Złodzieje dzwonią z prawdziwych numerów banków i okradają konta Polaków
W ostatnich tygodniach spłynęło sporo wiadomości o przekręcie, o którym tak naprawdę już kiedyś opisaliśmy w artykule pt. Przekręty przez telefon. Wygląda jednak na to, że obecnie grasujący po Polsce wariant z “pracownikiem banku i aplikacją mobilną” jest na tyle popularny, że warto poświęcić mu osobny, dedykowany artykuł, który moglibyście wygodnie przesłać wszystkim znajomym i rodzinie w celu ich ostrzeżenia. Najlepiej zrób to już teraz, żebyś potem nie zapomniał.
Dzwoni do Ciebie Twój bank
Wszystko zaczyna się od telefonu. Na ekranie wyświetla się nazwa Twojego banku. Pojawia się dokładnie taki opis dzwoniącego, jaki masz wpisany w książce kontaktowej w smartfonie. O ile oczywiście dodałeś numer banku (np. infolinię) do kontaktów. Jeśli nie dodałeś, to pojawia się numer telefonu, który faktycznie należy do Twojego banku. Numer, który jest podawany na jego oficjalnej stronie internetowej jako numer do kontaktu.
-
- Dzwoniący przedstawia się jako pracownik banku, który dzwoni w istotnej sprawie dotyczącej bezpieczeństwa Twojego rachunku.
Znane nam przypadki to m.in. “ktoś próbował zmienić dane na Pani koncie“, “na Pana karcie pojawiły się nieautoryzowane operacje“. Do naszych Czytelników dzwonili zarówno mężczyźni jak i kobiety.
- Dzwoniący przedstawia się jako pracownik banku, który dzwoni w istotnej sprawie dotyczącej bezpieczeństwa Twojego rachunku.
- “Pracownik banku” informuje, że musi zweryfikować Twoją tożsamość zanim przekaże szczegóły. W trakcie “weryfikacji” wyłudza informacje, które mogą zostać wykorzystane do przeprowadzenia nieautoryzowanej operacji na Twoim rachunku. Może to być np. PESEL i nazwisko panieńskie matki lub inne informacje, które w danym banku pozwolą złodziejowi zainstalować mobilną aplikację banku i podpiąć ją pod rachunek ofiary.
W innych przypadkach, które nam opisano, “pracownik banku” informował o tym, że wycofuje podejrzane zmiany na rachunku, w spawie których dzwonił, ale trzeba tę operację potwierdzić kodem, który “właśnie wysyła na telefon”. Jak się domyślacie, kod dotyczył zupełnie innej dyspozycji, a jego podanie przez ofiarę powodowało, że złodzieje byli wstanie rozpocząć kradzież.
- Czasem “pracownik banku” w prosi o zalogowanie się do banku ale za pomocą “nowej, świeżej aplikacji” lub oferuje na koniec rozmowy “bezpłatny skan antywirusowy“. Ofiarom podsyłane są linki do mobilnej banku (ale fałszywej) lub do TeamViewera, czyli faktycznego narzędzia, które po instalacji i przekazaniu “kodu” wyświetlanego na ekranie pozwoli złodziejowi na podglądanie tego, co ofiara robi na komputerze, w tym przechwytywanie wprowadzanych haseł, bo po instalacji TeamViewera “pracownik banku” prosi o zalogowanie się do banku przy pomocy zwykłej przeglądarki.
Zacytujmy fragmenty kilku wiadomości, jakie w sprawie tego oszustwa otrzymaliśmy od Czytelników:
(otrzymałam telefon) od osób podających się za pracowników banku Millennium tel. 22 598 49 76, wyłudzających dane wrażliwe (w tym imię ojca, datę urodzenia itd.). Po sprawdzeniu numeru w Internecie znaleźć można kilka postów osób (które też próbowano oszukać)
Ktoś prawdopodobnie włamał się do callcenter obslugującego PKO i wychodzi ich centralką VoIP/ich numerem telefonu ze SCAMem. Podają się, za dział bezpieczeństwa PKO Mówią, że zablokowali podejrzany przelew na 800PLN. Proszą o instalację aplikacji TeamViewer QuickSupport na telefonie celem wykrycia wirusów. Dalej nie doszedłem 🙁 Numer ze strony głównej PKO: +48 81 535 60 60
Dostałem telefon rzekomo z działu bezpieczeństwa mBanku informujący mnie o tym, że dokonano podejrzanej transakcji moją kartą na kwotę 800zł. Operacja została na szczęście zablokowana i chcą potwierdzić czy aby na pewno jej dokonałem. Moje pierwsze pytanie, którą kartą (mam kilka sub-kont i kart), Pan z mbanku bez zająknięcia podał mi końcówkę numeru karty, która faktycznie okazała się zgadzać z ostatnimi 4 cyframi mojej karty od mojego prywatnego konta w mBanku. W tym czasie, ja już byłem zalogowany przez komputer na konto, ale tam cisza, żadnych operacji, żadnych blokad na karcie, nic podejrzanego. Zaznaczę, że Pan na początku rozmowy po przedstawieniu się zapytał, czy rozmawia z Panem Pawłem, czyli znali moje imię, numer telefonu i conajmniej 4 ostatni cyfry karty. I tutaj zaczęło się robić ciekawie 🙂 Pan do mnie, że jeżeli nie autoryzuje tej transakcji to oni ją blokują i nie wykonają, dał mi cały, bardzo sensowny wywód o bezpieczeństwie odnośnie używania karty w internecie itd. Po czym zasugerował, że oni mogą mi przeskanować telefon czy aby nie ma na nim wirusów, tutaj już lampka! Sprawdzam numer dzwoniącego i tu zaskoczenie. DZWONIĄ Z NUMERU, KTÓRY JEST NA STRRONIE BANKU 783300800!!!
