Uwaga na telefony z banku!

Niestety znowu coraz częściej nasz CERT dostaje informacje o fałszywych telefonach z banków. Oznacza to najpewniej kolejną kampanię ataków, której celem jest zdobycie dostępu do waszych kont bankowych. Jak wspominaliśmy już w grudniu – atakujący wykorzystują tzw. spoofing numeru telefonu, więc numer, który się wyświetla na telefonie jest jak najbardziej prawdziwy. Jak wygląda taki atak? Oto przykład:

Dzwoni telefon. Na wyświetlaczu “ING Bank Śląski”. Odbieram. Standardowo słyszę komunikat o nagrywanych rozmowach.

– Dzień dobry ING Bank Śląski, nazywam się Igor Budziński, czy rozmawiam z Panią Joanną Włodarczyk?

Potwierdzam.

– Dzwonię z Działu Bezpieczeństwa ING. Czy dokonywała Pani przed chwilą przelewu w bankowości elektronicznej na kwotę 600 zł?

Zaprzeczam.

– Transakcja została zablokowana, ponieważ system wykrył oszustwo. Jednak mamy podstawy sądzić, że Pani dane zostały skradzione. Widzę również w systemie wnioski o przyznanie trzech kredytów na Pani rachunku osobistym. Czy składała Pani dziś takie dyspozycje?

Tym razem zaprzeczam bardzo stanowczo i zaczynam się denerwować.

– W takim razie blokujemy te operacje. Proszę o chwilę cierpliwości, muszę się skontaktować z Działem Księgowości. Po kilku minutach otrzymuję informację, że Dział Księgowości wstrzymał wnioski kredytowe i równocześnie przekazano zgłoszenie na Policję. Powtarza mi swoje imię i nazwisko prosząc bym je zanotowała, ponieważ dziś bądź jutro będzie się ze mną kontaktowała Policja.

– Pani Joanno, najprawdopodobniej nastąpiło włamanie na Pani urządzenie, z którego się Pani loguje do banku. Zostało zainfekowane i skradziono Pani dane – również logowania. Połączę Panią z Działem Technicznym i tam zostanie Pani poinstruowana przez naszego specjalistę.

Po chwili zgłasza się miły Pan, przedstawia z imienia i nazwiska, podaje stanowisko i zadaje mi precyzyjne pytania dot. powyższych transakcji, upewniając się, że ich w żaden sposób nie autoryzowałam. Następnie sugeruje mi zdalne przeskanowanie telefonu programem AnyDesk, by zabezpieczyć dane. Program można pobrać ze sklepu Play. W tym momencie zaczynam mieć wątpliwości. Informuję tego technicznego eksperta, że mam obawy co do instalowania zewnętrznych aplikacji, że proszę o zablokowanie wszystkich kont i udam się do oddziału banku. W odpowiedzi informuje, że jak najbardziej jest to możliwe, ale oddziały nie mają narzędzi do zabezpieczania urządzeń z których korzystam, a osobisty kontakt z Działem Bezpieczeństwa jest możliwy na ulicy Sokołowskiej w Katowicach. (siedziba ING Banku Śląskiego znajduje się przy ulicy Sokolskiej – przyp. red.)

Czerwona kontrolka w mojej głowie świeci się coraz mocniej. Informuję, że nie mam pewności z kim rozmawiam. Pan oczywiście rozumie moje obawy, więc poleca bym weszła na stronę ING i sprawdziła w dolnym prawym rogu numer kontaktowy do Banku i porównała z tym, który mi się wyświetla. Potwierdzam zgodność. Zignorowałam swoje przeczucia, zainstalowałam aplikację AnyDesk. Pan specjalista krok po kroku przeprowadził mnie przez wszystkie etapy, a następnie poprosił o cierpliwość gdyż program bankowy skanuje mój telefon by usunąć wirusa. Trwało to kilka minut. W tym czasie, wciąż będąc na linii dostałam sms z banku informujący o zmianie mojego limitu blik.

I to był ten moment. Już nie światełko, a syrena w mojej głowie zawyła “jesteś idiotką!”. Wiem, o wiele za późno, zrobili mnie jak dziecko. Zapytałam Pana czy mogę do niego oddzwonić. Powiedział, że jeszcze nie zakończyły się wszystkie procesy, ale jeżeli będę się czuła spokojniejsza, to oczywiście, że mogę. Rozłączyłam się i wybrałam numer do banku. Połączyłam z Działem Blokowania Kart i po natychmiastowym zablokowaniu operacji internetowych i kont otrzymałam informacje, że zostało założone dziś drugie konto, na które przelano wszystkie moje środki (również z konta Oszczędnościowego) i wysłano wniosek o duplikaty kart. Limit na bliku zwiększono na maksymalny 10 000 zł. Pracownik banku (tym razem rzeczywisty) poinformował mnie, że miałam wyjątkowe szczęście, ponieważ złodzieje podczas połączenia mieli dużo czasu by wyczyścić mi konta, a jednak im to się nie udało. W trakcie rozmowy z prawdziwym bankiem miałam dwie próby połączenia z numeru banku i była próba wypłaty blikiem, ale konto już było zablokowane, więc w ostatniej chwili udało się zapobiec kradzieży. Podobno złodzieje dzwonią również podając się za Biuro Informacji Kredytowej a nawet Policję. Informują, że podejrzewana jest próba wyłudzania kredytu i za chwilę będzie dzwonił ktoś z banku. Należę do osób nieufnych, nie otwieram żadnych podejrzanych linków, stron, e-maili, a mimo to niemal padłam ofiarą oszustów. Na swoje wytłumaczenie mam jedynie fakt, że to doskonale przygotowani technicznie profesjonaliści stosujący bardzo złożone socjotechniki.

***

Historia taka jak powyższa może się przydarzyć każdemu, nawet nam. Nie ma ludzi odpornych na ataki phishingowe, ale zawsze warto się szkolić i zachowywać czujność. Nawet jeśli dzwoni do Was ktoś znajomy, czy zaufany. W końcu kto nie ufa swojemu bankowi…

Pamiętajcie, bank nigdy nie poprosi was przez telefon o zainstalowanie jakiegokolwiek oprogramowania!

A na koniec zostawiamy wam garść rad jak nie zostać ofiarami phishingu:

  1. Rozdziel swoją tożsamość służbową i prywatną – nie używaj numerów i emaili w celach innych, niż do tego przeznaczone.
  2. Bądź podejrzliwy gdy otrzymujesz jakiś załącznik do maila lub link (także w formie grafiki)
  3. Zabezpiecz swój telefon za pomocą hasła, PINu lub biometryki, używaj wielostopniowej weryfikacji, kiedy tylko to możliwe.
  4. Zaktualizuj swój system operacyjny i wszystkie aplikacje, gdy tylko będzie taka możliwość. Nie odkładaj aktualizacji na później.
  5. Nigdy nie publikuj w sieci zbyt szczegółowych informacji na temat swojej pracy lub życia osobistego.

Za historię dziękujemy Julicie Galkowskiej.