ODCINEK SPONSOROWANY – powstał z inicjatywy PKO Banku Polskiego, który chce w ten sposób zwiększać świadomość ludzi na temat cyberbezpieczeństwa i chronić osoby korzystające z bankowości elektronicznej przed oszustwami. Pozostawiono mi pełną swobodę twórczą w zakresie jego treści, więc mam nadzieję, że Ci się spodoba!

W skrócie: jak oszuści próbują wyłudzać dostęp do Twojego konta bankowego? Kiedy masz największe szanse stać się ofiarą telefonicznego przekrętu? Jak się przed tym chronić, a jakie zabezpieczenia nie zadziałają? I co ma albański wirus komputerowy do współczesnych kont bankowych.

Korzystasz z bankowości elektronicznej i nie lubisz tracić swoich pieniędzy? W takim razie ten odcinek powinien Cię zainteresować. Dziś opowiem Ci o tym, w jaki sposób oszuści próbują wyłudzać dostęp do Twojego konta bankowego, kiedy masz największe szanse stać się ofiarą telefonicznego przekrętu i jak się przed tym ochronić – a także o tym, jakie techniki ochrony najzwyczajniej w świecie nie zadziałają.
Wydaje Ci się, że temat Cię nie dotyczy, bo Ty przecież ogarniasz technologię, zachowujesz ostrożność i działasz racjonalnie, więc to wystarczy? A czy wiesz co z Twoją elektroniką może zrobić albański wirus komputerowy? W jakich godzinach możesz się spodziewać podejrzanych SMS-ów, jaki jest najskuteczniejszy sposób dostania się do strzeżonego budynku? Jeśli nie, to zapraszam do słuchania.

Bo między innymi o tym będzie odcinek numer 003 podcastu PrawoWita, w którym porozmawiamy sobie o oszustwach telefonicznych. Ja nazywam się Karina Kunc-Urbańczyk i uczę ludzi, jak tworzyć, działać i promować się w Internecie zgodnie z prawem. Dziś skupię się właśnie na DZIAŁANIU – a dokładniej na tym, co robić i czego nie robić, żeby nie złapać się na przestępcze działania innych!

Miałam ostatnio wymuszoną przerwę w nadawaniu, jak pewnie słyszysz, z moim głosem jeszcze nie do końca wszystko okej, ale jeżeli PKO Bank Polski chce być sponsorem Twojego odcinka podcastu, to po prostu siadasz i nagrywasz odcinek podcastu! Zwłaszcza jeśli idea jest naprawdę szczytna!
Tak jest, nagranie tego odcinka zawdzięczamy PKO Bankowi Polskiemu, który chce w ten sposób zwiększyć świadomość ludzi na temat cyberbezpieczeństwa i chronić osoby korzystające z bankowości elektronicznej przed oszustwami. Ja to pragnienie podzielam, uważam, że temat jest ważny i należy jak najwięcej o nim mówić, a że znam się na temacie cyberbezpieczeństwa i cyberprzestępczości to postanowiłam nagrać kilka słów na ten temat.
Miejmy więc nadzieję, że głos da radę. I że informacje, ciekawostki i przydatne wskazówki, jakie zyskasz dzięki temu odcinkowi, będą warte tego wysiłku z mojej strony.

Być może teraz pomyślisz sobie, dlaczego masz się jeszcze męczyć i „zwiększać swoją świadomość”, skoro przecież już używasz tych wszystkich kodów, autoryzacji, dwuskładnikowych uwierzytelnień, antywirusów i haseł na kilkanaście znaków (koniecznie z cyfrą i znakiem specjalnym!)..?
Czy to naprawdę nie wystarczy?

No właśnie niekoniecznie…

Bo widzisz, może Cię zaskoczę, ale do łamania haseł nie zawsze potrzeba superkomputerów z gigantycznymi mocami przerobowymi czy zaawansowanych wirusów komputerowych. Włamania na konta bankowe to nie tylko złośliwe oprogramowanie, zainfekowany smartfon, pegasusy czy inne programy szpiegujące.

Wiesz, jakie jest najsłabsze ogniwo systemu zabezpieczeń w całych tych skomplikowanych krzemowych strukturach komputerowych procesorów?
Tak zwany „czynnik białkowy”. Czyli po prostu człowiek, który z tych systemów korzysta.

