Z telefonu komórkowego korzysta praktycznie każdy dorosły Polak, niezależnie od wieku, a także nastolatkowie, a nawet dzieci. Wielu z nas nie wyobraża sobie funkcjonowania bez smartfona, który spełnia wiele funkcji w naszym codziennym życiu. Wiedzą o tym cyberprzestępcy i dlatego telefon jest coraz częściej celem ich ataku. W ten sposób mogą próbować dokonać kradzieży twojej tożsamości lub pieniędzy. Taki rodzaj ataku to vishing.
Cyberprzestępca może przez telefon prosić o informacje o koncie bankowym, karcie kredytowej czy adresie pocztowym. Będzie próbował nakłonić ofiarę do podjęcia konkretnych działań np. przekazania środków finansowych, przesłania e-mailem poufnych dokumentów związanych z pracą lub podanie informacji o pracodawcy. Gdy pozyska niezbędne informacje, może przystąpić do popełniania kolejnych przestępstw. Nasze cyberbezpieczeństwo jest wówczas zagrożone. Na przykład może opróżnić konto bankowe, ukraść tożsamość i wykorzystać dane karty kredytowej ofiary do dokonania zakupów. Może też np. wysłać wiadomość e-mail do kolegów ofiary w nadziei, że nakłoni kogoś do ujawnienia poufnych informacji. Jak zatem poprawić swoje cyberbezpieczeństwo?
Cyberprzestępca dąży przy pomocy różnych, nielegalnych metod, z wykorzystaniem komputera, tabletu lub smartfonu do osiągnięcia osobistych korzyści, najczęściej finansowych.
Krzysztof Dyki, ekspert ds. cyberbezpieczeństwa ComCERT (Grupa Asseco)
Czym się różni vishing od phishingu?
Przeczytaj również:
Strategia podejścia do ofiary vishingu
Udany atak vishingowy wymaga czegoś więcej niż tylko dzwonienia pod losowe numery telefonów. Cyberprzestępcy coraz częściej mają z góry określoną i zaplanowaną strategię podejścia do ofiary. Zaczynają od badania otoczenia danej osoby. Może to obejmować wysyłanie wiadomości phishingowych z nadzieją, że ktoś odpowie i poda swój numer telefonu. Często używają specjalistycznego oprogramowania i dzwonią do wielu osób spod numeru telefonu z tym samym kierunkowym co ofiary. Są doświadczeni w naruszaniu cyberbezpieczeństwa. Robią wszystko, abyś miał wrażenie, że to normalna, przeciętna rozmowa, których odbywasz wiele z różnych powodów, dlatego tak ważna jest czujność i wiedza w jaki sposób komunikują się przestępcy.
Jak rozpoznać, że dzwoni przestępca?
Cyberprzestępcy stosują zabiegi socjotechniczne, aby nakłonić ofiarę do określonego działania, ujawnienia osobistych informacji czy dostępu do konta bankowego. Atak telefoniczny polega na przekonywaniu ofiary, że powinna postąpić w oczekiwany sposób. Często przestępca udaje przedstawiciela administracji państwowej, urzędu skarbowego, policji lub banku, w którym ofiara ma konto. W rozmowie stara się wywołać strach, aby atakowana osoba zrozumiała, że nie ma innego wyjścia, jak tylko podać żądane informacje.
Niektórzy cyberprzestępcy używają ostrego i zdecydowanego języka, inni sugerują, że pomagają ofierze uniknąć kłopotów np. zarzutów karnych czy innego rodzaju problemów. Często pozostawiają groźnie brzmiące wiadomości głosowe, które zmuszają odbiorcę, by natychmiast oddzwonił pod groźbą sankcji karnych (aresztowania, grzywny, utraty mienia, zamknięcia konta bankowego).
