Czym jest vishing i jak się bronić?

Co robimy, gdy dzwoni do nas nieznany numer? W przypadku połączeń oznaczonych jako „spam” sprawa jest prosta. Większość osób je ignoruje, albo od razu odrzuca. Ale gdy numer nie wygląda podejrzanie, budzi się w nas ciekawość i niepokój. Może to coś ważnego, może coś się stało? Odbieramy. I rzeczywiście – to z banku. Pracownik informuje, że ktoś próbuje zaciągnąć kredyt na nasze dane i musi szybko wdrożyć  procedurę bezpieczeństwa. W celu identyfikacji prosi o podane numeru PESEL i PIN-u karty. Przekazujemy informacje i… cisza – połączenie zakończone. Właśnie padliśmy ofiarą vishingu. Czym jest vishing i jak się bronić? Wyjaśniamy. Warto jednocześnie wiedzieć, że to nie jedyny sposób oszustwa, dodatkowo polecamy przeczytanie artykułu – Oszustwa internetowe, czyli jak próbują nas okraść?

Czym jest vishing i jak się bronić?

Vishing to oszustwo polegające na podszywaniu się podczas rozmowy telefonicznej pod zaufaną osobę/podmiot w celu wyłudzenia danych i/lub pieniędzy. Jest odmianą phishingu – słowo vishing powstało od wyrażenia voice phishing (phishing głosowy). Oszust może podawać się za pracownika banku, organy ścigania, lekarza, urzędnika, doradcę inwestycyjnego, a nawet znajomego lub kogoś z rodziny.

Vishing – jakie techniki stosują przestępcy?

Podczas ataku przestępcy wykorzystują różne sztuczki socjotechniczne. Mówiąc prościej – manipulują i grają na emocjach ofiary, by osiągnąć swój ukryty cel, tj. wykraść dane i/lub pieniądze.

Uwiarygodnienie sytuacji

Przestępcy najczęściej są dobrze przygotowani do rozmowy. Już nie tylko podają się za osoby godne zaufania – pracownika banku, organów ścigania, czy instytucji społecznych, ale często wykorzystują także tzw. spoofing. Podszywają się pod zaufane numery telefonów. Polega to na tym, że rozmówcy wyświetla się znany i zaufany numer, a faktyczne połączenie wykonywane jest z zupełnie innego numeru. Dla wielu osób taki komunikat wystarczy, by zaufać rozmówcy.  

Dodatkowo podczas rozmowy przestępca może podać poprawne dane ofiary – imię i nazwisko, adres zamieszkania, PESEL, czy numer rachunku.

Zatem sytuacja może wyglądać tak, że ofierze wyświetla się numer banku, dzwoniący podaje się za pracownika banku. W celu identyfikacji prosi ofiarę o potwierdzenie swoich danych, które okazują się w pełni poprawne. Wszystko wygląda całkiem bezpiecznie. No właśnie – tylko wygląda.

Fakt, że rozmówca zna nasze personalia, adres, czy nawet PESEL nic nie znaczy. Przecież wcześniej mógł wykraść je z systemu banku lub pozyskać z innego źródła. Niestety, tego typu dane nie są tak trudno dostępne, jak mogłoby się nam wydawać.

Nakłonienie ofiary do podjęcia konkretnych działań

Z reguły w czasie rozmowy przestępca używa skomplikowanych i groźnie brzmiących wyrażeń. Wyolbrzymia skalę zagrożenia. Próbuje tym samym wzbudzić lęk, poczucie utraconej szansy, a czasem nawet poczucie wdzięczności, np. kiedy oszust kreuje się jako dobra dusza, która chce uchronić rozmówcę przed nieszczęściem. Wykorzystuje element zaskoczenia i nalega, by jak najszybciej podjąć środki zaradcze, np.:

• podać dane do logowania, PIN karty, kod CVV/CVC lub inne poufne dane;
• wykonać przelew na „bezpieczny” rachunek;
• zainstalować aplikację;
• zaciągnąć kredyt.