Niejedne badania pokazywały już, że największe zagrożenie dla bezpieczeństwa firm stanowią ich pracownicy. I analogicznie – największym zagrożeniem dla bezpieczeństwa Twojego konta bankowego jesteś… Ty.
Bo nawet najlepszy system zabezpieczeń nie zda się na nic, jeśli nie będzie przez ludzi używany właściwie.

I oszuści wykorzystują właśnie ten słaby punkt zabezpieczeń – hackując nie system komputerowy, a człowieka, który do tego systemu ma dostęp.

Postawmy sprawę jasno – te metody kompletnie pomijają zabezpieczenia techniczne! Nie oddziałują na sprzęt czy oprogramowanie – a na umysły ludzi. Mają na celu takie zmanipulowanie Twojej osoby, żeby sprawić, że zachowasz się dokładnie tak, jak chcą tego oszuści. Wykorzystują do tego różne słabości natury ludzkiej, nasze emocje, uczucia czy przyzwyczajenia.

Dlatego są takie groźne! Bo nie da się ich jakoś odgórnie zablokować, zneutralizować, uczynić mniej szkodliwymi, bez względu na poziom technicznego zaawansowania Twojego sprzętu lub oprogramowania! Tylko Ty możesz się im przeciwstawić – jakkolwiek górnolotnie to nie zabrzmi. A najskuteczniejszą bronią przeciwko nim jest właśnie wiedza! Zwłaszcza znajomość wykorzystywanych przez oszustów mechanizmów.
Dlatego właśnie, żeby Cię w tej walce wesprzeć, nagrywam ten odcinek podcastu. I właśnie dlatego pomaga mi w tym PKO Bank Polski – bo też dobrze wie, że zwiększanie poziomu zabezpieczeń kont, systemu bankowości elektronicznej czy aplikacji bankowych na nic się nie zda, póki klienci będą sami dawać do nich dostęp oszustom.

Tak samo kurierzy są dla ludzi jakby przezroczyści. To znaczy są tak oczywistym elementem otoczenia, bywają w różnych miejscach, pojawiają się i znikają, że prawdopodobnie wpuszczenie do zamkniętej placówki osoby przebranej za kuriera i trzymającej pod pachą jakąś paczkę też nie będzie dla ludzi czymś dziwnym czy nietypowym. A że na szkoleniu z cyberbezpieczeństwa mówili, żeby nikogo nie wpuszczać? No wiadomo, przecież nikogo nie wpuszczam! A kuriera? No kuriera tak, ale to kurier, tylko na chwilę wejdzie, poda paczkę i wyjdzie.
Takie sytuacje, takie podejście i takie nasze przyzwyczajenia to jest właśnie samograj dla oszustów.

Nawet jeśli ludzie znają procedury, regulaminy i zasady, to jest bardzo duża szansa, że wygra z nimi ten wyuczony ludzki odruch i chęć poprawienia sobie humoru myślą o tym, że się komuś pomogło i trochę ulżyło w trudnej sytuacji.

Ale jeśli masz świadomość takiego sposobu omijania zabezpieczeń, to być może dwa razy pomyślisz, zanim wykonasz taki miły gest wobec kogoś z paczkami. Dlatego, według mnie, niezmiernie ważne jest nie tylko uczenie suchych reguł, ale i wyjaśnianie, dlaczego te reguły warto wdrożyć.

No okej, ale co taki człowiek przebrany za kuriera może zrobić? Dotrze pewnie najdalej do recepcji i tyle!
… jeśli w Twojej głowie zaświtała taka myśl, to może posłuchaj, jaki jest najskuteczniejszy sposób na zainfekowanie systemu komputerowego firmy!

Tak samo nawet najsilniejsze hasło nie pomoże, jeśli będzie przypięte na karteczce przy monitorze albo pod klawiaturą, prawda?
Albo jeśli w każdym możliwym miejscu będziesz ustawiać to samo hasło…

Przestępcy doskonale zdają sobie sprawę z tego, że ludzie nie lubią zapamiętywać miliona różnych loginów i haseł – więc często tymi danymi, które wyciekły, próbują się logować w innych miejscach. Jeśli masz te same dane logowania w innym, nawet dużo lepiej chronionym serwisie, to znów – poziom zabezpieczeń nie będzie tu odgrywał roli, bo tak naprawdę to Ty osobiście dajesz komuś na tacy wszystkie ważne informacje.

