Voice phishing (vishing) – jak nie dać się oszukać?

Polacy coraz częściej korzystają z zaawansowanych rozwiązań cyfrowych. Rodzi to duże wyzwania w zakresie bezpieczeństwa w sieci. Starają się to wykorzystać przestępcy, którzy każdego dnia szukają nowych metod na wyłudzenie danych i pieniędzy. Zgodnie z danymi CERT Polska najczęściej zgłaszanym incydentem jest oszustwo typu phishing¹. Co to jest, jak przebiega i w jaki sposób należy reagować?

Mechanizmy działania voice phishingu

Voice phishing (po polsku: oszustwo głosowe) opiera się na technikach socjotechnicznych, które mają na celu zmanipulowanie ofiary w taki sposób, aby dobrowolnie przekazała swoje poufne informacje. Oszuści często podszywają się pod pracowników banków, firm telekomunikacyjnych, instytucji rządowych lub innych zaufanych organizacji, aby wzbudzić zaufanie ofiary.

Mechanizm działania vishingu zazwyczaj obejmuje następujące kroki:

• przygotowanie – przestępca zbiera informacje na temat potencjalnej ofiary, takie jak numer telefonu, powiązany bank, imię i nazwisko oraz inne dane, które mogą pomóc w wiarygodnym przedstawieniu się;
• kontakt telefoniczny – oszust dzwoni do ofiary, podszywając się pod zaufaną instytucję. Często korzysta z technik manipulacyjnych, takich jak stresogenne sytuacje (np. pragnie poinformować rozmówcę o próbie wykonania przelewu z jej rachunku), groźby lub obietnice korzyści, aby skłonić ofiarę do ujawnienia poufnych informacji;
• przełączanie rozmowy – po wstępnej rozmowie następuje przełączenie do innej komórki lub departamentu. Tam osoba prowadząca rozmowę jest proszona o zainstalowanie na komputerze lub innym urządzeniu programu do zdalnego zarządzania pulpitem;
• zbieranie informacji – próba zalogowania się do bankowości elektronicznej kończy się utratą danych uwierzytelniających, w tym loginu i hasła; 
• wykorzystanie danych – zdobyte informacje mogą być natychmiast wykorzystane do nieautoryzowanych transakcji, zaciągnięcia kredytu lub kradzieży tożsamości.

Najczęściej środki z rachunku są wykorzystywane poprzez przelewy (zagraniczne, na giełdę kryptowalut, przekaz pieniężny Poczty Polskiej), płatności w internecie lub wypłaty BLIK w bankomacie. 

Typowe metody stosowane przez oszustów vishingowych

Większość ataków ma swój początek w masowych wiadomościach SMS zawierających w treści łącza do fałszywych witryn. Warto też zwrócić uwagę na phishing e-mail. Co to jest? Zasadniczo w tego typu atakach oszust wysyła wiadomości, które oprócz linków zawierają często prośbę o dopłatę do przesyłki kurierskiej lub fałszywą fakturę, która tak naprawdę kryje złośliwe oprogramowanie. Niestety natłok firmowych wiadomości często powoduje, że przedsiębiorcy dają się zwieść i nie podejrzewają oszustwa.

Na tym jednak nie kończy się wyobraźnia hakerów w internecie. Na popularności zyskuje wykorzystanie komunikatorów internetowych, mediów społecznościowych czy portali zakupowych. Pomagają one w realizacji scenariuszy rozmów prowadzonych na telefonie, z których najpopularniejsze to:

• podszywanie się pod pracowników banku, policji czy członków rodziny;
• fałszywe alerty o zagrożeniach (np. wykrycie wirusa lub innego zagrożenia na urządzeniu);
• natychmiastowa płatność za rzekome długi; 
• informacja o wygranej w fikcyjnym konkursie, wymagająca podania danych osobowych lub finansowych w celu odbioru nagrody.

Rozpoznawanie podejrzanych telefonów – gdzie szukać informacji?

Phishing telefoniczny nie jest jednowymiarowy. W celu poprawy skuteczności podejmowanych działań przestępcy stosują wiele sztuczek, zarówno technicznych, jak i psychologicznych. Ich rozpoznanie jest przez to utrudnione, dlatego warto zwracać uwagę na sygnały, które mogą wskazywać na to, że telefon jest podejrzany. Są nimi:

• numer telefonu nieznany lub wyświetlany jako prywatny;
• nadmierna presja do działania; 
• prośba o podanie poufnych informacji; 
• błędy językowe lub gramatyczne. 

Dobrym pomysłem jest weryfikacja numeru telefonu w internecie, aby upewnić się, czy jest on przypisany do prawdziwej instytucji. Można również skontaktować się z daną placówką, aby zweryfikować autentyczność połączenia.

Jak reagować na próby voice phishingu i gdzie je zgłaszać?

Przede wszystkim należy się kierować generalną zasadą ograniczonego zaufania. Różnorodne przykłady cyberprzestępczości dowodzą, że osoby zajmujące się tworzeniem scenariuszy voice phishingu są kompetentne i wiedzą, jak skutecznie przekonywać ludzi. Jako przedsiębiorca zarządzający zespołem pracowników musisz zadbać, aby wszyscy mieli świadomość zagrożenia i zachowywali czujność. Czasem szybkie tempo pracy powoduje, że sygnały ostrzegawcze umykają uwadze, a niestety pomyłka pracownika może słono kosztować całą firmę.

Dobrymi praktykami chroniącymi interesy osób prywatnych i przedsiębiorstw są:

• przerwanie połączenia, jeśli rozmówca wydaje się podejrzany lub prosi o poufne informacje;
• weryfikacja tożsamości rozmówcy bezpośrednio w danej instytucji;
• zmiana haseł, jeśli podano jakiekolwiek dane logowania;
• zgłoszenie incydentu firmie lub instytucji, która padła ofiarą podszycia się przez przestępców oraz w CERT Polska.

Zabezpieczenie danych osobowych i finansowych

Przestępcy wykorzystujący różne rodzaje cyberprzestępstw są bezwzględni w swoich działaniach. Nie ograniczają się do jakiejś konkretnej grupy osób. Ich ofiarą może stać się każdy, kto choć na chwilę straci czujność i uwierzy w dobre intencje nieznajomego. Jak właściwie zabezpieczać kwestie loginów, haseł czy dostępu do bankowości w firmie? Przede wszystkim nigdy nie należy ich podawać w rozmowie telefonicznej. Zaleca się stosowanie uwierzytelniania dwuskładnikowego oraz regularne monitorowanie kont bankowych. Warto także pamiętać i stale uświadamiać swoich pracowników, jak wielkie konsekwencje niesie ze sobą brak czujności.

¹ https://www.gov.pl/web/baza-wiedzy/krajobraz-bezpieczenstwa-polskiego-internetu-w-2022-roku--raport-roczny-cert-polska