W ostatnich dniach nasiliły się próby wyłudzenia pieniędzy od klientów znanego polskiego banku. Przestępcy wykorzystują socjotechnikę, aby wzbudzić zaufanie i poczucie zagrożenia u potencjalnej ofiary. Na co trzeba uważać, by nie stracić pieniędzy?
Niedawno pisaliśmy o atakach na klientów Santandera, tym razem oszuści wzięli na celownik Alior Bank. Instytucja wydała ostrzeżenie do swoich klientów. Akcja jest prowadzona równocześnie na dwa fronty: telefonicznie i mailowo. W obu sytuacjach złodzieje starają się podszyć pod pracowników banku, wywołują presję i poczucie zagrożenia, by wyłudzić nasze pieniądze.
Skąd mamy wiedzieć, że dzwoni oszust, a nie pracownik banku?
Oszuści dzwonią do klientów, przedstawiając się jako pracownicy Alior Banku. Aby brzmieć wiarygodnie, posługują się zmyślonymi nazwiskami i nieistniejącymi numerami identyfikacyjnymi.
Alior Bank informuje, że przestępcy „jako przyczynę kontaktu wskazują zagrożenie dla środków finansowych klienta, nakłaniają klienta do przelania środków na konto w innym banku”.
To już, można powiedzieć, klasyk. Rzekomy pracownik informuje o włamaniu na konto i przekonuje, że jedynym ratunkiem jest natychmiastowe przelanie pieniędzy na tzw. „konto techniczne” lub „bezpieczne konto”, które tak naprawdę należy do przestępców.
Na jakie maile z „banku” powinniśmy uważać?
W tym samym czasie oszuści wysyłają wiadomości e-mail z fałszywych adresów, które mają udawać oficjalną komunikację z bankiem (np. pomoc@aliorinfo.pl). W treści informują o konieczności weryfikacji danych w BIK w związku z tym, że został złożony wniosek o kredyt na dane ofiary.
Aby uśpić czujność i brzmieć wiarygodnie, w wiadomościach zamieszczone są „znalezione w internecie: poprawne dane osobowe klienta (imię, nazwisko, adres itp.), poprawne dane firmowe klienta (dane z KRS itp.)”.
Dwutorowy atak sprawia, że klienci panikują i mogą dać się nabrać. Musimy zawsze zachować zimną krew, a najlepszym sposobem sprawdzenia, czy coś jest tak, jest po prostu zadzwonienie na oficjalny numer banku.
Vishing wciąż jest modny wśród oszustów. Co to jest?
Oszuści próbują okraść klientów Aliora wykorzystując vishing (voice phishing). To odmiana phishingu (a to z kolei jest podszywanie się) za pośrednictwem rozmowy telefonicznej.
Oszust udaje zaufaną osobę (pracownika banku, policjanta, urzędnika) i próbuje nakłonić ofiarę do podania poufnych informacji (login, hasło, PESEL, dane karty) lub wykonania określonych operacji, np. przelanie pieniędzy.
Atakujący często wykorzystuje element zaskoczenia i presję czasu, informując o rzekomej awarii czy ataku hakerskim. Pracownik banku nigdy nas nie poprosi o:
podanie pełnego hasła do bankowości,
zainstalowanie dodatkowego oprogramowania,
wykonanie przelewu na „bezpieczne konto”,
podanie kodu BLIK w celu anulowania transakcji.
Inne popularne ostatnio metody phishingu
„Jeśli podejrzewasz próbę popełnienia przestępstwa (lub gdy przestępstwo zostało popełnione), niezwłocznie skontaktuj się z nami. Zadzwoń na infolinię pod numer 12 370 70 00 oraz złóż stosowne zawiadomienie na Policję lub do prokuratury” – apeluje Alior. Możemy też zgłosić incydent na stronie CERT.