Vishing: Tak się kradnie informacje i pieniądze przez telefon

- Cyberprzestępca może przez telefon prosić o informacje o koncie bankowym, dane karty kredytowej czy adres pocztowy. Będzie próbował nakłonić ofiarę do podjęcia konkretnych działań np. przekazania środków finansowych, przesłania e-mailem poufnych dokumentów związanych z pracą lub podanie informacji o pracodawcy - mówi Krzysztof Dyki, ekspert ds. cyberbezpieczeństwa ComCERT (Grupa Asseco). Gdy pozyska niezbędne informacje, może przystąpić do popełniania kolejnych przestępstw. Na przykład może opróżnić konto bankowe, ukraść tożsamość i wykorzystać dane karty kredytowej ofiary do dokonania zakupów. Może też np. wysłać wiadomość e-mail do kolegów ofiary w nadziei, że nakłoni kogoś do ujawnienia poufnych informacji.

Dowolny rodzaj wiadomości — na przykład e-mail, SMS, rozmowa telefoniczna lub wiadomość na czacie, która wydaje się, że pochodzi z zaufanego źródła, ale tak nie jest to phishing. Jego celem najczęściej jest pozyskanie wrażliwych danych od użytkowników, by następnie dokonać kradzież tożsamości czy pieniędzy z konta bankowego. Jeśli przestępca próbuje dokonać podobnego ataku, ale przez telefon - mamy do czynienia z vishingiem. Główną różnicą między phishingiem a vishingiem jest właśnie medium wykorzystywane do łapania potencjalnych ofiar. Podczas gdy phishing jest przede wszystkim oparty na wiadomościach e-mail, vishing wykorzystuje głos i rozmowę telefoniczną. Chociaż istnieją różnice między vishingiem a phishingiem, ostateczny cel jest zawsze ten sam: nasze dane uwierzytelniające, dane umożliwiające identyfikację i informacje finansowe. Atakujący próbują różnych metod, by zwiększyć swoje szanse na "sukces".

Udany atak vishingowy wymaga czegoś więcej niż tylko dzwonienia pod losowe numery telefonów. Cyberprzestępcy coraz częściej mają z góry określoną i zaplanowaną strategię podejścia do ofiary. Zaczynają od badania otoczenia danej osoby - mówi Krzysztof Dyki, ComCERT (Grupa Asseco). Może to obejmować wysyłanie wiadomości phishingowych z nadzieją, że ktoś odpowie i poda swój numer telefonu. Często używają specjalistycznego oprogramowania i dzwonią do wielu osób spod numer telefonu z tym samym kierunkowym co ofiary. Robią wszystko, abyś miał wrażenie, że to normalna, przeciętna rozmowa, których odbywasz wiele z różnych powodów, dlatego tak ważna jest czujność i wiedza w jaki sposób komunikują się przestępcy.

Cyberprzestępcy stosują zabiegi socjotechniczne, aby nakłonić ofiarę do określonego działania, ujawnienia osobistych informacji czy dostępu do konta bankowego. Vishing polega na przekonywaniu ofiary, że powinna postąpić w oczekiwany sposób. Często przestępca udaje przedstawiciela administracji państwowej, urzędu skarbowego, policji lub banku, w którym ofiara ma konto. W rozmowie stara się wywołać strach, aby atakowana osoba zrozumiała, że nie ma innego wyjścia, jak tylko podać żądane informacje.

Niektórzy cyberprzestępcy używają ostrego i zdecydowanego języka, inni sugerują, że pomagają ofierze uniknąć kłopotów np. zarzutów karnych czy innego rodzaju problemów. Często pozostawiają groźnie brzmiące wiadomości głosowe, które zmuszają odbiorcę, by natychmiast oddzwonił pod groźbą sankcji karnych (aresztowania, grzywny, utraty mienia, zamknięcia konta bankowego).

- Cyberprzestępcy wiedzą, że ludzie częściej odbierają połączenia z numerów z lokalnym numer kierunkowym. Takie budzą mniej podejrzeń. W wielu przypadkach dzwoniący podszywają się pod ekspertów lub autorytety w danej dziedzinie. Mogą udawać techników komputerowych, bankierów, policjanta, a nawet inne ofiary - dodaje nasz ekspert Krzysztof Dyki, ComCERT (Grupa Asseco). Odwołują się do ludzkich instynktów zaufania, strachu, chciwości  czy chęci pomocy innym.

W zależności od schematu vishingu przestępca może użyć wszystkich lub tylko jednej z tych technik, aby przekonać ofiarę i nakłonić do określonego działania. Niektórzy przestępcy dają ofiarom numer telefonu, pod który mogą zadzwonić, jeśli mają pytania lub chcą dowiedzieć się, na przykład o stanie ich zapłaconych podatków lub uzyskać wyniki testu na wirusa COVID-19. Pomaga to uwiarygadniać przestępcę i daje ofierze poczucie pewności, że ma do czynienia z normalną sytuacją . Jeśli ofiara zadzwoni pod ten numer, może połączyć się z pocztą głosową lub porozmawiać z innym człowiekiem, który współpracuje z głównym cyberprzestępcą.

Bądź podejrzliwy wobec osoby dzwoniącej, która twierdzi, że pochodzi z agencji rządowej i prosi o informacje finansowe lub osobiste. Agencje rządowe nie dzwonią prosząc o poufne informacje lub dane finansowe. Jeśli osoba dzwoniąca grozi aresztowaniem lub zawieszeniem konta, zachowaj spokój i nie przekazuj swoich informacji.

Oszuści mogą zachowywać się elokwentnie i profesjonalnie, prosząc o zweryfikowanie niektórych informacji o koncie w celu rozwiązania jakiegoś problemu. Nigdy nie ujawniaj żadnych danych identyfikacyjnych nieznanemu rozmówcy. Nie należy podawać ani potwierdzać danych osobowych przez telefon, jeżeli masz jakąkolwiek wątpliwość co do wiarygodności rozmówcy. Pamiętaj, że firmy obsługujące karty kredytowe, banki także nigdy nie zadzwonią z prośbą o podanie poufnych informacji. Jeśli ktoś zadzwoni do Ciebie, twierdząc, że pochodzi z legalnej organizacji, poproś go o zweryfikowanie swojej tożsamości. Jeśli osoba nie ma ukrytych motywów, nie będzie miała problemu z potwierdzeniem kim jest, skąd dzwoni i w jakim celu.

Coraz częściej przestępcy potrafią połączyć się z ofiarą posługując podmienionym numerem telefonu, który nie jest prawdziwy, ale jest zgodny przykładowo z oficjalnym numerem banku. Dlatego nigdy nie ufaj numerowi telefonu dzwoniącego, który wyświetla się na ekranie twojego telefonu - wyświetlany numer może być nieprawdziwy (niezgodny z prawdziwym numerem dzwoniącego). Jeżeli masz jakiekolwiek wątpliwości co do uczciwości dzwoniącego zadzwoń do instytucji, którą reprezentuje twój rozmówca. Zawsze korzystaj wyłącznie z oficjalnych numerów kontaktowych danej instytucji.

W przypadku poważnych wątpliwości dotyczących twojego rozmówcy zawsze możesz rozłączyć się, bez podawania powodu, a następnie skontaktować się w dowolnej formie z instytucją, którą reprezentowała osoba dzwoniąca. Nigdy nie instaluj żadnego oprogramowania, do którego instalacji nakłania cię rozmówca. Legalnie działający podmiot nie nakłania telefonicznie swoich klientów do takich operacji.