„Dzień dobry, ja dzwonię z banku…”

„Dzień dobry, ja dzwonię z banku…”

Nie twierdzę, że każdy z nas może usłyszeć powyższe hasło, jednak dzisiejszy dostęp do telefonu i usług bankowych jest na tyle powszechny, że występuje całkiem spore prawdopodobieństwo (stale rosnące), abyśmy znaleźli się w polu scamu. No właśnie, scamu, czyli czego tak właściwie?

Scam moglibyśmy określić jako nielegalne przedsięwzięcie polegające na oszustwie poprzez wzbudzenie zaufania i wyłudzenie, jak to często bywa – pieniędzy lub innych wartości.

Można usłyszeć powiedzenie, że „duże deale” załatwia się przez telefon. Zapewne potwierdzalność tego działania jeszcze bardziej wzrosła, gdy w większym stopniu dotknęła nas zdalna rzeczywistość. Telefon to często nasze narzędzie pracy, rozrywki, komunikacji, a więc może nam czegoś dostarczać. Ale jako, że moneta ma dwie strony, to może nam też spróbować coś odebrać. Życzę Czytającym tych „dużych dealów”, dobrze spędzonego czasu i świetnych rozmów, dlatego rzućmy trochę światła na te osoby, które chcą naszych pieniędzy, ale niekoniecznie ma to być korzystny układ dla obu stron.

Wstęp

Na początek rozróżnimy sobie przypadkowy, niezbyt dopracowany atak (np. w postaci spamu z literówkami), który relatywnie łatwo rozpracować od tego bardziej przemyślanego, co gorsza, spersonalizowanego ataku. Im bardziej oszust napracuje się przy tworzeniu planu (tutaj scenariusza rozmowy), tym większa szansa, że zakończy się on powodzeniem. Już samo wyświetlenie numeru, może wywołać u nas różne kolory lampki ostrzegawczej. Sam czasami widzę jak na naszych twarzach maluje się zdziwienie, gdy widzimy 9 cyfr, których nie znamy lub nie kojarzymy. Jednak pojawienie się na ekranie naszego smartfona informacji, że dzwoni bank, z którego usług korzystamy (dzisiaj jest możliwe generowanie fałszywego identyfikatora dzwoniącego) to już trochę inna sprawa.

Odbieramy telefon gotując obiad, prowadząc samochód, czy odbierając dziecko z przedszkola, i co? Możemy usłyszeć swoje imię, że dzwoni do nas, zatroskany o stan naszej gotówki, specjalista/ekspert działu informując, że wykryto jakieś podejrzane działanie na naszym koncie.

Podane przeze mnie przykłady odebrania telefonu to tylko kilka z wielu życiowych sytuacji. Oszust w opisywanym tutaj przypadku raczej nie będzie tego wiedział, ale z pewnością będzie chciał takie okoliczności wykorzystać na naszą niekorzyść. Co ciekawe, za „idealny cel” obiera się osobę, która jest w starszym wieku, ale tutaj uwaga – raczej nie w sędziwym wieku jakby się mogło wydawać! Chodzi m. in. o to, aby osoba była w stanie technicznie z takim oszustem „współpracować”, ale nie miała wystarczającej wiedzy, by zorientować się, że chodzi tutaj o wyłudzenie. Młodsza osoba może być bardziej świadoma pewnych zagrożeń, czy wykazywać cechy utrudniające nielegalne działanie.
Jednak chciałbym tutaj postawić tezę, że każdy, ale to absolutnie każdy z nas może paść ofiarą takiego wyłudzenia.

Wiarygodność rozmówcy

Bardzo ważnym czynnikiem w tego rodzaju działaniach, jest zbudowanie wiarygodnego wizerunku, czyli kupienie naszego zaufania. Może się tak stać nawet w kilka, kilkanaście minut! Możemy otrzymać pakiet informacji o konsultancie, przedstawi nam się, wskaże nam jakieś cyfry bezpieczeństwa (np. ID), dział/departament (np. techniczny/bezpieczeństwa) co może przywołać nam skojarzenia podobne do okazania legitymacji służbowej przez funkcjonariusza publicznego. Oczywiście dowiemy się również, że dla naszego bezpieczeństwa rozmowa jest nagrywana. Po takim wstępie, osoba dzwoniąca przejdzie do opisania sytuacji – problemu finansowego, który chce nam pomóc rozwiązać. Przy usługach bankowych może to być oczywiście podejrzany przelew na kilkaset złotych. I to jest hak na naszą uwagę.