Powyższe zabiegi mają wyprowadzić ofiarę z równowagi, odebrać jej czas na przemyślenia (tj. nabranie podejrzeń) i skłonić do podjęcia pochopnych kroków.

Przykłady vishingu – czym jest vishing i jak się bronić?

Warto mieć świadomość, że atak nie musi ograniczać się do jednej rozmowy telefonicznej, a oszust nie musi działać w pojedynkę. Co więcej – nie zawsze dzwoni człowiek. Często są to wieloetapowe, starannie przemyślane i dobrze zorganizowane akcje. Przestępcy potrafią posunąć się do bardzo wyrafinowanych działań i zmieniać plan w zależności od tego, jak reaguje rozmówca. Oszuści stosują typowe ataki socjotechniczne, aby nakłonić ofiarę do działania.

Dla zobrazowania, jak bardzo „kreatywni” potrafią być oszuści, poniżej opisujemy kilka przykładowych scenariuszy.

Przykład 1 – udaremnione oszustwo

Podczas pierwszej rozmowy oszust podaje się, np. za pracownika banku i namawia ofiarę do inwestycji, kredytu, itp. Ofiara odmawia, rozłącza się, a po jakimś czasie otrzymuje kolejny telefon. To policjant, który informuje, że wcześniejsza rozmowa to próba oszustwa. Dodaje, że nasze pieniądze są zagrożone i, że trzeba przesłać je na „bezpieczne” konto.

Przykład 2 – „rozmowa” z automatem

Otrzymujemy SMS-a z informacją o blokadzie konta i z prośbą o pilny kontakt pod wskazany numer. Po nawiązaniu połączenia słyszymy automat, a nie człowieka – tak jak często ma to miejsce, np. gdy dzwonimy na infolinię banku. Musimy wcisnąć konkretny przycisk, by połączyć się z odpowiednim działem. Naciskamy przycisk i zostajemy przekierowani do wybranego działu.

Jednak zanim połączymy się z właściwym konsultantem, musimy przejść proces weryfikacji. Automat prosi o wpisanie PESEL-u i zatwierdzeniu go symbolem #. Procedura wygląda standardowo, więc spełniamy prośbę. W odpowiedzi słyszymy zapewnienie, że zaraz połączymy się z działem bezpieczeństwa, ale musimy jeszcze podać, np. login do bankowości, numer rachunku itp. Zniecierpliwieni przekazujemy dane i…połączenie się urywa.

Oszuści uzyskali informacje, dzięki którym łatwiej włamią się nasze konto lub wykorzystają je podczas kolejnego ataku.

Przykład 3 – rozmowa z działem technicznym

Oszust podaje się za pracownika banku i informuje, że ktoś próbował zaciągnąć pożyczkę na nasze dane/ wykonać przelew/ wypłacić większą kwotę lub zlecić inną podejrzaną operację. Jednocześnie zapewnia, że dzwoni, by zapobiec utracie środków. Następnie przekierowuje nas do działu bezpieczeństwa/technicznego (lub podobnego).

Odzywa się kolejna osoba – pracownik wspomnianego działu. I tutaj w zależności od przebiegu rozmowy, oszust może zaproponować nam różne „procedury bezpieczeństwa”, np.:

• zainstalowanie dodatkowej aplikacji/oprogramowania, a następnie zalogowanie się do serwisu transakcyjnego banku, by zweryfikować podejrzaną operację;
• przelanie środków z konta na specjalny rachunek techniczny;
• podanie kodu BLIK;
• wypłatę środków w bankomacie, a następnie ich wpłatę na wskazany rachunek.

Gdy zainstalujemy na swoim urządzeniu polecony przez rozmówcę program, uzyska on zdalny dostęp do naszego urządzenia. Zobaczy więc także wpisywane przez nas dane do logowania. Może także prosić o potwierdzenie próby logowania, tj. przekazanie kodu SMS, czy zatwierdzenie w aplikacji. A następnie, dzięki uzyskanym informacjom, przeleje środki na swój rachunek.

