Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Dwugodzinna rozmowa telefoniczna kosztowała 46-latkę przeszło 100 000 złotych. Kto był po drugiej stronie? Fałszywy konsultant z banku.
Historie jak ta świeżo opisywana przez Policję, gościły na sekuraku wielokrotnie. W sumie można założyć, że wszyscy wiedzą o temacie. Nie ma zatem co dalej spamować, nuda. Jednak mamy wrażenie, że po pierwsze akcje z „fałszywym konsultantem z banku” przybierają na intensywności oraz jest coraz więcej ofiar.
W każdym razie:
Kobieta odebrała telefon od mężczyzny, który przedstawił się jako pracownik jej banku. Miał wyraźny wschodni akcent. Mężczyzna zapytał o kilka kwestii związanych z logowaniem na konto bankowe, po czym poinformował kobietę, że z jej rachunku złożono wnioski o przyznanie kredytu. Zaoferował swoją pomoc w ich anulowaniu. By usprawnić tę procedurę polecił jej korzystanie z aplikacji, która miała łączyć się z numerem telefonu działu technicznego jej banku. Kobieta wykonywała wszystkie operacje na swoim koncie zgodnie z instruktażem konsultanta, prawdopodobnie skorzystała również z opcji udostępniania ekranu.
Czyli pani uwierzyła losowemu dzwoniącemu „konsultantowi” i dała mu dostęp do konta bankowego? No wykonała pewną podstawową weryfikację (może nawet na prośbę „konsultanta”):
46-latka zweryfikowała numer telefonującego na stronie swojego banku i kontynuowała rozmowę.
No ale jak wiemy, nie ma wielkiego problemu żeby zadzwonić podszywając się pod dowolny numer (również banku) – tzw. spoofing numeru GSM.
Finał całej historii jest oczywiście niewesoły:
Działanie oszustów polegało na przesyłaniu pieniędzy pomiędzy jej rachunkami, przelaniu ich na obce konta, wypłatę środków z bankomatu i zaciągnięcie pożyczki w wysokości 50 tysięcy złotych. Kobieta poniosła straty sięgają prawie 108 tysięcy złotych.
PS
Jeśli chcecie posłuchać jak może brzmieć taki konsultant – zobaczcie poniżej nagranie zrealizowane jakiś czas temu przez pewnego policjanta (oszust podszywa się pod konsultanta banku, skłania niedoszłą ofiarę do zainstalowania oprogramowania, które finalnie zapewni dostęp na komputerze ofiary):
~Michał Sajdak
A system informatyczny banku nie zareagował na nietypowe operacje wykonywane na koncie klienta.
Bank zareaguje jak to będą ich pieniądze.
Systemy bankowe nie są idiotoodporne.
Wlasnie za takie incydenty bank tez powinien ponosić odpowiedzialność a nie tylko poklepać po ramieniu mówiąc przykro mi ale kredyty trzeba spłacać zgroza ten system a oszustów przybywa
Warto byłoby wspomnieć w filmie na YouTube, że AnyDesk czy podobne aplikacje nie zostały napisane żeby nam szkodzić, tylko oszuści wykorzystują je do złych celów. Poza tym, jak policjant powiedział, że oszust będzie na Youtube, to pomyślałem sobie, że tylko tyle jest w stanie mu zrobić. Mógł go chociaż trochę postraszyć. @$##•ππ÷}}}°¥¢£ oszuści !!!
Miałam podobną sytuację dwa dni temu..
Najpierw telefon z BIK, że był wniosek kredytowy w innym banku na moje dane, że blokują wniosek po mojej telefonicznej weryfikacji i wysyłają info do mojego banku (niestety podałam nazwę banku).
Potem telefon od pseudo konsultanta z mojego banku (nr wyświetla się jako bank…), który weryfikował zasady bezpieczeństwa, czy udostępniałam hasło, czy instalowałam aplikację mobilną w nowym telefonie w nowej lokalizacji, czy dokonywałam zakupów na allegro, ali express, olx, takie rutynowe pytania o zwyczaje i potencjalne ustalenie źródła gdzie mogłam utracić dowód by ktoś złożył wniosek w moim imieniu w innym banku itd. Nic bardzo podejrzanego i wymagającego podawania jakichkolwiek danych wrażliwych. Widzę w trakcie rozmowy, że dostęp do konta bankowego mam faktycznie zablokowany i informuje mnie pseudo konsultant, że będę musiała udać się do banku w celu odblokowania i że będzie dzwonić policja, bo sprawa dotyczy oszustwa.
Na razie sytuacja nie wygląda bardzo niepokojąco. Wszyscy podają dane osobowe. Ale chwilę później telefon z policji. Policjant zabronił mi iść do banku fizycznie czym wzbudził moją czujność. Uznał, że to wszyscy pracownicy banku są podejrzani. Że to przez nich moje dane „wyciekły”.. Pan był niesympatyczny, apodyktyczny i nawet nie podobało mu się, że mój partner słyszy naszą rozmowę i komentuje. Wtrąca mu się do śledztwa.. Sprawdziłam na stronie komendy jego nazwisko i niestety nie był wymieniony wśród szefów wydziałów. Rozłączyłam się, w 5 minut dotarłam do banku i wyjaśniłam sprawę. Poszłam również na policję i zostawiłam nr telefonów, z których do mnie dzwoniono.
Co ciekawe Bank rzeczywiście zablokował automatycznie mój dostęp zdalny do konta, podobno śledząc aktywność nr telefonów, które były użyte w przestępstwach wcześniej (jakieś słabe to wytłumaczenie.. ale Pracownik Banku nie był mi w stanie (albo nie chciał) wyjaśnić na jakiej podstawie Bank powziął wiedzę, że coś się niepokojącego dzieje i że trzeba zablokować dostęp – Może ktoś próbował wejść na moje konto, albo zainstalować aplikację, nie wiem).
Sytuacja była mega stresująca, ale na szczęście nic się nie stało! Opisuję ją, bo mam nadzieję, że ktoś nie popełni moich błędów (polegających w ogóle na prowadzeniu rozmów z BIK i bankiem przez telefon bez weryfikacji) i zachowa czujność. Proście zawsze by pracownik banku wysyłał Wam powiadomienie Push z systemu bankowego by potwierdzić swoją tożsamość.
BTW, Czy ktoś wie skąd bank mógł wiedzieć, że dostęp trzeba zablokować? Cały czas mnie to nurtuje?