Voice phishing (vishing) – jak nie dać się oszukać?

3 min

młoda kobieta rozmawia przez telefon

Polacy coraz częściej korzystają z zaawansowanych rozwiązań cyfrowych. Rodzi to duże wyzwania w zakresie bezpieczeństwa w sieci. Starają się to wykorzystać przestępcy, którzy każdego dnia szukają nowych metod na wyłudzenie danych i pieniędzy. Zgodnie z danymi CERT Polska najczęściej zgłaszanym incydentem jest oszustwo typu phishing1. Co to jest, jak przebiega i w jaki sposób należy reagować?

Mechanizmy działania voice phishingu

Voice phishing (po polsku: oszustwo głosowe) opiera się na technikach socjotechnicznych, które mają na celu zmanipulowanie ofiary w taki sposób, aby dobrowolnie przekazała swoje poufne informacje. Oszuści często podszywają się pod pracowników banków, firm telekomunikacyjnych, instytucji rządowych lub innych zaufanych organizacji, aby wzbudzić zaufanie ofiary.

Mechanizm działania vishingu zazwyczaj obejmuje następujące kroki:

  • przygotowanie – przestępca zbiera informacje na temat potencjalnej ofiary, takie jak numer telefonu, powiązany bank, imię i nazwisko oraz inne dane, które mogą pomóc w wiarygodnym przedstawieniu się;
  • kontakt telefoniczny – oszust dzwoni do ofiary, podszywając się pod zaufaną instytucję. Często korzysta z technik manipulacyjnych, takich jak stresogenne sytuacje (np. pragnie poinformować rozmówcę o próbie wykonania przelewu z jej rachunku), groźby lub obietnice korzyści, aby skłonić ofiarę do ujawnienia poufnych informacji;
  • przełączanie rozmowy – po wstępnej rozmowie następuje przełączenie do innej komórki lub departamentu. Tam osoba prowadząca rozmowę jest proszona o zainstalowanie na komputerze lub innym urządzeniu programu do zdalnego zarządzania pulpitem;
  • zbieranie informacji – próba zalogowania się do bankowości elektronicznej kończy się utratą danych uwierzytelniających, w tym loginu i hasła; 
  • wykorzystanie danych – zdobyte informacje mogą być natychmiast wykorzystane do nieautoryzowanych transakcji, zaciągnięcia kredytu lub kradzieży tożsamości.

Najczęściej środki z rachunku są wykorzystywane poprzez przelewy (zagraniczne, na giełdę kryptowalut, przekaz pieniężny Poczty Polskiej), płatności w internecie lub wypłaty BLIK w bankomacie. 

Typowe metody stosowane przez oszustów vishingowych

Większość ataków ma swój początek w masowych wiadomościach SMS zawierających w treści łącza do fałszywych witryn. Warto też zwrócić uwagę na phishing e-mail. Co to jest? Zasadniczo w tego typu atakach oszust wysyła wiadomości, które oprócz linków zawierają często prośbę o dopłatę do przesyłki kurierskiej lub fałszywą fakturę, która tak naprawdę kryje złośliwe oprogramowanie. Niestety natłok firmowych wiadomości często powoduje, że przedsiębiorcy dają się zwieść i nie podejrzewają oszustwa.

Na tym jednak nie kończy się wyobraźnia hakerów w internecie. Na popularności zyskuje wykorzystanie komunikatorów internetowych, mediów społecznościowych czy portali zakupowych. Pomagają one w realizacji scenariuszy rozmów prowadzonych na telefonie, z których najpopularniejsze to:

  • podszywanie się pod pracowników banku, policji czy członków rodziny;
  • fałszywe alerty o zagrożeniach (np. wykrycie wirusa lub innego zagrożenia na urządzeniu);
  • natychmiastowa płatność za rzekome długi; 
  • informacja o wygranej w fikcyjnym konkursie, wymagająca podania danych osobowych lub finansowych w celu odbioru nagrody.

Rozpoznawanie podejrzanych telefonów – gdzie szukać informacji?