Oczywiście, jeśli wykonamy którąś z 3 pozostałych propozycji, efekt będzie podobny. Ale tym razem sami oddamy nasze pieniądze w ręce oszustów.

Inne przykłady – czym jest vishing i jak się bronić?

Pamiętajmy, że przestępcy wymyślają przeróżne przyczyny rozmów. Co prawda, często są to bankowe tematy, np.

• blokada karty, konta bankowego;
• konieczność potwierdzenia przelewu;
• kradzież tożsamości;
• wykrycie nieautoryzowanej operacji;
• awaria techniczna;
• zaległości w opłatach – widmo egzekucji komorniczej.

Jednak rozmowa nie musi być bezpośrednio związana z finansami. Niekiedy pretekstem do nawiązania kontaktu telefonicznego może być, np.:

• nagły wypadek lub pilna operacja bliskiej nam osoby;
• konieczność wniesienia kaucji za bliską osobę;
• tajna operacja policji – mamy pomóc w ujęciu przestępcy;
• konieczność weryfikacji konta na portalu sprzedażowym – bez tego nie otrzymamy zapłaty od kupującego;
• problem z wypłatą emerytury (oszust podaje się za pracownika ZUS-u);

Ponadto nie zawsze temat rozmowy musi dotyczyć trudnych sytuacji. Niekiedy usłyszany komunikat może wzbudzić w nas pozytywne emocje. Raczej nie odczujemy strachu, czy lęku kiedy rozmówca, np.:

• przedstawi nam wyjątkowo atrakcyjną ofertę inwestycyjną, czy kredytową;
• zachęci nas do wzięcia udziału w loterii;
• poinformuje nas, że wygraliśmy samochód, wycieczkę.

Pamiętajmy, że choć powód i przebieg rozmowy może być różny, to cel ataku zawsze jest taki sam – wyłudzenie danych i/lub pieniędzy.

Jak rozpoznać próbę vishingu?

Przestępcy bardzo starają się uwiarygodnić swój atak. Nie tylko podają się za zaufane osoby, ale wykorzystują też wspominany wcześniej spoofing. Wówczas na telefonie ofiary wyświetla się znany numer (np. infolinii banku) albo nazwa instytucji (np. Policja, Bank XYZ, Urząd Skarbowy, ZUS). Nic dziwnego, że odbieramy taki telefon. Niewykluczone, że rzeczywiście dzieje się coś, co wymaga interwencji.

Ważne, by nie wierzyć ślepo w to, co słyszymy. Zawsze z tyłu głowy warto mieć świadomość, że może to być próba oszustwa. Tutaj nasuwa się pytanie – jak ją rozpoznać? Czy w ogóle da się odróżnić vishing od faktycznego kontaktu ze strony banku, policji, komornika? To trudne, ale możliwe. Poniżej wymieniamy, jakie sygnały alarmowe powinny wzbudzić naszą czujność.

1. Wywieranie presji i nakłanianie do podjęcia pilnych działań – wyrażenia typu: Zostało niewiele czasu, Trzeba działać szybko, To ostatnia szansa.
2. Wyolbrzymianie zagrożenia i podkreślanie negatywnych skutków naszej bierności.
3. Prośba o podanie poufnych danych, np. numeru karty, kodu CVV/CVC, loginu i hasła do bankowości, kodów autoryzacyjnych.
4. Zachęcanie do zainstalowania dodatkowego programu/aplikacji, który ma ułatwić szkolenie z inwestowania, pomóc w przywróceniu bezpieczeństwa itp.
5. Prośba o zlecenie przelewu na konto techniczne, podanie kodu BLIK, wypłatę pieniędzy.
6. Dzwoniący mówi nieskładnie. Można zauważyć niekonsekwencję w wypowiedzi.

Jak nie paść ofiarą? Czym jest vishing i jak się bronić?

Na ataki vishingowe narażony jest każdy. Warto więc wiedzieć, co robić a czego nie robić, kiedy odbieramy nietypowy telefon oraz, o co nigdy nie zapyta pracownik banku. Poniżej kilka wskazówek.

