Dzwoni telefon… to numer z banku
Niestety nie zawsze można być pewnym, że z bankowego numeru telefonu, który jest nam znany i mamy zapisany w telefonie, dzwoni prawdziwy pracownik banku. Aby być wiarygodnymi „profesjonalistami” cyberprzestępcy wykorzystują słabość technologii GSM, która pozwala im podszyć się pod dowolny numer telefonu. I tak oszust realizuje połączenie ze swojego numeru, ale posiada narzędzie gdzie wpisuje numer telefonu np. infolinii banku, który wyświetli się odbiorcy. Jeśli jest on zapisany w naszych kontaktach to wyświetli się połączenie przychodzące właśnie z banku. Taka sytuacja sprawia, że mamy pewność, że dzwoni ktoś z banku, wtedy często tracimy czujność i podajemy wszystkie informacje o które poprosi nas „pracownik” banku.
Co próbują wyłudzić od nas oszuści
Przestępcy podczas rozmowy starają się bardzo wiarygodnie przedstawić historię, aby osoba po drugiej stronie słuchawki nie tylko w nią uwierzyła, ale też szybko zareagowała na sytuację, która jakoby się zadziała. Często pod pretekstem zabezpieczenia konta, informują o zablokowaniu przez bank rzekomego przelewu na dużą kwotę. Najczęściej twierdzą, że bank zablokował taki podejrzany przelew i potrzebuje danych logowania do serwisu, karty lub kodów blik. Czasem proszą o wykonanie transakcji, zalogowanie się do konta, zainstalowanie oprogramowania typu AnyDesk, TeamViewer itd. Takie oprogramowanie pozwala im śledzić wszystkie ruchy właściciela urządzenia. Mogą również informować, że ktoś wziął na nas kredyt albo pożyczkę.
W rzeczywistości oszuści chcą przejąć narzędzia autoryzacyjne, zdobyć dane do logowania do bankowości elektronicznej czy dane karty płatniczej. A tak wyłudzone dane mogą wykorzystać do wykonania nieuprawnionych transakcji z konta.
Kiedy odłożyć słuchawkę
Rozmowa z osobą po drugiej stronie słuchawki staje się podejrzana gdy padają pytania o dane wrażliwe i uwierzytelniające. Wtedy też powinna zapalić się lampka ostrzegawcza. Uwagę powinno zwrócić również namawianie i wywieranie presji, żeby wykonać konkretne działania. W takim wypadku najlepiej się rozłączyć i skontaktować z infolinią banku, żeby potwierdzić, czy to na pewno dzwonił pracownik. Bezwzględnie trzeba pamiętać o tym, że prawdziwy pracownik banku podczas takiej rozmowy nigdy nie poprosi o:
- zainstalowanie dodatkowego oprogramowania czy aplikacji,
- podanie loginu i hasła do bankowości elektronicznej
- pełny numer PESEL, serię i numer dowodu osobistego czy dane karty płatniczej
Jeśli podczas rozmowy, pojawi się prośba o jedno z powyższych, wtedy już jest pewne, że mamy do czynienia z oszustem. W takiej sytuacji trzeba jak najszybciej się rozłączyć i samemu zadzwonić na infolinię banku. Pod żadnym pozorem nie wolno oddzwaniać na ten numer z którym przed chwilą rozmawialiśmy. Trzeba wykonać nowe połączenie i zatelefonować na numer infolinii banku ze strony internetowej. Jeśli faktycznie telefon był prawdziwy to konsultant z infolinii poinformuje, że dzwonił i w jakiej sprawie.
O czym warto pamiętać
- PKO Bank Polski nie wymaga instalacji dodatkowego oprogramowania, które miałoby podnosić poziom bezpieczeństwa wykonywanych operacji lub dostępu do serwisu.
- Pracownik banku podczas rozmowy telefonicznej nigdy nie poprosi o podanie haseł dostępu do żadnego z serwisów (internetowego, mobilnego, telefonicznego).
- Pracownik banku nie prosi o wypłatę pieniędzy ani wpłatę ich na inne konto. W tym celu nie wolno podawać kodów BLIK.
- Nie wolno wyrażać zgody na zainstalowanie na urządzeniu aplikacji pochodzących z nieznanych źródeł
- Nie wolno wykonywać poleceń, o które prosi nieznany nadawca w SMS-ie/wiadomości email, itp.: nie wolno klikać w linki, podawać danych do logowania, kodów autoryzacyjnych, danych karty.
Aby zapobiegać takim oszustom klienci PKO Banku Polskiego, którzy mają aktywną aplikację mobilną IKO, mogą zweryfikować czy kontaktuje się z nimi rzeczywisty pracownik banku. W praktyce wygląda to tak, że w trakcie rozmowy z konsultantem otrzyma na swój telefon wiadomość (push) zdanymi pracownika, który z nim się kontaktuje (imię i nazwisko, stanowisko, adres oddziału). Może zweryfikować tożsamość osoby dzwoniącej, prosząc pracownika banku o podanie tych danych – jeśli zgadzają się z tymi z przysłanej informacji zatwierdza je PIN-em do IKO i obie strony mogą bezpiecznie kontynuować rozmowę.
Jak rozpoznać, że to oszustwo? Co robić, by nie dać się oszukać?
Piotr Kalbarczyk, dyrektor Departamentu Cyberbezpieczeństwa w PKO Banku Polskim: Istnieją pewne oczywiste sygnały, które pozwalają rozpoznać oszustwo. Przede wszystkim pracownik banku, bez względu na to jak bardzo wiarygodna będzie przedstawiona przez niego historia, nigdy:
- nie poprosi o zainstalowanie dodatkowego oprogramowania czy aplikacji,
- nie będzie prosił o podanie loginu i hasła do bankowości elektronicznej,
- nie poprosi o numer PESEL, serię i numer dowodu osobistego czy dane karty płatniczej.
