
Europejski Miesiąc Cyberbezpieczeństwa z OSE: vishing
Tematem Europejskiego Miesiąca Cyberbezpieczeństwa (ECSM) są w tym roku ataki socjotechniczne, czyli wykorzystujące różne techniki manipulacji (np. groźby czy szantaż). Przez cały październik przypominamy Wam, jak radzić sobie z takimi oszustwami – pisaliśmy już o phishingu i smishingu, a dziś przyjrzymy się bliżej vishingowi. Okazuje się bowiem, że hasło „nie rozmawiaj z nieznajomymi”, które słyszeliśmy jako dzieci, niejednokrotnie może uratować nasze dane osobowe i środki na koncie w dorosłym życiu…
Voice phishing, czyli atak głosowy
Vishing jest jednym z typów phishingu, czyli oszustwa, w którym przestępca podszywa się pod zaufane osoby czy instytucje i próbuje wyłudzić od ofiary poufne informacje lub nakłonić ją do podjęcia określonych działań – np. kliknięcia w link czy zainstalowania szkodliwego oprogramowania. W tym celu wykorzystywane są sfabrykowane wiadomości e-mail. Mechanizm vishingu jest ten sam, jednak tutaj przestępcy próbują złapać nas w pułapkę podczas rozmowy telefonicznej (w tym również połączeń przy użyciu technologii Voice over IP, czyli platform typu Skype).
Z vishingiem mamy i będziemy mieć do czynienia coraz częściej – ze względu na szybki rozwój sztucznej inteligencji i technologii deep fake. Oszuści z łatwością mogą naśladować nawet głosy osób, które dobrze znamy, np. członków rodziny czy współpracowników. Niestety coraz trudniej to zweryfikować.
Sprawy nie ułatwia fakt, że przestępcy mogą podszywać się pod numer infolinii banku lub numery naszych znajomych (tzw. spoofing). Wówczas podczas próby połączenia na ekranie wyświetla się kontakt zapisany na liście kontaktów w urządzeniu… Warto być czujnym!
Uwaga na podejrzane rozmowy telefoniczne
Przestępcy wykorzystujący w swoich atakach vishing mają jeden cel: wyłudzenie poufnych danych. Przyjrzyjmy się popularnym przykładom vishingowych rozmów telefonicznych.
- Przedstawiciel „banku” przekazuje informację o nietypowym ruchu na naszym rachunku. Tłumaczy, że być może ktoś włamał się na konto i żeby zablokować jego działania, musimy podać komplet informacji: dane teleadresowe, osobowe, PESEL, numer dowodu osobistego oraz dane do logowania do bankowości internetowej.
- Przedstawiciel „banku” w rozmowie sugeruje, że konieczne jest zainstalowanie dodatkowej aplikacji, w której niezwłocznie mamy potwierdzić swoje dane osobowe.
- Od przedstawiciela „banku” dowiadujemy się, że doszło do ataku cyberprzestępców, dlatego konieczne jest potwierdzenie danych osobowych. W rzeczywistości oszuści atakują właśnie podczas takiej rozmowy.
- Przedstawiciel „biura podróży”, „ubezpieczyciela” lub innej „zaufanej instytucji” przedstawia nam wyjątkową ofertę swojej firmy. Możemy dowiedzieć się np., że wygraliśmy nagrodę w konkursie, w którym nigdy nie braliśmy udziału. Okazuje się jednak, że skorzystać z proponowanej promocji czy okazji możemy dopiero po podaniu swoich poufnych danych i uiszczeniu opłaty.
- Pracownik „Urzędu Skarbowego” lub „Zakładu Ubezpieczeń Społecznych” informuje o zaległości w opłatach. Straszy grzywną lub innymi konsekwencjami, które zostaną wobec nas wyciągnięte, gdy nie uiścimy zapłaty.
- „Przedstawiciel techniczny” dzwoni z informacją o konieczności aktualizacji urządzenia, z którego korzystamy, ponieważ producent oprogramowania znalazł luki w zabezpieczeniach. Rozmówca chce pomóc – prosi o zdalny dostęp do naszego sprzętu. Dzięki temu może zarówno ukraść nasze dane, jak i zainstalować np. oprogramowanie szpiegujące.
- „Wnuczek” prosi o natychmiastową pomoc – miał wypadek, jest w szpitalu, w więzieniu, za granicą itd. i potrzebuje pieniędzy. Aby uwiarygodnić swoją historię, podaje także numer telefonu „policjanta” lub „prawnika”, który „przekaże więcej szczegółów”.