Między innymi dlatego w bankowości elektronicznej wprowadza się dodatkowe zabezpieczenia – kody na telefon czy potwierdzenie logowania w aplikacji bankowej. Bo nawet jeśli ktoś pozna Twój login i hasło dzięki wyciekowi danych z innego miejsca, to póki nie zdobędzie też dostępu do Twojego telefonu czy innego generatora kodów, to nie uda mu się przejść dalej.

No i tu przechodzimy w końcu do socjotechnik wykorzystywanych przy oszustwach telefonicznych!

Kojarzysz albański wirus komputerowy? To jest taka ciekawostka, właściwie żart informatyczny, sprzed wielu, wielu lat. W mailu dostawało się informacje, że oto ZAATAKOWAŁ NAS ALBAŃSKI WIRUS KOMPUTEROWY! Niestety ze względu na lekkie zacofanie technologiczne tego kraju, wirus niezbyt dobrze sobie radzi ze swoją robotą, więc twórcy uprzejmie proszą o skasowanie sobie jakiegoś pliku systemowego i przesłanie tej informacji dalej.

I możemy się teraz z tego śmiać (mnie o akurat bawi), bo też miał to być rodzaj satyry. No bo któż by się złapał na takie coś, prawda?

Robi się niestety zdecydowanie mniej do śmiechu, kiedy uświadomisz sobie, że większość przypadków wyłudzania danych dostępowych do kont bankowych działa na identycznej zasadzie, tyle że bez tej uroczej dozy szczerości, jaką reprezentował ich „albański” odpowiednik. Też nie oddziałują bezpośrednio na sprzęt – a na użytkownika.

Tak jak już wspomniałam – większość oszustów telefonicznych wcale nie opiera się na zaawansowanym obchodzeniu zabezpieczeń Twojego komputera czy smartfona. Liczą na to, że to Ty odwalisz całą robotę i wszystkie ważne dane podasz im samodzielnie. Oni grają przede wszystkim SOCJOTECHNIKĄ.

Zacznijmy od popularnych oszustw smsowych.
Jakie scenariusze można w nich znaleźć?

• Dramatyczna informacja o zbliżającym się terminie odłączenia prądu! Natychmiast ureguluj zaległości poprzez podany link!
• O nie, nadana przesyłka kurierska przekracza opłacone wymiary, dopłać natychmiast, jeśli nie chcesz, żeby wróciła do nadawcy!
• Udzielono Ci pożyczki, kliknij, żeby sprawdzić prawidłowość danych!
• Masz szansę na komputer, zegarek lub inny gadżet! Pierwsze sto osób wygrywa!
• Wypełnij ankietę i potwierdź swoje personalia, żeby odebrać!

Tych przykładów nie musiałam wymyślać – spisałam je po prostu wprost z zakładki „spam” w moim telefonie. Mój smartfon akurat okazuje się być bardzo mądry, bo blokuje je, nawet mnie o nich nie informując, więc nie miałam nawet szans na złapanie się na zastosowane tam sztuczki.
Ale z jakiegoś powodu takie smsowe kampanie trwają bez przerwy – czyli musi się to jednak opłacać. Tu robotę robi masowość takich akcji – SMSy wysyłane są z bramek internetowych w hurtowych ilościach. Jeśli chociaż niewielki procent ludzi się na nie złapie, kliknie w link, pobierze dzięki nim złośliwe oprogramowanie czy wpisze gdzieś swoje dane logowania – przestępcy i tak zyskają.
A im bardziej wiarygodne zdarzenie w takiej wiadomości wspomniane, tym większa jest jej skuteczność. Rzekome wiadomości od kurierów są pod tym względem bardzo świetne – większość z nas często kupuje rzeczy przez internet z dostawą do domu, wiele z nich odsyła w ramach ustawowego prawa zwrotu – jeśli wiadomości wysyła się masowo, to nie tak trudno trafić na kogoś, kto akurat czeka na paczkę i zmartwi się, że faktycznie coś z nią nie tak.
Tak samo jest bardzo duże prawdopodobieństwo, że używasz w swoim gospodarstwie domowym prądu i pewnie nigdy nie masz pewności, czy faktycznie któryś z przelewów nie opiewał na zbyt małą kwotę albo zapodziała Ci się gdzieś informacja o jakiejś niedopłacie.

Dlatego także w kontaktach z rodziną i znajomymi warto zachować czujność i ostrożnie podchodzić do dziwnych nietypowych i nieoczekiwanych próśb, zwłaszcza tych zawierających linki.

