Vishing to dzisiaj popularna metoda kradzieży pieniędzy. Na czym polega?

Zacznijmy od rzeczy podstawowej: Czym jest vishing? - To tzw. phishing głosowy, czyli metoda wyłudzania danych wykorzystująca rozmowy telefoniczne - tłumaczy Bartosz Witkowski, prezes Signius.

- Vishing, czyli pojęcie które coraz częściej pojawia się w branży security, będące połączeniem słów "voice" oraz "phishing", to wyłudzanie danych w wersji głosowej. Bardzo często celem atakującego jest pozyskanie próbki naszego głosu potwierdzającego lub negującego odpowiedź na pytanie. Najczęściej atakujący próbują wyciągnąć od nas dane osobowe oraz dane finansowe - mówi natomiast Konrad Antonowicz, szef Działu Bezpieczeństwa Passus.

W odróżnieniu od phishingu, vishing nie wymaga od osoby wyłudzającej żadnej specjalistycznej wiedzy w zakresie informatyki. Nie oznacza to, że jest mniej groźny czy skuteczny. Zazwyczaj, gdy ktoś kontaktuje się z nami bezpośrednio, łatwiej jest wzbudzić w nas zaufanie - słyszymy przecież głos a dzwoniący przedstawia się z imienia i nazwiska.

- Łatwiejsze jest także przygotowanie się do takiej akcji, co sprowadza się do przygotowania skryptu rozmowy i wyuczenia odpowiednich reakcji. Dużym ułatwieniem dla wyłudzaczy jest również brak zabezpieczeń systemowych - lista numerów spam to jedynie ochrona przed zmasowanymi akcjami spamerskimi, jak w przypadku telemarketingu, a dedykowane telefony do wyselekcjonowanej grupy mają niską szansę dodania do listy spamu u operatora - dodaje Antonowicz.

Vishing w ostatnim czasie stał się niezwykle popularną metodą na kradzież pieniędzy od przypadkowych osób. Dzwonią pracownicy banku lub doradcy inwestycyjni. Pierwsi z ostrzeżeniem o nieautoryzowanej transakcji lub złożonym wniosku kredytowym; drudzy z ofertą inwestycyjną, okazją na szybki zysk np. z inwestycji w kryptowaluty. Bazują na najprostszych emocjach: to odwołują się do naszej potrzeby pomocy innym, to znów próbują wzbudzić u nas poczucie paniki lub strachu. I są w tym niezwykle skuteczni. Cichy, spokojny głos w słuchawce przekazuje informację dla większości osób dosyć stresującą: coś się dzieje na naszym rachunku, ktoś próbuje ukraść nasze pieniądze albo zaciąga na nasze dane osobowe pożyczkę lub bierze kredyt. Wszystko po to, by po chwili zapewni nas, że jeszcze nic strasznego się nie stało. I nie stanie, o ile będziemy postępować dokładnie tak jak nam powie.

Powodów jego rosnącej popularności vishingu w ostatnich miesiącach jest kilka.

- W całym ekosystemie bezpieczeństwa najsłabszym ogniwem jest zawsze człowiek. W tej chwili zarówno postęp, jak i regulacje dla systemów informatycznych na tyle daleko rozwinęły mechanizmy zabezpieczeń - np. regulacje PSD2 czy eIDAS, że mimo, iż coraz więcej usług można bezpiecznie realizować zdalnie, to nie jest łatwo pozyskać cyfrową tożsamość użytkownika w regularnych produktach - mówi Witkowski. I tłumaczy, że: aby procesy awaryjne, jak np. odblokowywanie kont, czy dostępów, mogły być dalej świadczone zdalnie muszą bazować na rozszerzonych zestawach danych osobowych. - Tutaj niestety takie procesy pozostawiają więcej swobody atakującym, stąd ten kanał staje się obecnie bardziej atrakcyjną drogą przejęcia tożsamości niż regularne wykradania haseł i autoryzacji. Dodatkowo, ostatni okres lockdownów i pandemii covid znacząco wymusił na klientach i usługodawcach przeniesienie swojej aktywności do sieci, a procesy budowane w pośpiechu nie koniecznie są w pełni szczelne i niestety tak niekompletne procesy powodują pewnego rodzaju przyzwyczajenia u użytkowników, co skrzętnie wykorzystują atakujący - podkreśla.

Ofiarą vishingu może zostać każdy. Metody przestępców są niekiedy tak wyrafinowane, że nie za zawsze, na pierwszy rzut oka widać, która wiadomość jest prawdziwa, a która nie, i czy rozmawiamy z pracownikiem instytucji zaufania publicznego, czy nie. Bycie czujnym i stosowanie zasady ograniczonego zaufania dzisiaj to podstawa, i to niezależnie od tego czy otwieramy wiadomość e-mail, SMS, czy odbieramy telefon z nieznanego numeru - chodzi o nasze bezpieczeństwo w sieci - nasze dane, a często także pieniądze.

- Jak podają różne źródła, skala ataków vishing’owych to aż 3/4 wszystkich ataków wyłudzających. Ofiarą może paść każdy, kto posiada aktywny numer telefonu i odbierze połączenie, choć oczywiście - co do zasady - istnieje grupa ludzi, które na tego typu ataki są szczególnie narażone. Są w niej osoby starsze, osoby inwestujące środki finansowe, klienci banków oraz usług medycznych - zwraca uwagę Antonowicz.