Phishing telefoniczny nie jest jednowymiarowy. W celu poprawy skuteczności podejmowanych działań przestępcy stosują wiele sztuczek, zarówno technicznych, jak i psychologicznych. Ich rozpoznanie jest przez to utrudnione, dlatego warto zwracać uwagę na sygnały, które mogą wskazywać na to, że telefon jest podejrzany. Są nimi:

  • numer telefonu nieznany lub wyświetlany jako prywatny;
  • nadmierna presja do działania; 
  • prośba o podanie poufnych informacji; 
  • błędy językowe lub gramatyczne. 

Dobrym pomysłem jest weryfikacja numeru telefonu w internecie, aby upewnić się, czy jest on przypisany do prawdziwej instytucji. Można również skontaktować się z daną placówką, aby zweryfikować autentyczność połączenia.

Jak reagować na próby voice phishingu i gdzie je zgłaszać?

Przede wszystkim należy się kierować generalną zasadą ograniczonego zaufania. Różnorodne przykłady cyberprzestępczości dowodzą, że osoby zajmujące się tworzeniem scenariuszy voice phishingu są kompetentne i wiedzą, jak skutecznie przekonywać ludzi. Jako przedsiębiorca zarządzający zespołem pracowników musisz zadbać, aby wszyscy mieli świadomość zagrożenia i zachowywali czujność. Czasem szybkie tempo pracy powoduje, że sygnały ostrzegawcze umykają uwadze, a niestety pomyłka pracownika może słono kosztować całą firmę.

Dobrymi praktykami chroniącymi interesy osób prywatnych i przedsiębiorstw są:

  • przerwanie połączenia, jeśli rozmówca wydaje się podejrzany lub prosi o poufne informacje;
  • weryfikacja tożsamości rozmówcy bezpośrednio w danej instytucji;
  • zmiana haseł, jeśli podano jakiekolwiek dane logowania;
  • zgłoszenie incydentu firmie lub instytucji, która padła ofiarą podszycia się przez przestępców oraz w CERT Polska.

Zabezpieczenie danych osobowych i finansowych

Przestępcy wykorzystujący różne rodzaje cyberprzestępstw są bezwzględni w swoich działaniach. Nie ograniczają się do jakiejś konkretnej grupy osób. Ich ofiarą może stać się każdy, kto choć na chwilę straci czujność i uwierzy w dobre intencje nieznajomego. Jak właściwie zabezpieczać kwestie loginów, haseł czy dostępu do bankowości w firmie? Przede wszystkim nigdy nie należy ich podawać w rozmowie telefonicznej. Zaleca się stosowanie uwierzytelniania dwuskładnikowego oraz regularne monitorowanie kont bankowych. Warto także pamiętać i stale uświadamiać swoich pracowników, jak wielkie konsekwencje niesie ze sobą brak czujności.

Na rynku można znaleźć także wiele rozwiązań, dzięki którym można pozytywnie wpłynąć na poczucie bezpieczeństwa. Są to:

  • limity transakcji; automatyczne powiadomienia wysyłane przez banki,
  • informujące o przerwach technicznych, zmianach na koncie, płatnościach kartą czy transakcjach BLIK;
  • usługi partnerskie gwarantujące wsparcie ekspertów od bezpieczeństwa 24/7 przez różne kanały (e-mail, Messenger, telefon, SMS)
  •  

1 https://www.gov.pl/web/baza-wiedzy/krajobraz-bezpieczenstwa-polskiego-internetu-w-2022-roku--raport-roczny-cert-polska