No ale dobrze, jak takie wiadomości w ogóle mają działać? Dlaczego ktoś miałby się przejmować tym, że ktoś obcy do niego napisał? Omówmy więc sobie krok po kroku, co się stanie, kiedy złapiemy się w tę sprytną intrygę i klikniemy w coś, w co nie powinniśmy.

Najczęściej zawarty w nich link kieruje Cię do podrobionej strony płatności internetowych. Dzięki temu będzie Ci się wydawać, że logujesz się do swojego banku, a tymczasem będziesz wpisywać swoje dane logowania na stronie w pełni kontrolowanej przez oszusta.

Przyszło Ci być może teraz do głowy, że przecież Twój bank ma daleko idące zabezpieczenia, na przykład pokazuje obrazki przypisane do konkretnego loginu, więc jeśli ich nie zobaczysz, to wyczujesz podstęp! Albo że do zalogowania na konto wymaga się dodatkowego potwierdzenia w aplikacji bankowej?
Żaden z tych elementów nie będzie nie do przejścia, jeśli tylko samodzielnie pomożesz oszustowi.
Widzisz, takie oszustwo to jest często robota na cały etat, a nie, że tak to ujmę, dochód pasywny, gdzie ktoś rozsyła sobie SMSy, a potem odpoczywa, czekając spokojnie na to, ilu ludzi „złowi”.
Często takie akcje są skoordynowane. Gdzieś tam jakiś człowiek czujnie czeka na informację o próbie logowania na swojej fałszywej stronie. Sprawdza, jaki bank wybierasz – i otwiera w oknie swojej przeglądarki właściwą stronę, Wpisujesz login – on to widzi i wpisuje go samodzielnie na prawdziwej stronie banku. Jeśli wybierasz obrazek identyfikacyjny z puli automatycznie dostępnych, przestępca może mieć je już przygotowane – wybiera ten, który pokazuje mu prawdziwa strona logowania i przekazuje go na swoją stronę logowania.
Ty widzisz właściwy obrazek, więc kontynuujesz.

Czasem mechanizm jest mniej skomplikowany, strona nie wgrywa żadnego obrazka, a Ty zwalisz winę na słabe łącze. Albo w ogóle tego nie zauważysz, bo przecież walczysz właśnie o to, żeby nie odcięto Ci prądu! Albo żeby ta ważna paczka dotarła na czas!
Oszuści wykorzystują tutaj silne emocje, które mają uśpić Twoją czujność, osłabić spostrzegawczość i zdolność racjonalnej oceny sytuacji.
Nie na darmo również takie SMSy przychodzą przede wszystkim w porach porannych lub w typowej porze powrotów z pracy, kiedy zapewne przeskakujesz z jednego środka komunikacji na drugi, stoisz nerwowo w korku lub starasz się skoordynować akcję zaprowadzenia dzieci do szkół, przedszkoli i żłobków bez spóźnienia się do pracy.
Stare mądre przysłowie mówi, że pośpiech jest złym doradcą. Ma rację – oszuści też to wiedzą.

Co teraz następuje?
Wpisujesz hasło – oszust je widzi, bo to w końcu jego strona i tak ją sobie zaprojektował. Bierze i więc i wpisuje Twoje hasło na prawdziwej stronie banku. Co teraz następuje? Otrzymujesz PRAWDZIWĄ informację o próbie zalogowania się na konto, z prośbą o potwierdzenie tego działania lub z odpowiednim kodem, który musisz tam wpisać.
Tyle tylko, że to nie Ty tak naprawdę się tam właśnie logujesz – a ktoś, kto Twoje dane w ten sprytny sposób przechwycił. Potwierdzasz logowanie lub wpisujesz przesłany właśnie przez bank kod – bo przecież hej, wydaje Ci się, że to właśnie robisz!

Ale to nie koniec. Teraz dopiero robi się ciekawie!

Bo w końcu logujesz się na konto po to, żeby dokonać jakieś wpłaty, prawda?

