Voice phishing (vishing) – jak nie dać się oszukać?
Polacy coraz częściej korzystają z zaawansowanych rozwiązań cyfrowych. Rodzi to duże wyzwania w zakresie bezpieczeństwa w sieci. Starają się to wykorzystać przestępcy, którzy każdego dnia szukają nowych metod na wyłudzenie danych i pieniędzy. Zgodnie z danymi CERT Polska najczęściej zgłaszanym incydentem jest oszustwo typu phishing1. Co to jest, jak przebiega i w jaki sposób należy reagować?
Mechanizmy działania voice phishingu
Voice phishing (po polsku: oszustwo głosowe) opiera się na technikach socjotechnicznych, które mają na celu zmanipulowanie ofiary w taki sposób, aby dobrowolnie przekazała swoje poufne informacje. Oszuści często podszywają się pod pracowników banków, firm telekomunikacyjnych, instytucji rządowych lub innych zaufanych organizacji, aby wzbudzić zaufanie ofiary.
Mechanizm działania vishingu zazwyczaj obejmuje następujące kroki:
- przygotowanie – przestępca zbiera informacje na temat potencjalnej ofiary, takie jak numer telefonu, powiązany bank, imię i nazwisko oraz inne dane, które mogą pomóc w wiarygodnym przedstawieniu się;
- kontakt telefoniczny – oszust dzwoni do ofiary, podszywając się pod zaufaną instytucję. Często korzysta z technik manipulacyjnych, takich jak stresogenne sytuacje (np. pragnie poinformować rozmówcę o próbie wykonania przelewu z jej rachunku), groźby lub obietnice korzyści, aby skłonić ofiarę do ujawnienia poufnych informacji;
- przełączanie rozmowy – po wstępnej rozmowie następuje przełączenie do innej komórki lub departamentu. Tam osoba prowadząca rozmowę jest proszona o zainstalowanie na komputerze lub innym urządzeniu programu do zdalnego zarządzania pulpitem;
- zbieranie informacji – próba zalogowania się do bankowości elektronicznej kończy się utratą danych uwierzytelniających, w tym loginu i hasła;
- wykorzystanie danych – zdobyte informacje mogą być natychmiast wykorzystane do nieautoryzowanych transakcji, zaciągnięcia kredytu lub kradzieży tożsamości.
Najczęściej środki z rachunku są wykorzystywane poprzez przelewy (zagraniczne, na giełdę kryptowalut, przekaz pieniężny Poczty Polskiej), płatności w internecie lub wypłaty BLIK w bankomacie.
Typowe metody stosowane przez oszustów vishingowych
Większość ataków ma swój początek w masowych wiadomościach SMS zawierających w treści łącza do fałszywych witryn. Warto też zwrócić uwagę na phishing e-mail. Co to jest? Zasadniczo w tego typu atakach oszust wysyła wiadomości, które oprócz linków zawierają często prośbę o dopłatę do przesyłki kurierskiej lub fałszywą fakturę, która tak naprawdę kryje złośliwe oprogramowanie. Niestety natłok firmowych wiadomości często powoduje, że przedsiębiorcy dają się zwieść i nie podejrzewają oszustwa.
Na tym jednak nie kończy się wyobraźnia hakerów w internecie. Na popularności zyskuje wykorzystanie komunikatorów internetowych, mediów społecznościowych czy portali zakupowych. Pomagają one w realizacji scenariuszy rozmów prowadzonych na telefonie, z których najpopularniejsze to:
- podszywanie się pod pracowników banku, policji czy członków rodziny;
- fałszywe alerty o zagrożeniach (np. wykrycie wirusa lub innego zagrożenia na urządzeniu);
- natychmiastowa płatność za rzekome długi;
- informacja o wygranej w fikcyjnym konkursie, wymagająca podania danych osobowych lub finansowych w celu odbioru nagrody.
Rozpoznawanie podejrzanych telefonów – gdzie szukać informacji?
Phishing telefoniczny nie jest jednowymiarowy. W celu poprawy skuteczności podejmowanych działań przestępcy stosują wiele sztuczek, zarówno technicznych, jak i psychologicznych. Ich rozpoznanie jest przez to utrudnione, dlatego warto zwracać uwagę na sygnały, które mogą wskazywać na to, że telefon jest podejrzany. Są nimi:
- numer telefonu nieznany lub wyświetlany jako prywatny;
- nadmierna presja do działania;
- prośba o podanie poufnych informacji;
- błędy językowe lub gramatyczne.
Dobrym pomysłem jest weryfikacja numeru telefonu w internecie, aby upewnić się, czy jest on przypisany do prawdziwej instytucji. Można również skontaktować się z daną placówką, aby zweryfikować autentyczność połączenia.