I dalej było tak jak w waszym artykule, prośba o instalację TeamViewera, po instalacji TeamViewera i połączeniu się z panem z mBanku (tak wiem, juz trochę ryzykowałem), Pan mnie poprosił abym zalogował się do mBanku ale przez przeglądarkę, a nie aplikację, że niby to jest potrzebne do przeskanowania telefonu pod kątem wirusów. No tutaj już oczywiście się zatrzymaliśmy, bo przecież koleś widzi mój pulpit, co za tym idzie widzi klawiature ekranową i naciskane klawisze.Dzwoni ktoś z banku? Rozłącz się i oddzwoń
Podsumujmy.
Jeśli w jakiejkolwiek sprawie zadzwoni do Ciebie ktoś z Twojego banku, to nawet jeśli osoba ta dzwoni z poprawnego numeru, który wyświetla się jak Twój bank, i nawet jeśli zacytuje Cie Twoje poprawne dane, twój adres, końcówkę numeru karty, ROZŁĄCZ SIĘ i natychmiast samodzielnie zadzwoń na infolinię swojego banku, pod numer, który znajdziesz na stronie banku.
Niektóre z banków faktycznie kontaktują się z klientami (np. w celu potwierdzenia autoryzacji przelewu lub oflagowanej przez system antyfraudowy transakcji na karcie płatniczej). Większość prawdziwych rozmówców z banków nie chce powiedzieć w jakiej sprawie dzwoni, dopóki nie upewni się, że rozmawia z właścicielem rachunku, co oznacza, że faktycznie może nastąpić dość PATOLOGICZNA sytuacja, kiedy ktoś dzwoni z banku i prosi klienta o “podanie swoich danych”. Na tym właśnie obecnie bazują oszuści. Można wręcz powiedzieć, że oszustwo ułatwiają wieloletnie praktyki niektórych banków, które wciąż nie widzą niczego niestosownego w wypytywaniu klientów o dane przez telefon.
Na marginesie, jeśli jesteście klientami tego banku, który korzysta z tzw. “hasła telefonicznego” to ustawcie je i ignorujcie wszystkie telefony z banku, jeśli jego pracownik nie rozpocznie rozmowy od podania tego hasła.
Ale jak to możliwe, że oszuści dzwonią z prawdziwego numeru banku?!
Wielokrotnie informowaliśmy, że numery telefonów można spoofować, czyli podrabiać. Od lat widzimy podszywanie się pod znane marki w atakach z wykorzystaniem SMS-ów, ale nic nie stoi na przeszkodzie, aby zadzwonić do kogoś z dowolnego numeru telefonu jaki Ci tylko przyjdzie do głowy.
Zapamiętaj, przestępcy mogą idealnie podrobić numer należący do banku. Bo liczą na to, że ofiara ma ten oficjalny numer infolinii bankowej wpisany w książkę kontaktową, a jeśli nie ma — i ofiara pyta “a skąd mam pewność, że dzwoni Pan z banku” to bezczelnie odpowiadają, aby sprawdzić w internecie na stronie banku, że numer z którego dzwonią jest prawdziwy.
A skąd przestępcy mają resztę moich danych?
Z różnych wycieków, których naprawdę nie brakuje. Ot choćby ten, w ramach którego wyciekły polisy ubezpieczeniowe setek Polaków.
Niestety, musimy przywyknąć do tego, że dane, które podajemy przez internet, nawet w prywatnej rozmowie, czy na formularzu w serwisie “po zalogowaniu”, do którego dostęp mają “tylko pracownicy” danego serwisu, to dane, które za chwilę mogą się stać publicznie dostępne.
0 komentarzy