Oszuści mogliby już przejść do konkretów, ale nie tutaj. W tym miejscu rozpoczyna się mała kampania informacyjna, w której konsultant przekazuje nam parę dobrych rad na temat szeroko pojętego bezpieczeństwa związanego z naszymi danymi, aktywami. Można zacząć myśleć, że to naprawdę nasz człowiek, który ma dobre intencje wobec nas. Może wytworzyć się w naszej głowie obraz profesjonalnego działania.

Nawiasem pisząc, mogą Państwo usłyszeć, że osoba dzwoni z konkretnego banku, jednak oszuści również doskonalą swoje „rzemiosło” i mogą powiedzieć, że dzwonią z „Twojego banku”. To bardzo sprytne zagranie, bo może się zdarzyć tak, jak ma to miejsce przy metodzie na tzw. wnuczka. 

Mniej więcej może wyglądać to tak:

„- Kto dzwoni?

– No jak to kto, Babciu, nie poznajesz swojego wnuka?

– Mikołaj…?”

I w ten dość prosty sposób, osoba po drugiej stronie, właśnie poznała imię kochanego wnuczka. Tylko raczej prezentów z tego nie będzie, a przynajmniej nie takich jakich zwykle oczekujemy…

Tutaj może być dość podobnie. Nie usłyszawszy dobrze frazy związanej z bankiem, sami możemy zapytać czy chodzi o konkretny bank, z którego usług korzystamy. Możemy sami pójść krok do przodu
i wskazać do potwierdzenia przez rzekomego konsultanta, banku z którego usług NIE korzystamy. Wymaga to jednak pewnej czujności, wiedzy i odpowiednich okoliczności.

Zresztą, jak już jesteśmy przy zadawaniu pytań, to mogą one okazać się naszym silnym sojusznikiem. Im lepiej potrafimy sformułować dobre, trafne pytania – tym lepiej. Może to wywołać efekt szekspirowskiej pauzy u konsultanta, zakłopotania, szukania wsparcia np. poprzez odesłania do innej osoby/działu. To jak ze wszystkim w życiu – im bardziej jesteśmy na coś przygotowani, tym mniejsza szansa, że coś nas zaskoczy. A tutaj może zaskoczyć tych, którzy chcą zaskoczyć nas.

Pamiętajmy jednak o tym, że oszuści także się uczą, doskonalą swój scenariusz (np. skrypt). Na bazie jakichś swoich niepowodzeń, otrzymanych pytań, mogą coś poprawiać, zwrócić uwagę na słabe punkty swojego działania.

Podejrzanych objawów może być wiele: obcy akcent (chociaż miejmy świadomość, że np. w call center pracują osoby różnych narodowości), pośpiech, charyzma czy po prostu nonsens, że wirus jest przesyłany z przelewem bez jakiegoś sensownego uzasadnienia.

W porządku, ale w jaki sposób pieniądze opuszczają nasze konto?

Sama rozmowa nie musi jeszcze oznaczać dla nas fatalnych rezultatów finansowych. W opisywanym sposobie, sprawcy chcą uzyskać zdalny dostęp do naszego smartfona poprzez zainstalowanie odpowiedniej aplikacji (np. TeamViewer). Jeśli to zrobimy i przekażemy odpowiednie informacje (ID, hasło), to w tym momencie, wychodząc poza wirtualną rzeczywistość, jest to tak jakbyśmy odblokowali urządzenie i po prostu przekazali je innej osobie do dyspozycji. Drodzy Państwo, uczciwy bank nas o takie działania nie poprosi!

Jeśli mamy środki na koncie, to łatwo domyślić się co się z nimi stanie. Jeśli ktoś z Państwa pomyślał, że brak tych środków będzie tutaj szczęściem w nieszczęściu, to muszę niestety zmartwić – wtedy mogą pojawić się zaciągnięte zobowiązania w Państwa imieniu. To mogą być mniejsze zobowiązania, które też mogą nas kosztować czas lub zmarnowane zdrowie.