1. Nigdy nie podawać osobom postronnym danych, które powinny być znane tylko nam – login i hasło do bankowości, PIN karty, kod CVV/CVC itp.
2. Nie ulegać presji i nie podejmować pochopnych kroków.
3. Nie korzystać z linków, kodów QR, załączników udostępnianych przez rozmówcę.
4. Nie instalować dodatkowych aplikacji/programów za namową rozmówcy.
5. Uważnie słuchać rozmówcy i analizować jego każde słowo. Dzięki temu wyłapiemy ewentualne nieścisłości, czy błędy.
6. Jeśli nie mamy pewności, z kim rozmawiamy, lepiej rozłączyć się, sprawdzić numer (np. na stronie banku, urzędu itp.), a potem wybrać numer samodzielnie na klawiaturze.
7. Nie dzwonić pod numer przesłany w SMS-ie i nie oddzwaniać na numer, z którego dzwonił potencjalny oszust.
8. Dokładnie czytać treść powiadomień i wiadomości autoryzacyjnych z banku.
9. Nie zlecać i nie zatwierdzać żadnych dyspozycji za namową rozmówcy.
10. Poprosić o potwierdzenie tożsamości rozmówcy – niektóre banki z naszego rankingu kont osobistych wprowadziły rozwiązania, które to ułatwiają. Dla przykładu w BNP Paribas oraz mBanku obowiązuje mobilne potwierdzenie tożsamości pracownika. Jak to działa? Konsultant wysyła powiadomienie w aplikacji banku. Po zalogowaniu użytkownik widzi dane rozmówcy. Jeśli są poprawne, może zatwierdzić powiadomienie i bezpiecznie kontynuować rozmowę.

Pamiętajmy, że pracownik banku nigdy nie poprosi:

• o podanie takich informacji jak: login i hasło do bankowości internetowej/aplikacji banku, pełny numer karty, kod CVV/CVC, PIN karty;
• o zdalny dostęp do komputera, czy zainstalowanie dodatkowego oprogramowania;
• o podanie kodu BLIK;
• o wykonanie przelewu;
• o wpłatę lub wypłatę środków.

Każda tego typu prośba to znak, że mamy do czynienia z przestępcą. W takiej sytuacji najlepiej rozłączyć się i powiadomić o próbie oszustwa instytucję, pod którą próbowano się podszyć.

Padłem ofiarą vishingu – co robić?

Gorszy dzień, przypływ silnych emocji, chwila zaćmienia – czasami tyle wystarczy, by podać o jedną informację za dużo. Co robić, kiedy zorientujemy się, że daliśmy się oszukać?

W takiej sytuacji warto:

1. Skontaktować się z bankiem i zabezpieczyć wszystkie karty oraz rachunki, do których oszust uzyskał lub może uzyskać dostęp (np. zastrzec/zablokować karty).
2. Zmienić hasła do bankowości internetowej.
3. Monitorować transakcje na rachunku.
4. Zgłosić sprawę do organów ścigania.
5. Zastrzec PESEL – jeśli wcześniej się na to nie zdecydowaliśmy.
6. Zgłosić incydent do zespołu CERT Polska.

Pamiętajmy, by nie zwlekać z podjęciem odpowiednich kroków. Im szybsza reakcja, tym większa szansa, że uchronimy nasze pieniądze lub chociaż ograniczymy straty. Dodatkowo polecamy nasz artykuł – Zasady bezpiecznego korzystania z konta bankowego

Autor artykułu

Michał Król

Pozostałe publikacje autora

Z wykształcenia finansista. Posiada wieloletnie doświadczenie w instytucjach finansowych i bankach. Czuwa nad merytorycznymi aspektami artykułów. Potrafi w jasny i prosty sposób wyjaśnić nawet zawiłe aspekty świata finansów. Na bieżąco śledzi nowości w świecie Fintechów i podpowiada jak najlepiej wykorzystywać funkcje poszczególnych z nich. Lubi Podróże, zainteresowany jest światem inwestycji i jest pasjonatem Lotnictwa.