku wdrożyliśmy też rozwiązanie, dzięki któremu klienci PKOBP, którzy mają aktywną aplikację mobilną IKO, mogą zweryfikować czy kontaktuje się z nimi rzeczywisty pracownik banku - mówi Michał Tkaczuk z biura prasowego PKO BP. 

W praktyce wygląda to tak, że w trakcie rozmowy z konsultantem otrzyma na swój telefon wiadomość (push) z danymi pracownika, który z nim się kontaktuje (imię i nazwisko, stanowisko, adres oddziału). Może zweryfikować tożsamość osoby dzwoniącej, prosząc pracownika banku o podanie tych danych - jeśli zgadzają się z tymi z przysłanej informacji, zatwierdza je PIN-em do IKO i obie strony mogą bezpiecznie kontynuować rozmowę.

- To rozwiązanie pomaga zapobiegać wyłudzeniom i kradzieżom, dokonywanym przez oszustów podających się za bankowych doradców czy konsultantów (tzw. spoofing). Prowadzimy też monitoring antyfraudowy połączeń podszywających się pod numery naszej infolinii - dodaje Michał Tkaczuk.

- Jeżeli klient ma wątpliwości, czy rozmawia z pracownikiem Banku BNP Paribas, może potwierdzić jego tożsamość w aplikacji GOmobile. W trakcie rozmowy może prosić pracownika, o potwierdzenie jego tożsamości. Powiadomienie (push) otrzymuje wówczas w aplikacji. W treści powiadomienia bank wysyła dane pracownika - informuje Justyna Wydra z BNP Paribas.

Podobne rozwiązanie zapowiadają ING Bank Śląski i Pekao. Bankowcy apelują o czujność.

- Klienci z ograniczoną ufnością powinni podchodzić do telefonów, wiadomości e-mail czy na komunikatorze, w których osoba po drugiej stronie podaje się za jakąś instytucję (np. ZUS) lub za bank. Oszuści preparują wiadomości w taki sposób, aby sprawiały wrażenie, że ich autorami są osoby lub instytucje, którym ufamy. W razie najmniejszych wątpliwości, co do wiarygodności osoby przedstawiającej się jako pracownik banku należy zadzwonić bezpośrednio na infolinię banku i upewnić się co do prawdziwości i zasadności takiego połączenia. Bank Pekao planuje wkrótce wprowadzić funkcję potwierdzenia tożsamości pracownika banku przez push z aplikacji PeoPay - mówi Interii Pawel Jurek, rzecznik prasowy Pekao.

Nie masz pewności czy to konsultant banku, lepiej się rozłącz

- Jesteśmy w trakcie przygotowywania funkcjonalności w Moim ING, która umożliwi taką weryfikację. Jeśli klient ma wątpliwości powinien przerwać rozmowę - informuje z kolei Magdalena Ostrowska z biura prasowego ING Banku Śląskiego.

Nowa metoda jest możliwa do zastosowanie dla użytkowników aplikacji mobilnych. W przypadku innych form lepiej wykazać się ostrożnością i czujnością. Na co trzeba zwrócić uwagę?

- Powiadomienie push dotyczące weryfikacji tożsamości pracownik Banku Millennium wysyła wyłącznie przez aplikację banku. Nigdy nie wyśle takiego powiadomienia potwierdzenia przez e-mail, SMS czy zewnętrzny komunikator. Jeśli klient ma wątpliwości, czy rozmawia z pracownikiem banku, powinien się rozłączyć i skontaktować się bankiem. W naszych kampaniach informujemy klientów, jakie zachowania powinny wzbudzić czujność, np. jeśli rozmówca prosi o podanie hasła do logowania czy kodu BLIK. Nasi konsultanci nigdy nie proszą o takie informacje - podkreśla Krzysztof Kurek.

Uwaga na SMS- y i maile z banku

Bankowcy zalecają autoryzację operacji za pomocą aplikacji mobilnej zamiast SMS.

- W przypadku osób, które korzystają z autoryzacji poprzez SMS-y lub nie posiadają aplikacji, nadal jest stosowana dotychczasowa metoda potwierdzania tożsamości. Każdy klient może również skontaktować się z naszą infolinią i potwierdzić dane pracownika, który się z nim kontaktował. Niestety autoryzacja oparta o kody SMS nie pozwala zbudować takiego mechanizmu obrony. Ten kanał komunikacji wykorzystywany jest przez oszustów, którzy wysyłają do klientów fałszywie wiadomości SMS różnej treści, również podszywające się pod bank. Dlatego zachęcamy klientów do przejścia na mobilną autoryzację. Mobilne potwierdzenie tożsamości pracownika nie dotyczy klientów korporacyjnych - mówi Krzysztof Drozd z mBanku.

Jednocześnie dodaje, że bank w styczniu tego roku wprowadził również zabezpieczenie oparte o identyfikację wizualną nadawcy. - W ten sposób klienci, którzy korzystają z poczty elektronicznej w serwisach Gmail, Interia, Onet oraz WP/O2 (czyli niemal 90 proc.), mają pewność, że wiadomość e-mail została wysłana przez mBank - tłumaczy.

Eksperci ostrzegają, że cyberoszuści sięgają po różne sposoby manipulacji. Podszywają się nie tylko pod pracowników banku, ale również instytucji publicznych, brokerów, a nawet policjantów. Popularną metodą stosowaną przez oszustów są fałszywe inwestycje.

Monika Krześniak-Sajewicz

INTERIA.PL
Dowiedz się więcej na temat: bank | aplikacje bankowe | policja
Reklama
Reklama
Reklama
Reklama
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »