Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
Wojtek: „właśnie ktoś dzwonił podając się za pracownika PKOBP i twierdził, że wypełniono wniosek o kredyt na moje dane.” Uwaga na ten scam.
Zobaczcie na tę relację. Fałszywy konsultant dzwoniący rzekomo z banku zachowuje się całkiem profesjonalnie:
Rozmowa była bardzo miła i grzeczna, pan sprawiał wrażenie, jakby faktycznie chciał pomóc. Ale nie chciał.
(…) twierdził, że wypełniono wniosek o kredyt na moje dane. Imię, nazwisko, mail i numer telefonu miał prawidłowe, ale na pytanie o PESEL już nie odpowiedział. (…) Pytał o inne banki, których jestem klientem, żeby im wysłać info
Można się zastanawiać skąd przestępcy mają nasze podstawowe dane? (nr telefonu powiązany z imieniem / nazwiskiem / mailem). Odpowiedź jest dość prosta – tego typu informacje znajdują się w rozmaitych bazach wyciekowych.
Co więcej Wojtek otrzymał też następującego SMSa. Wygląda całkiem realnie, prawda? Nadawca to PKOBP, prawdziwy link do BIKu… Chwila chwila, nazwa PKOBP została sfałszowana (można to bez większego problemu robić w kontekście SMSów).
No dobra, zastanawiają się pewnie niektórzy z czytelników, ale w jaki sposób dochodzi tutaj do oszustwa? Odpowiedź znajdziemy w podobnym przypadku, który opisywaliśmy jakiś czas temu: Sebastian został ostrzeżony o pożyczce, na którą niby złożył wniosek. Przestępcom prawie udało się wyczyścić całe jego konto bankowe.
W skrócie – jeśli ktoś dostanie informację, że niby brał kredyt, chce to „odkręcić”. I tutaj z pomocą przychodzą przestępcy (ci sami którzy dzwonią ostrzegając o rzekomym kredycie):
Pani poinformowała, że w związku z wyciekiem moich danych i próbą wzięcia na mnie kredytu, moje środki zostaną zablokowane na 48 godzin. Abym jednak mógł w najbliższych dniach normalnie dokonywać zakupów, zostanie uruchomiony dla mnie RACHUNEK REZERWOWY.
Wszystkie środki na nim będą chronione. Oczywiście numer tego rachunku rezerwowego przyszedł SMSem, od nadawcy podszywającego się pod bank.
Przy okazji warto weryfikować dzwoniących konsultantów bankowych – takie funkcje w appce bankowej posiada PKO BP, mBank, PEKAO SA czy Bank Millenium.
Jeśli chcielibyście prześledzić więcej tego typu scenariuszy i w każdym przypadku wiedzieć jak się chronić – zapraszamy na: szkolenie cyberawareness od sekuraka. Specjalna edycja dla firm. Całość to praktyczna esencja tego co obecnie w polskich scamach „piszczy” – wraz z solidną dawką metod ochrony przed oszustwami.
~ms
W jaki sposób mogę zweryfikować dzwoniącego z banku ?
Jak rozumiem mogę to zrobić w apce.
Jestem w Millennium
Mnie w czwartek próbowali na to samo naciągnąć. Ale bez smsów i raczej szli w inną stronę niż konto rezerwowe.
Miałem przynajmniej dwa razy takie telefony. Z instytucji z którymi finansowo nie mam nic wspólnego. Pierwszym razem rzeczywiście się zaniepokoiłem i dałem sobie narzucić narrację… aż do momentu potwierdzenia danych. Zamiast je podać, odruchowo zacząłem wtedy przesłuchiwać rozmówcę, np dociskać aby się kolejny raz przedstawił, i że jak tego nie zrobi, to złożę na niego skargę. Jako że nadal kręcił, odłożyłem słuchawkę i zadzwoniłem do instytucji w której imieniu niby dzwonił, żeby, khem, no, złożyć tę skargę i wyjaśnić mój rzekomy kredyt z kimś kompetentnym. Tam uświadomiono mi, że to jest taki scam, a ja poczułem się jak debil.
Przy drugim telefonie (po długim czasie, w imieniu innej instytucji) już nie wchodziłem w dialog.