Jak widzicie, potencjalnych scenariuszy rozmów z oszustami jest naprawdę wiele – warto mieć świadomość, na co zwracać uwagę, gdy odbierzemy nietypowy telefon.
Czy da się chronić przed vishingiem?
Naszą podstawową linią obrony – tak samo jak w przypadku phishingu i smishingu – jest zdrowy rozsądek, opanowanie i zimna krew. Oszuści chcą, byśmy zareagowali bez zastanowienia, kierowani emocjami, strachem lub potrzebą niesienia pomocy bliskiej osobie.
Musicie pamiętać o ważnych zasadach, dzięki którym nie dacie się nabrać:
- Zawsze, jeśli podejrzewacie, że po drugiej stronie słuchawki jest oszust – po prostu przerwijcie połączenie.
- Nikt nie ma prawa poprosić Was o podawanie swoich danych osobowych i innych poufnych informacji (takich jak PESEL, numer ubezpieczenia, numer karty płatniczej wraz z numerem CVV, dane logowania do bankowości mobilnej), dlatego nikomu ich nie podawajcie!
- Oszuści mogą grozić i wywierać na Was presję – nie wierzcie w „ostatnią szansę”, „promocję ważną tylko dziś”, „karę za nieopłacenie zaległości podatkowej w trybie natychmiastowym”.
- Nie zgadzajcie się na zdalny dostęp do Waszych urządzeń, nie instalujcie dodatkowego oprogramowania, które pozwoli na weryfikację Waszych danych, nie klikajcie w linki z SMS-ów, które możecie dostać podczas rozmowy z oszustem.
- Jeśli nie macie pewności, czy faktycznie rozmawiacie z przedstawicielem banku – zerwijcie połączenie i zadzwońcie na infolinię banku, by to potwierdzić. Coraz więcej banków umożliwia weryfikację pracowników również poprzez oficjalną aplikację. Uważajcie też na podejrzane rozmowy ze znajomymi. Sprawdzajcie, czy to oni próbowali się z Wami skontaktować, jednak używajcie w tym celu innych środków komunikacji niż telefon.
- Nie odbierajcie połączeń od nieznanych numerów. Jeśli ktoś ma dla Was wiadomość lub stało się coś pilnego – skontaktuje się z Wami w inny sposób.
- Wszystkie rewelacyjne „oferty” i „promocje” sprawdzajcie na stronach banku, biura podróży, ubezpieczyciela itd. Jeśli są prawdziwe, zawsze możecie później skontaktować się z telemarketerem.
- Gdy podejrzewacie, że doszło do próby wyłudzenia danych, zgłoście ten przypadek na policję, do banku i CERT Polska (za pomocą formularza lub mailowo: cert@cert.pl).
- Nie ułatwiajcie zadania oszustom – ograniczajcie liczbę informacji o sobie, które udostępniacie w sieci, np. w mediach społecznościowych.
- Edukujcie się! Śledźcie informacje o nowych formach cyberataków, np. na stronie cert.pl. Zaglądajcie też co drugi czwartek do aktualności z serii „Bezpieczni w sieci z OSE”.
Trwa Europejski Miesiąc Cyberbezpieczeństwa
Październik już po raz 11. jest Europejskim Miesiącem Cyberbezpieczeństwa. W ramach ECSM możecie dowiedzieć się więcej o tym, jak mądrze i odpowiedzialnie poruszać się w internecie – wziąć udział w bezpłatnych wydarzeniach (webinarach, szkoleniach, kursach itd.). Wykaz działań prowadzonych w ramach kampanii jest dostępny na stronie internetowej Europejskiego Miesiąca Cyberbezpieczeństwa.
Sami także możecie przyczynić się do szerzenia wiedzy na temat zagrożeń w sieci. Zachęcamy Was do zgłaszania inicjatyw, które w Waszych lokalnych środowiskach pomogą jak największej liczbie osób dowiedzieć się czegoś więcej na temat cyberbezpieczeństwa. Swoje wydarzenia zgłaszajcie za pośrednictwem formularza na stronie bezpiecznymiesiac.pl.
Europejski Miesiąc Cyberbezpieczeństwa organizowany jest przez Europejską Agencję ds. Cyberbezpieczeństwa (ENISA) oraz Komisję Europejską. W Polsce koordynatorem kampanii jest Państwowy Instytut Badawczy NASK (NASK-PIB).