Jak reagować na próby voice phishingu i gdzie je zgłaszać?
Przede wszystkim należy się kierować generalną zasadą ograniczonego zaufania. Różnorodne przykłady cyberprzestępczości dowodzą, że osoby zajmujące się tworzeniem scenariuszy voice phishingu są kompetentne i wiedzą, jak skutecznie przekonywać ludzi. Jako przedsiębiorca zarządzający zespołem pracowników musisz zadbać, aby wszyscy mieli świadomość zagrożenia i zachowywali czujność. Czasem szybkie tempo pracy powoduje, że sygnały ostrzegawcze umykają uwadze, a niestety pomyłka pracownika może słono kosztować całą firmę.
Dobrymi praktykami chroniącymi interesy osób prywatnych i przedsiębiorstw są:
- przerwanie połączenia, jeśli rozmówca wydaje się podejrzany lub prosi o poufne informacje;
- weryfikacja tożsamości rozmówcy bezpośrednio w danej instytucji;
- zmiana haseł, jeśli podano jakiekolwiek dane logowania;
- zgłoszenie incydentu firmie lub instytucji, która padła ofiarą podszycia się przez przestępców oraz w CERT Polska.
Zabezpieczenie danych osobowych i finansowych
Przestępcy wykorzystujący różne rodzaje cyberprzestępstw są bezwzględni w swoich działaniach. Nie ograniczają się do jakiejś konkretnej grupy osób. Ich ofiarą może stać się każdy, kto choć na chwilę straci czujność i uwierzy w dobre intencje nieznajomego. Jak właściwie zabezpieczać kwestie loginów, haseł czy dostępu do bankowości w firmie? Przede wszystkim nigdy nie należy ich podawać w rozmowie telefonicznej. Zaleca się stosowanie uwierzytelniania dwuskładnikowego oraz regularne monitorowanie kont bankowych. Warto także pamiętać i stale uświadamiać swoich pracowników, jak wielkie konsekwencje niesie ze sobą brak czujności.
Na rynku można znaleźć także wiele rozwiązań, dzięki którym można pozytywnie wpłynąć na poczucie bezpieczeństwa. Są to:
- limity transakcji; automatyczne powiadomienia wysyłane przez banki,
- informujące o przerwach technicznych, zmianach na koncie, płatnościach kartą czy transakcjach BLIK;
- usługi partnerskie gwarantujące wsparcie ekspertów od bezpieczeństwa 24/7 przez różne kanały (e-mail, Messenger, telefon, SMS)
1 https://www.gov.pl/web/baza-wiedzy/krajobraz-bezpieczenstwa-polskiego-internetu-w-2022-roku--raport-roczny-cert-polska
Polecamy
- Jak skutecznie obsługiwać reklamacje?czas czytania4minuty31.07.2024Zastanawiasz się, w jaki sposób skutecznie obsługiwać reklamacje? W takim razie koniecznie obejrzyj wideo, w którym Piotr Wojciechowski przedstawia najistotniejsze etapy tego procesu.
- Bezpieczeństwo informatyczne w firmie - jak bronić się przed zagrożeniami i atakami cyfrowymi z zewnątrz?czas czytania5minuty30.05.2023Martwisz się o cyberodporność swojej firmy? Dowiedz się, z jakimi ryzykami dla sieci IT musisz się liczyć i jak im przeciwdziałać.
- Cybersecurity – czym jest i co się na nie składa?czas czytania3minuty02.07.2024W dzisiejszych czasach każdy może paść ofiarą cyberprzestępców. Dotyczy to również firm, niezależnie od ich wielkości. Jak się zabezpieczyć? Dowiedz się więcej o cyberbezpieczeństwie!
Polecamy
- Przeniesienie konta firmowego do innego banku – jakie kroki należy podjąć?czas czytania4minuty22.07.2024Chcesz zmienić bank, w którym prowadzisz rachunki swojej firmy? Sprawdź, jakich kroków nie możesz pominąć, kiedy decydujesz się na taką zmianę.
- Jak zacząć sprzedawać online?czas czytania6minuty24.07.2024Przymierzasz się do rozpoczęcia sprzedaży na marketplace? W takim razie koniecznie obejrzyj to wideo, w którym Anna Szypryt-Wiśniewska z Allegro podpowiada, jak zwiększyć swoje szanse na sukces!
- Cybersecurity – czym jest i co się na nie składa?czas czytania3minuty02.07.2024W dzisiejszych czasach każdy może paść ofiarą cyberprzestępców. Dotyczy to również firm, niezależnie od ich wielkości. Jak się zabezpieczyć? Dowiedz się więcej o cyberbezpieczeństwie!