Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wraca oszustwo, kiedy dzwonią do Ciebie z prawdziwego numeru infolinii bankowej. Agnieszka(*) straciła właśnie 100 000 zł. Uważajcie!
O świeżym scamie informuje Policja:
Kilka dni temu, do 39-latki zadzwonił mężczyzna i podał się za pracownika banku, w którym kobieta posiada konto. Na telefonie wyświetlił się numer infolinii banku, dlatego połączenie nie wzbudziło jej podejrzeń.
O co tutaj chodzi? Zhackowano bank? Nie, ktoś przeprowadził spoofing GSM (czyli podszył się pod numer banku). Niestety w obecnych czasach żeby taką operację wykonać, praktycznie wystarczy znać… numer tego, pod którego chcemy się podszyć. Co więcej jeśli w kontaktach mamy wpisany dany numer jako nasz bank, to wyświetli się informacja o połączeniu z banku!
Wracając do historii, dalej jest niestety już całkiem prosto – atakujący nawet nie prosił o instalację appki na telefonie czy komputerze…:
rzekomy pracownik banku zapytał, czy kobieta złożyła wniosek kredytowy. Po zaprzeczeniu przez 39-latkę, rozmówca podał, że w takim razie zrobiła to osoba trzecia w jej imieniu
Jaka była rada przestępcy dotycząca rzekomych problemów? Przelanie środków na „rachunek techniczny” [należący do przestępców]:
Zgodnie z podaną procedurą, 39-latka przelała wszystkie swoje oszczędności na podane konto. Dodatkowo zaciągnęła dwa kredyty, gdzie wszystkie środki przekazała na „konto techniczne”. Cała procedura, w tym rozmowy telefoniczne, trwały dwa dni. Drugiego dnia rozmowę prowadził mężczyzna, który poinformował kobietę, że przez 24 godziny, nie może się logować na swoje nowe konto bankowe, ponieważ będzie pod obserwacją policji internetowej.
Praktyczne rady w takiej sytuacji?
- jeśli dzwoni do Was bank, informując np. o jakimś problemie bezpieczeństwa rozłączcie się, sami wybierzcie numer telefonu do banku i sprawdźcie czy ktoś nie próbuje Was oszukać
- niektóre banki (np. mBank / PKO BP / Millenium), w momencie gdy dzwoni prawdziwy konsultant, posiadają możliwość wygenerowania potwierdzenia w appce mobilnej (warto więc mieć appkę mobilną banku). Wygląda to np. tak:
~ms
Niestety mBank stosuje autoryzację pracownika w aplikacji, tylko jeśli dzwoni pracownik oddziału. Jeśli dzwoni podwykonawca na zlecenie, to nie ma takiej możliwości. Podwykonawca proponuje, żeby zweryfikować jego tożsamość na mLinii (podając numer telefonu oraz imię i nazwisko) a on sam oddzwoni kolejnego dnia roboczego. Pracownik mLinii conajwyżej sprawdzi czy ma taki numer w książce telefonicznej, ale już nie potwierdzi, że taki kontakt miał miejsce. Czyli dalej spoofing pełną gębą.
mBank nie uważa tego za problem i nie planują rozszerzenia autoryzacji przez aplikacji, dodania hasła zwrotnego lub przynajmniej weryfikowania, że to faktycznie konsultant dzwonił, zamiast sprawdzać w książce telefonicznej.
Podwykonawca?!? To komu oni dane udostępniają?
Call center które ma tylko przedstawić ofertę, wypełnić formularz sprzedaży oferty i zgarnąć $$ za wypełnienie leada.
No niestety. Do mnie raz też zadzwoniono z numeru który wyświetlał się jako bank. Dzwoniono z „ofertą” tylko trzeba było przeprowadzić weryfikację. Z zaskoczenia numer PESEL niestety podałem, ale pewnie już gdzieś śmiga. Ale gdy zapytano o serie dowodu to zapaliła mi się czerwona lampka.
Dziwne, że oszuści zawsze trafiają na kogoś co trochę gotówki ma na koncie. Chyba, że wszyscy mają po kilka 100k. W sumie to nie duża kwota w dzisiejszych czasach.
A myślisz, że oni dzwonią do 2 czy 3 osób i trafiają w tych z dużą kasą na koncie? Nie wiem ile telefonów wykonują, ale obstawiam, że idzie to w setki. Nie każdy da się oszukać, a jak już to może mieć na koncie jakieś „grosze” i nawet tego nie zgłosi, albo też media nie wspominają, że ktoś stracił 300 zł.
Do mnie też dzwonili. Najpierw zadzwonili z numeru vivusa że ktoś złożył wniosek o kredyt i dzwonią w celu potwierdzenia. Powiedziałem że nie składałem takiego wniosku. To powiedział gościu że sprawa zostanie zgłoszona do banku i że ktoś się z mną skontaktuje. Potem zadzwonili z z numeru infolinii bnp pariba. Tam inny gościu powiedział że sprawa będzie zgłoszona na policję i zadzwoni do mnie policja. Ale już nie zadzwonili bo za dużo pytań zadawałem. Ale prawdopodobnie jak ktoś by łykną to pewnie 3 telefon byłby ostatnim i by kasę od mnie ściągali.
Najgorsze jest to że nikt tego nie podejmuje nawet ścigać. Poszedłem na komendę to mieli to w d…
@ Zen
Na naiwność, niewiedzę i brak ostrożności klientów nie pomoże żadna technologia. Banki wprowadzają coraz większą ilość wymyślnych technologicznie zabezpieczeń, a ilość kradzieży rośnie.
@aCzemu @MrVik
Oszuści działają na podobnej zasadzie jak sprzedawcy. Mają dużą bazę „potencjalnych klientów” stworzoną na podstawie różnych wycieków (Facebook, LinkedIn itp.) a następnie wykonują dużą ilość telefonów. Jeden z oszustów wciągnięty kiedyś w rozmowę powiedział, że nabiera się bardzo niewielki odsetek osób. Nazwał ich turbogamoniami.