Phishing powraca do korzeni

Jak oszuści wykorzystują połączenia głosowe do wyłudzania informacji.

Pretekst bywa różny, chociaż zawsze jest zmyślony: pomoc techniczna potrzebuje dostępu do komputera, organy podatkowe żądają zapłaty, dostawcy sprzętu medycznego „oddzwaniają” itd. — aż dziwne, że ktoś jeszcze odbiera takie telefony. Trudno znaleźć kogoś, kto nie spotkał się z jakąkolwiek formą oszustwa telefonicznego. Tego rodzaju rozmowy telefoniczne mają swoja nazwę „vishing”.

Co to jest vishing?

Wyraz „vishing” powstał z połączenia angielskich wyrazów „voice” oznaczającego głos oraz „phishing” oznaczającego wyłudzanie informacji (podobnie jak smishing, czyli SMS + phishing). Masowe przejście na tryb pracy zdalnej sprawiło, że telefon stał się głównym narzędziem oszustw — czasami nawet do tego stopnia, że w niektórych krajach organy ścigania zaczęły okresowo publikować oficjalne komunikaty na ten temat.

Według danych Amerykańskiej Federalnej Komisji Handlu za 2019 rok tylko 6% połączeń, których celem było oszustwo, doprowadziło do straty finansowej. Niemniej jednak wysokość tych szkód była dość znacząca — mediana wynosiło 960 dolarów.

Na sztuczki oszusta może dać się nabrać każdy, nawet eksperci, którzy myślą, że widzieli już wszystko. Wielu oszustów potrafi zyskać zaufanie nawet najbardziej czujnych osób.

Z jednej strony vishing jest bardziej konserwatywny niż zwykły phishing, ponieważ sam telefon jest starszym środkiem komunikacji. Z drugiej jednak strony ogromne wycieki danych dały przekrętom telefonicznym nową moc: nigdy wcześniej oszuści nie mieli do dyspozycji takich ilości informacji o prawie wszystkich osobach na świecie. Ponadto coraz większa popularność telefonii internetowej (VoIP) sprawia, że cyberprzestępcy mogą manipulować numerami telefonów i zacierać ślady swojej działalności.

Rodzaje oszukańczych połączeń

Tematem rozmów oszustów może być prawie wszystko, jednak można je podzielić na kilka głównych kategorii.

Telemarketing

W oszustwach telemarketingowych zwykle proponowane są oferty zbyt dobre, aby były prawdziwe, a ponadto pojawia się presja czasu. Na przykład można się z nich dowiedzieć o wygranej na loterii (mimo że nawet nie kupiliśmy biletu), obniżonej stopie procentowej karty kredytowej i innych lukratywnych ofertach, których trudno sobie odmówić. Najczęściej decyzję należy podjąć natychmiast, a także wysłać niewielką zaliczkę.

Jeśli ofiara miałaby czas, aby przemyśleć ofertę, z dużym prawdopodobieństwem doszłaby do wniosku, że jest ona fałszywa. Jeśli dokonasz płatności, nagrodzisz oszustów, a także potwierdzisz autentyczność bazy danych zawierającej numery telefonów, które ktoś pozyskał i sprzedaje innym. W ten sposób narażasz na podobne oszustwa tysiące innych osób.

Agencja rządowa

Jeden z najczęstszych schematów obejmuje rzekomo niezapłacone lub zapłacone w niewystarczającej kwocie podatki. „Urząd skarbowy” dzwoni i daje Ci wybór: zapłać zaległości lub zostanie na Ciebie nałożona kara finansowa. Czas na podjęcie decyzji jest krótki; później wysokość grzywny wzrośnie.

Tu także zastosowanie presji czasu jest celowe. Mając chwilę na zastanowienie się, w jaki sposób organy podatkowe komunikują się z obywatelami, nie wspominając o standardowych ramach czasowych, przeciętny obywatel prawdopodobnie zorientowałby się, że takie połączenie nie było prawdziwe. Ale w obliczu tykającego zegara i (najwyraźniej) obawy przed agencją rządową, osoba taka może posłusznie działać według instrukcji oszustów.