Czy ten artykuł był przydatny?
średnia: 0 | 0 ocen

Przeglądaj tematy

  • #na startwięcej artykułów z tagiem:#na start
  • #bizneswięcej artykułów z tagiem:#biznes
  • #podatkiwięcej artykułów z tagiem:#podatki
  • #marketingwięcej artykułów z tagiem:#marketing
  • #prawowięcej artykułów z tagiem:#prawo
  • #strategiawięcej artykułów z tagiem:#strategia
  • #pracownicywięcej artykułów z tagiem:#pracownicy
  • #księgowośćwięcej artykułów z tagiem:#księgowość
  • #wideowięcej artykułów z tagiem:#wideo
  • #finansowaniewięcej artykułów z tagiem:#finansowanie
  • #sprzedażwięcej artykułów z tagiem:#sprzedaż
  • #ekowięcej artykułów z tagiem:#eko
  • #markawięcej artykułów z tagiem:#marka
  • #ESGwięcej artykułów z tagiem:#ESG
  • #pomysł na bizneswięcej artykułów z tagiem:#pomysł na biznes
  • #e-commercewięcej artykułów z tagiem:#e-commerce
  • #zmiany w prawiewięcej artykułów z tagiem:#zmiany w prawie
  • #wsparcie dla firmwięcej artykułów z tagiem:#wsparcie dla firm
  • #internetwięcej artykułów z tagiem:#internet
  • #automatyzacjawięcej artykułów z tagiem:#automatyzacja
  • #przewodnikwięcej artykułów z tagiem:#przewodnik
  • #AIwięcej artykułów z tagiem:#AI
  • #samodzielna księgowośćwięcej artykułów z tagiem:#samodzielna księgowość
  • #SEOwięcej artykułów z tagiem:#SEO
  • #ZUSwięcej artykułów z tagiem:#ZUS
  • #leasingwięcej artykułów z tagiem:#leasing
  • #service designwięcej artykułów z tagiem:#service design
  • #instrukcjawięcej artykułów z tagiem:#instrukcja
  • #dokumentywięcej artykułów z tagiem:#dokumenty
  • #oszczędnościwięcej artykułów z tagiem:#oszczędności
  • #kredytwięcej artykułów z tagiem:#kredyt
  • #RODOwięcej artykułów z tagiem:#RODO
  • #fakturywięcej artykułów z tagiem:#faktury
  • #dotacjewięcej artykułów z tagiem:#dotacje
  • #bankowośćwięcej artykułów z tagiem:#bankowość
  • #ITwięcej artykułów z tagiem:#IT
  • #technologiewięcej artykułów z tagiem:#technologie
  • #google analyticswięcej artykułów z tagiem:#google analytics
  • #kontrahentwięcej artykułów z tagiem:#kontrahent
  • #media społecznościowewięcej artykułów z tagiem:#media społecznościowe
  • #ochrona środowiskawięcej artykułów z tagiem:#ochrona środowiska
  • #Polski Ładwięcej artykułów z tagiem:#Polski Ład
  • #umowywięcej artykułów z tagiem:#umowy
  • #analizawięcej artykułów z tagiem:#analiza
  • #ubezpieczeniewięcej artykułów z tagiem:#ubezpieczenie
  • #faktoringwięcej artykułów z tagiem:#faktoring
  • #badaniewięcej artykułów z tagiem:#badanie
  • #długiwięcej artykułów z tagiem:#długi
  • #USwięcej artykułów z tagiem:#US
  • #konkurencjawięcej artykułów z tagiem:#konkurencja
  • #wynagrodzeniawięcej artykułów z tagiem:#wynagrodzenia
  • #podcastwięcej artykułów z tagiem:#podcast
  • #CEIDGwięcej artykułów z tagiem:#CEIDG
  • #inwestycjewięcej artykułów z tagiem:#inwestycje
  • #urlopywięcej artykułów z tagiem:#urlopy
  • #płynność finansowawięcej artykułów z tagiem:#płynność finansowa
  • #webinarwięcej artykułów z tagiem:#webinar
  • #zdolność kredytowawięcej artykułów z tagiem:#zdolność kredytowa
  • #zakupywięcej artykułów z tagiem:#zakupy
  • #REGONwięcej artykułów z tagiem:#REGON
  • #kosztywięcej artykułów z tagiem:#koszty
  • #współpracawięcej artykułów z tagiem:#współpraca
  • #SEMwięcej artykułów z tagiem:#SEM
  • #gwarancjawięcej artykułów z tagiem:#gwarancja