Schematy oszustw

Vishing

Data aktualizacji: 26 stycznia 2024

Vishing (voice phishing) to rodzaj oszustwa polegającego na kontakcie telefonicznym z wykorzystaniem najczęściej tzw. spoofingu, czyli podszycia się pod dowolny numer telefonu. Zazwyczaj oszuści podszywają się pod pracowników infolinii banku, instytucji państwowej lub organów ścigania w celu wyłudzenia danych i nakłonienia swojego rozmówcy do wykonania określonych czynności. Vishing w Polsce jest często spotykanym rodzajem oszustwa, a wykorzystana w tym scenariuszu inżynieria społeczna z naciskiem na wywieranie presji, strachu czy niepewności jest bardzo skuteczna. 

[Krok 1] Oszustwo rozpoczyna się od kontaktu telefonicznego z wybraną osobą. Oszust podszywając się pod pracownika banku przesyła danej osobie wiadomość SMS, aby potwierdzić swoją tożsamość.

2 - SMS od oszusta

Przykład wiadomości SMS uwiarygadniającej oszusta

Oszust informuje rozmówcę o próbie wykonania przelewu z jej rachunku lub o zaciągniętej na jej dane pożyczce krótkoterminowej. Jego celem jest przekonanie rozmówcy, że dzwoni on w celu zapobieżenia utraty przez niego środków. Takie działanie ma na celu uśpić czujność rozmówcy, wyłudzić od niego dane i nakłonić, by postępował zgodnie z wydanymi poleceniami przez oszusta. 

[Krok 2] Oszust podszywający się pod pracownika banku po przeprowadzeniu wstępnej rozmowy przełącza daną osobę do działu technicznego lub departamentu bezpieczeństwa banku. Następnie osoba ta zostaje poproszona o zainstalowanie programu do zdalnego zarządzania pulpitem. Jeżeli nie potrafi wykonać tego polecenia lub po prostu nie korzysta z bankowości internetowej, wówczas oszust pod pozorem zabezpieczenia jej środków poleca jej wykonanie przelewu na wskazany przez niego rachunek techniczny. Jeżeli dana osoba nie może wykonać również tej czynności, a ma zainstalowaną aplikację banku, to oszust może sugerować jej podanie kodu BLIK. Może także poprosić o wypłatę środków w bankomacie, a następnie dokonanie ich wpłaty we wpłatomacie na podany przez niego rachunek.

[Krok 3] Gdy taka osoba zainstaluje program do zarządzania zdalnym pulpitem, oszust poprosi ją, aby zalogowała się do bankowości elektronicznej w celu weryfikacji operacji na swoim rachunku. Wszystkie dane uwierzytelniające wpisywane przez tą osobę będą widoczne dla oszusta. Następnie może on zaciągnąć kredyt w imieniu tej osoby, a ją poprosić o autoryzację poprzez podanie kodu otrzymanego w wiadomości SMS od banku lub w aplikacji mobilnej. 

3 - przykład www

Przykład strony internetowej stworzonej przez oszustów

[Krok 4] Środki z rachunku takiej osoby mogą zostać wykorzystane w następujący sposób:

  • przelewem na rachunek "słupa",
  • przelewem na rachunek zagraniczny,
  • przelewem na giełdę kryptowalut,
  • przelewem na przekaz pieniężny Poczty Polskiej, 
  • do płatności kartą na giełdy kryptowalut,
  • do płatności kartą w Internecie,
  • do płatności BLIK w Internecie,
  • do wypłaty/wpłaty BLIK w bankomacie.
Oszuści, w zależności od scenariusza swoich działań, mogą podszywać się również pod Policję, członków rodziny osoby, którą chcą oszukać (np. wnuka).

W ramach vishingu i przyjętego przez oszustów scenariusza ataku, poza kradzieżą pieniędzy z rachunku wybranej przez nich osoby, może także dochodzić do wyłudzania innych jej danych. Przykładowo do pozyskania loginów do kont w mediach społecznościowych czy wrażliwych informacji dotyczących firmy, w której ona pracuje. Oszuści mogą również nagrywać fragmenty prowadzonych przez siebie rozmów, aby później wykorzystać je w biometrycznej weryfikacji głosu w banku lub u innych podmiotów finansowych.

Pamiętaj o kilku podstawowych zasadach bezpieczeństwa:

  • przede wszystkim kieruj się zasadą ograniczonego zaufania – nigdy nie masz pewności kto może znajdować się po "drugiej stronie słuchawki”,
  • pamiętaj, że pracownik banku nigdy nie prosi o:
    • podanie pełnych danych osobowych, numeru PESEL, serii i numeru dowodu osobistego,
    • loginu i hasła do bankowości internetowej, 
    • numeru karty płatniczej, daty jej ważności oraz numeru CVV/CVC,
    • zrealizowania przelewu na wskazany przez niego rachunek,
    • podanie kodu SMS autoryzującego operację finansową,
    • instalowanie aplikacji na twoim urządzeniu, 
  • jeżeli nie masz pewności z kim rozmawiasz, rozłącz się z rozmówcą i samodzielnie zadzwoń do instytucji, której przedstawiciel do Ciebie zadzwonił.
Voice_phishing