Nasz stan a socjotechnika

Wracając do tezy, która została przeze mnie postawiona, każdy z nas może mieć słabszy dzień: możemy być zmęczeni czy rozkojarzeni. Działając też w stresie lub pośpiechu, nasze myślenie może być daleko od tego zdroworozsądkowego. Takie sygnały, nazwijmy to – słabości, działają w dwie strony. Wystarczy, że poinformujemy dzwoniącego, że wyjaśnimy tę sytuację w placówce stacjonarnej banku. Jeśli zacznie się odwodzenie od tego pomysłu, zwłaszcza przyspieszonym głosem, to być może powinniśmy jeszcze bardziej brnąć w tym kierunku. Jeśli miałbym wskazać takie dwa fundamenty, na których często bazuje socjotechnika, to wskazałbym pośpiech i to, że z rozmówcą dobrze nam się rozmawia (czasami coś w rodzaju uroku osobistego). Przy pierwszym elemencie, socjotechnik będzie jak najbardziej chciał nam ograniczyć działania niepożądane z jego punktu widzenia, które mogą go zdekonspirować, natomiast ten drugi element może usypiać naszą czujność.

Jak powinniśmy działać, żeby nasze pieniądze pozostały bezpiecznie na koncie?

Dwie najważniejsze zasady

  • Pamiętajmy o tym, że każdą rozmowę można przerwać – bez powodu. Tu nie chodzi o to, żeby unikać przedstawionych powyżej sytuacji, tylko o to, że sami możemy mieć nad nią kontrolę lub wybrać numer telefonu do naszego banku (świadomość gdzie dzwonimy).
  • Ryzyka najlepiej dzielić, więc jeśli mamy oszczędności, to też najlepiej zdeponować je w paru miejscach. Wtedy, w najgorszym wypadku, tracimy „tylko” ich część.

Idąc dalej, podejrzane numery można blokować, profesjonalny bank na pewno nie poinformuje nas o sytuacji innego klienta i powinien odpowiednio potwierdzić naszą tożsamość (np. poprzez zadanie paru pytań weryfikujących). Ponadto, chcąc wyjaśnić jakąś podejrzaną sytuację finansową, raczej po prostu powinien zablokować nasze konto dla faktycznego bezpieczeństwa.

Gorąco Państwa zachęcam, aby pomagać naszym bliskim, znajomym, rozpoznawać takie sytuacje podwyższonego ryzyka. Osoby mniej zaawansowane technicznie, można uczulić na hasła takie jak: kod ID, BLIK, nazwy aplikacji do zdalnego zarządzania telefonem, ile ma Pan/Pani pieniędzy na koncie? (bank nie potrzebuje zadać takiego pytania).

Warto śledzić strony internetowe zajmujące się szeroko pojętym bezpieczeństwem, wyznaczać takie osoby jeśli prowadzą Państwo jakąś Organizację, śledzić informacje przekazywane przez banki (choć jest ich wiele, to warto wiedzieć na co zwrócić uwagę np. słowo-klucz), stosować zasadę ograniczonego zaufania. Nie chodzi oczywiście, by zakładać, że przy każdej wątpliwości, intencje rozmówcy są złe, ale chodzi o taki trzeźwy osąd sytuacji i żeby w razie potrzeby zadać sobie pytanie, czy to, o co jesteśmy proszeni, ma swoje racjonalne uzasadnienie? Bo przecież często działamy pod presją czasu, w stresie, mamy jakieś obawy, a i tak nie pytamy. Oszust nie lubi osoby, która dopytuje, ma wątpliwości. Może nawet w akcie frustracji nie pozwolić nam dojść do głosu. A tutaj już dość blisko od początkowego profesjonalizmu do wręcz końcowej desperacji, w której mogą Państwo zostać poproszeni o przelanie chociaż symbolicznej kwoty za pot, krew i łzy, które oszust „stracił” (przykład prawdziwy). Określiłbym to jako „wyższą kulturę bezczelności” oszustów… Nie dajmy się sami okradać.

Gdyby potrzebowali Państwo jakiejś pomocy w przedstawionej lub podobnej kwestii związanej z bezpieczeństwem informacji, to proszę się z nami skontaktować. Doradzimy lub znajdziemy rozwiązanie Państwa sytuacji.

Patryk Makowski | Kierownik Projektu w CompNet Sp. z o.o.