Często taka rozmowa ma przypominać kontakt z naszego banku w celu poinformowania nas, iż w danym momencie dokonywany jest na nasze konto atak cyberprzestępcy i aby analityk z banku mógł powstrzymać przestępcę potrzebuje natychmiastowej autoryzacji naszych danych oraz hasła dostępowego. Należy pamiętać, że jest to jak zawsze bardzo dobrze opracowany skrypt socjotechniczny, którego zadaniem jest nas przestraszyć, potem uspokoić i zapewnić, że nasz rozmówca panuje nad sytuacją a następnie obniżyć do zera nasze instynkty samozachowawcze i uzyskać dane których w normalnej, niestresującej sytuacji nigdy byśmy nie przekazali. Aby uśpić naszą czujność, w celu pozyskania próbki naszego głosu, często przygotowywane są specjalne boty, rejestrowane są usługi VOIP i przygotowywane rozpoznawanie numeru podszywające się pod znaną nam instytucję, np. bank, urząd miasta, przychodnię. - Dalej taka próbka głosu może być wykorzystana do systemów głosowych, z których korzystamy na co dzień, dostęp do informacji o stanie konta czy ubezpieczeniu zdrowotnym itp. Na tej podstawie atakujący przeprowadzi dokładny rekonesans naszej osoby i przygotuje dużo bardziej niebezpieczną akcje targetowaną - przestrzega Antonowicz.

W pierwszej kolejności naszą czujność powinny budzić telefony wykonywane rzekomo ze znanych nam instytucji, ale mimo to prezentowane jako nieznane numery telefonów lub wręcz zastrzeżone. Do nich powinniśmy podejść ze szczególną czujnością.

- Następnie, przedstawiane przez "konsultanta" informacje odnośnie do zdarzeń i transakcji, które są dla nas zaskoczeniem, bo nie mamy o nich wiedzy i nie pasują do ostatnio wykonywanych przez nas czynności - one również powinny budzić naszą wątpliwość, co do autentyczności rozmówcy. Jeśli tożsamości rozmówcy nie możemy potwierdzić w osobnym kanale - nie powinniśmy godzić się na podawanie jakichkolwiek szczegółów, które nas dotyczą - tłumaczy Witkowski.

Wiele banków i innych instytucji - dodaje - wprowadziło możliwość autoryzacji konsultanta np. w aplikacji mobilnej na początku rozmowy, co skutecznie uniemożliwia podszycie się pod takiego pracownika. - I na koniec najważniejsze - nigdy nie podajemy kodów autoryzacyjnych na głos, nie podajemy także żadnych danych osobowych, jeśli mamy jakakolwiek z powyższych wątpliwości - podkreśla. ekspert.

- Jeśli przekazałeś swoje informacje finansowe osobie, którą później uznasz za oszusta, najpierw zadzwoń do swojej instytucji finansowej. Niezależnie od tego, czy jest to wystawca karty kredytowej, bank czy osoba kontaktowa z placówki zdrowia, zadzwoń i poproś o anulowanie nieuczciwych transakcji i zablokowanie przyszłych opłat. Może być również konieczna zmiana numerów kont, kart czy ID, aby upewnić się, że nikt nie korzysta z istniejących kont - tłumaczy Antonowicz.

Należy pamiętać, że banki nigdy nie proszą o podanie haseł do naszego konta, a podczas autoryzacji klienta ze względu na RODO nie poproszą nas również o podanie pełnego nr PESEL oraz dowodu osobistego. Nigdy nie podawajmy pełnego numeru naszej karty płatniczej ani kodu zabezpieczającego na odwrocie karty. Warto wiedzieć, iż sama przednia strona np. karty płatniczej jest bardzo często wystarczająca do dokonania transakcji zakupu. Trzeba także pamiętać, że również instytucje medyczne nie wymagają naszych danych osobowych w całości.

Zawsze warto korzystać z podpowiedzi operatora o próbach oszustwa, a najlepiej nie odbierać podejrzanych połączeń. Gdy jednak w tym przypadku nic nie wzbudzi naszych podejrzeń i podniesiemy słuchawkę, a rozmowa nas zaniepokoi, najlepiej się rozłączyć i skontaktować bezpośrednio z instytucją, która rzekomo była z nami w kontakcie. - Nigdy nie klikajmy w linki przesyłane SMSem ani nie podążajmy za wybieraniem tonowym podczas podejrzanej rozmowy. Jeśli nie zamawialiśmy przesyłki - paczka z pewnością nie jest dla nas, a jeśli wysłana została do nas prośba o dopłatę do przesyłki - należy ją zignorować - mówi Antonowicz.

- Jeśli opisywana przez rozmówcę sytuacja wzbudza Twoje obawy - rozłącz się i skontaktuj się sam bezpośrednio z infolinią. Zwróćmy tylko uwagę na to, że nasza komunikacja nie powinna być wykonywana z żadnym z numerów podanych w rozmowie, czy w przesłanych podejrzanych wiadomości. Właściwy numer telefonu znajdźmy np. na oficjalnej stronie internetowej instytucji - przypomina Witkowski.