Pomoc techniczna

Podczas połączeń od rzekomej pomocy technicznej oszuści podszywają się pod duże, dobrze znane marki, aby zwiększyć szanse na to, że trafią na rzeczywistego użytkownika produktu. Rozmówca zazwyczaj twierdzi, że znalazł problem na komputerze ofiary i prosi o dane logowania lub zdalny dostęp do komputera.

Bardziej wyrafinowany schemat obejmuje wstępne przygotowanie się do oszustwa, na przykład zainfekowanie komputera szkodliwym oprogramowaniem, które wyświetla okno z opisem rzekomego problemu i numerem telefonu, pod którym można uzyskać pomoc.

Bank

Ostatecznym celem każdego oszustwa są pieniądze, więc niektórzy naciągacze udają, że dzwonią z banku. Osoby takie informują o zarejestrowaniu podejrzanej aktywności na koncie, co służy jako pretekst do uzyskania od ofiary szczegółów związanych z bankowością, takich jak kod CVC/CVV lub jednorazowy kod dostępu uzyskany w wiadomości tekstowej. Dysponując takimi danymi, fałszywy pracownik banku może łatwo wyczyścić konto prawdziwej osobie.

Jak rozpoznać oszustwa telefoniczne

Oszuści zawsze poszukują najbardziej przekonujących sztuczek, ale większość stosowanych przez nich technik ma co najmniej jeden z kilku podejrzanych elementów.

  • Jeśli połączenie, które rzekomo pochodzi z banku lub agencji rządowej, wyświetla się jako zwykły numer komórkowy, prawie na pewno jest to vishing. Wątpliwości zwiększa fakt, gdy numer telefonu pochodzi z innego regionu. Z drugiej strony oficjalnie wyglądający numer nie jest gwarancją, że połączenie jest legalne — dzięki nowoczesnym technologiom możliwe jest podszywanie się pod numer kogoś innego.
  • Kolejną oznaką, że mamy do czynienia z vishingiem, jest sytuacja, gdy rozmówca próbuje uzyskać poufne informacje, zwłaszcza jeśli przy tym używa gróźb. Ogólnie każda próba wyłudzenia prywatnych informacji jest oznaką oszustwa: prawdziwy pracownik banku lub urzędu skarbowego z dużym prawdopodobieństwem już ma wszelkie potrzebne informacje. Oczywiście mówimy tu o komunikacji, którą zainicjowała druga strona, a nie Ty.
  • Jeśli ktoś nakłania Cię do dokonania przelewu i określa jakiś termin, z pewnością jest to oszustwo.
  • Jeśli rozmówca przekonuje Cię do zainstalowania oprogramowania na komputerze, aby rozwiązać jakiś problem, w sprawie którego dzwoni, rozłącz się, gdyż prawdopodobnie skończy się to dla Ciebie źle.

Pośrednim, ale również niezawodnym znakiem vishingu jest to, gdy osoba dzwoniąca coś kręci, mówi nieprawdę, jest nieprzyjaźnie nastawiona lub używa wyrażeń potocznych. Oczywiście nie mamy nic przeciwko codziennej mowie, ale prawdziwi konsultanci są na ogół przeszkoleni w zakresie używania profesjonalnego języka.

Jak chronić się przed oszustwami przez telefon

Jeśli zauważysz co najmniej jedną z powyższych oznak oszustwa, najlepiej po prostu zakończ rozmowę. Następnie zadzwoń do firmy lub organizacji, która rzekomo zadzwoniła do Ciebie, i poinformuj o incydencie — im więcej informacji zostanie zebrane, tym większa szansa, że oszuści zostaną złapani, a przynajmniej będą mieć utrudnione zadanie. Numer telefonu do pomocy technicznej lub obsługi klienta znajdź samodzielnie, na przykład na oficjalnej stronie internetowej organizacji.

Ponadto nie instaluj na komputerze programów umożliwiających dostęp zdalny, bez względu na to, jak przekonujący jest Twój rozmówca, a także używaj niezawodnego rozwiązania zabezpieczającego, które niezwłocznie wykrywa niebezpieczne aplikacje i ostrzega o nich.

Porady
Zapisz się, aby otrzymywać informacje o nowych artykułach
  • Dla pozostałych krajów