Jeśli podczas rozmowy, pojawi się, któreś z powyższych pytań to powinniśmy się niezwłocznie rozłączyć, bo mamy do czynienia z oszustem, który chce wykraść nasze dane. Warto również pamiętać o kilku innych rzeczach. Nie klikajmy w linki i załączniki jeśli nie mamy pewności skąd one pochodzą. Jeśli mamy wątpliwości zawsze możemy skontaktować się z bankiem i zapytać, czy dana wiadomość rzeczywiście została do nas wysłana przez pracownika PKO Banku Polskiego. Klient powinien również pamiętać, że zawsze można sprawdzić czy osoba, która telefonowała była konsultantem z banku. Wystarczy zadzwonić na numer infolinii ze strony banku i zweryfikować przedstawioną historię. Jeśli faktycznie telefon z banku był prawdziwy to konsultant z infolinii poinformuje, że dzwonił i w jakiej sprawie.
W jaki sposób na wyświetlaczu pojawił mi się nr PKO BP?
Cyberprzestępcy wykorzystują słabość technologii GSM, która pozwala im podszyć się pod dowolny numer telefonu – infolinii bankowej, ale też policji czy prokuratury.
Oszust realizuje połączenie ze swojego numeru, ale posiada narzędzie, w którym wpisuje numer telefonu, który wyświetli się odbiorcy. Numer infolinii banku jest ogólnie dostępny, więc nie jest to żadna tajemnica. Jeśli mamy zapisany w kontaktach telefon do banku i ten sam numer wpisze oszust to wtedy wyświetli nam się połączenie przychodzące właśnie z banku. Ten mechanizm sprawia, że ludzie są dużo bardziej skłonni zaufać osobie po drugiej stronie. Natomiast zawsze można sprawdzić czy osoba, która telefonowała była konsultantem z banku. Wystarczy podczas takiej podejrzanej rozmowy się rozłączyć i zadzwonić na numer infolinii ze strony banku i zweryfikować czy rzeczywiście sytuacja, która została przedstawiona ma miejsce. Jeśli faktycznie telefon z banku był prawdziwy to konsultant z infolinii poinformuje, że dzwonił i w jakiej sprawie. Istnieje też możliwość weryfikacji konsultanta poprzez aplikację IKO.
Jakie zagrożenia cyfrowe są największym problemem dla klientów i największym wyzwaniem dla banku? jakie są największe luki w wiedzy o bezpieczeństwie?
Grupa najczęściej występujących zagrożeń jest w miarę stała – zmieniają się jedynie metody i sposoby dotarcia oraz nakłonienia użytkowników do podjęcia określonych działań. Możemy wymienić tutaj oszustwa polegające na wyłudzeniu danych płatniczych, logowania, czyli phishing. Najpopularniejsze nadal są kampanie mailowe i SMS z linkami prowadzącymi do stron podszywających się pod strony banku lub zawierających złośliwe oprogramowanie, czy maile ze złośliwymi załącznikami.
Regularnie ostrzegamy również przed telefonicznym podszywaniem się pod infolinię i pracowników banku lub innych firm, czy instytucji. Oszuści próbują w ten sposób zdobyć dane logowania czy nakłonić ofiarę do wykonania określonej operacji na rachunku.
Nadal obserwujemy też działania oszustów na portalach ogłoszeniowych i aukcyjnych, których celem jest kradzież środków z konta lub karty, a także oszustwa na inwestycje z obietnicą bezpieczeństwa i szybkich zysków, np. na rynkach forex czy kryptowalut.
Jakie działania podejmuje PKO Bank Polski w celu edukacji swoich klientów na temat cyberbezpieczesńtwa i unikania zagrożeń w sieci?
Od wielu lat prowadzimy działania edukacyjne dla klientów w zakresie cyberbezpieczeństwa, wykorzystując media tradycyjne oraz społecznościowe. Wypracowaliśmy i wciąż rozszerzamy kompleksowy program budowania świadomości, w ramach którego jednym z projektów są regularne kampanie edukacyjne na temat aktualnych zagrożeń. Ostrzegamy przed powszechnym phishingiem, fałszywymi stronami internetowymi czy podszywaniem się pod pracowników banku. Kluczowa jest też edukacja na temat bezpieczeństwa kart płatniczych, haseł, dokumentów i aplikacji mobilnych, poczty e-mail.
Informujemy o nowych sposobach działania oszustów w sieci. Na bieżąco publikujemy stosowne ostrzeżenia w serwisach transakcyjnych, naszej aplikacji mobilnej, na stronach internetowych banku oraz dedykowanym dla klientów portalu Bankomania. Współpracujemy również z mediami w ramach akcji edukacyjnych dla czytelników. W każdym kanale przekaz i forma muszą być dopasowane do odbiorcy, jednak większość zagrożeń i mechanizmów w nich stosowanych jest na tyle uniwersalna, że staramy się docierać do jak najszerszej grupy klientów.
Organizujemy także bezpłatne webinary na temat cyberbezpieczeństwa, gdzie klienci mają możliwość zadawania pytań naszym ekspertom.
Nasi pracownicy regularnie uczestniczą w szkoleniach dotyczących aktualnych zagrożeń, aby zapewnić najwyższą jakość obsługi klienta, zwracając szczególną uwagę na bezpieczeństwo transakcji jakich dokonuje. Nasze zespoły bezpieczeństwa stale monitorują sieć i podejmują działania, dzięki którym fałszywe strony, czy kampanie wyłudzające od klientów dane są blokowane.