Upewnij się z kim rozmawiasz i nie działaj pochopnie
Cyberprzestępcy wiedzą, że ludzie częściej odbierają połączenia z numerów z lokalnym kierunkowym. Takie budzą mniej podejrzeń. W wielu przypadkach dzwoniący podszywają się pod ekspertów lub autorytety w danej dziedzinie. Mogą udawać techników komputerowych, bankierów, policjanta, a nawet inne ofiary. Odwołują się do ludzkich instynktów zaufania, strachu, chciwości czy chęci pomocy innym.
W zależności od schematu ataku przez telefon przestępca może użyć wszystkich lub tylko jednej z tych technik, aby przekonać ofiarę i nakłonić do określonego działania. Niektórzy przestępcy dają ofiarom numer telefonu, pod który mogą zadzwonić, jeśli mają pytania lub chcą dowiedzieć się, na przykład o stanie ich zapłaconych podatków lub uzyskać wyniki testu na wirusa COVID-19. Pomaga to uwiarygadniać przestępcę i daje ofierze poczucie pewności, że ma do czynienia z normalną sytuacją. Jeśli ofiara zadzwoni pod ten numer, może połączyć się z pocztą głosową lub porozmawiać z innym człowiekiem, który współpracuje z głównym cyberprzestępcą.
Bądź czujny i nie podawaj danych bez 100 proc. pewności
Bądź podejrzliwy wobec osoby dzwoniącej, która twierdzi, że pochodzi z agencji rządowej i prosi o informacje finansowe lub osobiste. Agencje rządowe nie dzwonią prosząc o poufne informacje lub dane finansowe. Jeśli osoba dzwoniąca grozi aresztowaniem lub zawieszeniem konta, zachowaj spokój i nie przekazuj swoich informacji.
Oszuści mogą zachowywać się elokwentnie i profesjonalnie, prosząc o zweryfikowanie niektórych informacji o koncie w celu rozwiązania jakiegoś problemu. Nigdy nie ujawniaj żadnych danych identyfikacyjnych nieznanemu rozmówcy. Nie należy podawać ani potwierdzać danych osobowych przez telefon, jeżeli masz jakąkolwiek wątpliwość co do wiarygodności rozmówcy.
Umiejętność zachowania zimnej krwi wobec socjotechnicznych nacisków jest także elementem osobistego cyberbezpieczeństwa.
Pamiętaj, że firmy obsługujące karty kredytowe i banki nigdy nie zadzwonią z prośbą o podanie poufnych informacji. Jeśli ktoś zadzwoni do Ciebie, twierdząc, że pochodzi z legalnej organizacji, poproś go o zweryfikowanie swojej tożsamości. Jeśli osoba nie ma ukrytych motywów, nie będzie miała problemu z potwierdzeniem kim jest, skąd dzwoni i w jakim celu.
Zawsze sprawdź numer telefonu, dbaj o cyberbezpieczeństwo!
Coraz częściej przestępcy potrafią połączyć się z ofiarą posługując się podmienionym numerem telefonu, który nie jest prawdziwy, ale jest zgodny przykładowo z oficjalnym numerem banku. Dlatego nigdy nie ufaj numerowi telefonu dzwoniącego, który wyświetla się na ekranie twojego telefonu – wyświetlany numer może być nieprawdziwy (niezgodny z prawdziwym numerem dzwoniącego). Jeżeli masz jakiekolwiek wątpliwości co do uczciwości dzwoniącego, zadzwoń do instytucji, którą reprezentuje twój rozmówca. Zawsze korzystaj wyłącznie z oficjalnych numerów kontaktowych danej instytucji.
Cyberbezpieczeństwo to odporność na vishing
W przypadku poważnych wątpliwości dotyczących twojego rozmówcy zawsze możesz rozłączyć się, bez podawania powodu, a następnie skontaktować się w dowolnej formie z instytucją, którą reprezentowała osoba dzwoniąca. Nigdy nie instaluj żadnego oprogramowania, do którego instalacji nakłania cię rozmówca. Legalnie działający podmiot nie nakłania telefonicznie swoich klientów do takich operacji.