Moja rada z perspektywy czasu: jeśli ktoś brałby kredyt na twoje dane, nie podałby numeru twojego telefonu. Zawsze więc zakładaj, że to ściema. I nigdy nie podawaj swoich danych osobie która dzwoni w imieniu instytucji. Zanotuj, jaka instytucja, odłóż słuchawkę, zadzwoń na ich infolinię.
Artykuł się urywa bo nie jest napisane gdzie dochodzi do oszustwa.
Ofiara dostała smsa o rachunku rezerwowym. Musi kliknąć na link i wtedy otwiera się fałszywa strona logowania?
Po prostu scammerzy proszą o przelew na to konto
Banki odrzucają reklamacje jeżeli oszust oszuka swoją ofiarę bo ofiara dopuściła się rażącego niedbalstwa. No dobra to jak oszust założył rachunek „techniczny” a potem zutylizował środki? Czyżby bank naruszał przepisy o AML i stosował KTC które pozwalają na wykorzystanie jego infrastruktury do oszustwa i obrotu środkami z oszustwa. To podatności banków są powodem nie naiwności klientów.
Generalnie więcej banków ma funkcje weryfikowania konsultantów bankowych np w VeloBank konsultant wysyła wiadomość przez bankowość internetową, wtedy my dostajemy push o tym że mamy nową wiadomość, a w treści wiadomości podaje swoje dane.
Więc nawet banki nie muszą wdrażać jakiś dodatkowych funkcji wystarczy poprosić o wysłanie wiadomości.
Chociaż z tą weryfikacją dzwoniących konsultantów to też dziwne rzeczy się wyrabiają, z pewnych względów musiał ze mną skontaktować się pracownik Velobanku (wcześniej sam dzwoniłem na infolinię i taki kontakt został umówiony) no to oddzwania do mnie pracownik i na dzień dobry prosi mnie o podanie numeru pesel.
Ja oczywiście odmawiam i proszę o wysłanie wiadomości z potwierdzeniem tożsamości. Pracownik banku poprawnie wysyła po czym mówi, że teraz to już pesel nie będzie potrzebny bo „widzi” moje konto.
Oczywiście oszustwa tutaj żadnego nie było, zadzwonił i wyjaśnił sprawę którą omawialiśmy na infolinii, ale ja się pytam co oni mają za procedury że jak kl nie prosi o dodatkową autoryzacje to wymagają od klienta podania numeru pesel, bo bez tego się nie da, ale jak już poproszę o wiadomość z potwierdzeniem tożsamości to ją wyślą bezproblemowo i wtedy absolutnie peselu już nie chcą, data urodzenia wystarczy xDD
To był chyba mój jedyny prawdziwy kontakt z banku gdzie na dzień dobry prosili o pesel…
Jak dla mnie banki powinny umożliwić kontakt telefoniczny z każdym działem banku (po odpowiednim przełączeniu przez konsultanta infolinii ogólnej) a obecnie często w bannkach to wygląda tak że by sobie dzwonimy przez aplikacje banku żeby mieć pewność że dobrze zadzwonili i żeby uniknąć niepotrzebnego podawania danych po czym na infolinii w bardziej skomplikowanych przypadkach zamiast przełączyć do innego działu to umawiają kontakt pracownika z innego działu. Przecież nawet jak taki kontakt u mnie nastąpił dosłownie 5 minut po zakończeniu połączenia z infolinią to do momentu otrzymania wiadomości przez bankowość www nie miałem żadnej pewności że to dalej z bankiem rozmawiam
Dlaczego, nie można namierzyć właściciela trefnego konta rezerwowego?
słup
namierzyć się da, ale najczesciej włascicielem takiego konta jest jakiś „żulik” z spod monopolowego tak zwany słup. Dostęp do tego konta maja wtedy oszuśći ktorzy namowili żulika do zalozenia konta
Jednym ze źródeł pozyskania informacji o nipie vs. nr konta jest Biała lista ;-) i stąd wiadomo „który bank ma zadzwonić” ;-)
tak przy czym działa to tylko dla VATowców.
No, że sekurak zapomniał wspomnieć o zgłoszeniu sms pod numer 8080 to ja nie wierzę :( Nie kupuję tej bajki :(
Widzisz ten syf… nie bądź bierny „Zgłoszenia do CSIRT NASK
Informujemy, że od dnia 28 sierpnia 2018 r. zespołowi CERT Polska zostały powierzone obowiązki CSIRT NASK wynikające z ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. poz. 1560).”