Te żądane przez oszustów kwoty nigdy nie są jakieś przesadnie wysokie, ot, kilka groszy różnicy za tę rzekomą dopłatę do przesyłki, może parę złotych niedopłaty za prąd albo opłaty manipulacyjnej za tę wielką wygraną czy inną pożyczkę udzieloną na preferencyjnych warunkach. Nie chodzi o to, żeby Cię oskubać z oszczędności Twojego życia! Przynajmniej jeszcze nie na tym etapie…
Chodzi o taką kwotę, którą faktycznie lekką ręką uzupełnisz szybko i bez większego namysłu, nie zastanawiając się na tym, czy aby na pewno ktoś ma legalną możliwość od Ciebie żądać. No i przecież stojąc w tych korkach nie będziesz wertować ogólnych warunków usług kurierskich, żeby ustalić normy wielkości przesyłanych paczek, prawda?
Dodatkowo nic tak nie wzmaga irytacji jak świadomość, że tylko jakieś źle naliczone grosze dzielą Cię od doręczenia albo odcięcia od prądu. Albo nie powoduje euforii, że o to za maksymalnie kilka złotych ktoś odda Ci sprzęt warty setki złotych! Każda silna emocja jest dobra – bo znów, silne emocje, czy to negatywne, czy pozytywne, zmniejszają czujność, sprawiają, że przeklikujesz szybko wszystkie komunikaty wysyłane przez Twój telefon i dążysz do upatrzonego celu.

Bo wszystkie transakcje i zmiany na internetowych kontach bankowych wymagają podawania przez właściciela konta dodatkowych kodów albo potwierdzenia w aplikacji. Dlatego sam włam na konto jeszcze niczego nie zmieni. Oszuści wiedzą, że mają teraz jedną-jedyną szansę na zmianę, bo ten jeden kod, niby potwierdzający przelew, bez problemu im już przekażesz.

A co można zrobić z jednym-jedynym kodem bankowym? Bardzo dużo.
Można na przykład ustawić zaufanego odbiorcę przelewu – dzięki czemu kolejne przelewy do takiej osoby nie będą wymagały już autoryzacji. Chyba nie muszę już tłumaczyć, jak łatwo wtedy jest przetransferować na spokojnie całą gotówkę z konta na konto?
Ktoś może też zmienić numer telefonu, na który powinny przychodzić Ci wiadomości z banku. Kolejne kody otrzyma wtedy już na swój numer telefonu.

Dlatego takie ważne jest, żeby ZAWSZE czytać dokładnie komunikaty przesyłane przez Twój bank. Sprawdzaj, z jakiego powodu system przesyła Ci kod lub komunikat z aplikacji bankowej – czy to faktycznie przelew kwoty, którą wpisujesz, czy może zmiana ważnych ustawień konta, pozbawiająca Cię nad nim kontroli. Nie dawaj się rutynie – ja wiem, że kolejnych takich samych smsów już nie czyta się w całości, scrollujesz tylko wzrokiem miejsce, gdzie zwykle znajduje się kod do przepisania albo potwierdzasz szybko operację, o której informuje Cię aplikacja bankowa.
Wydaje Ci się, że skoro teraz, w tym momencie działasz na swoim koncie, to wszystkie komunikaty są związane z dokładnie tym działaniem, które wykonujesz. I potem możesz się niestety niemiło zdziwić.

Bo znów – pośpiech, duże emocje, rozkojarzenie, ale i rutyna – zwiększają szanse na to, że coś takiego po prostu przeoczymy.

Linki zamieszczone w takich fałszywych wiadomościach smsowych mogą też działać jeszcze inaczej – mogą doprowadzić Cię do zainstalowania oprogramowania szpiegującego, które już dalej sczyta sobie w odpowiednim momencie wpisywane przez Ciebie dane bankowe. I ja wiem, mówiłam, że te ataki miały nie polegać na złośliwym oprogramowaniu – tyle tylko, że tu sytuacja jest inna – owszem, osobom działającym w ten sposób zdarza się używać programów szpiegujących, ale dopiero na dalszym etapie akcji. Nie muszą za to za pomocą złośliwego kodu obchodzić zabezpieczeń, żeby zainstalować na Twoim sprzęcie to, na co mają ochotę. Ty to robisz, własnymi rękami. Albański wirus komputerowy widząc, jak świetnie radzą sobie jego współcześni naśladowcy, na pewno byłby dumny!

Wiesz, jak zareagowali na to przestępcy? Zaczęli stosować metodę „na policjanta”. Najpierw dzwonił „wnuczek”, a zaraz potem rzekomy „policjant” rozpracowujący tę sprawę! Prosił o pomoc w ujęciu sprawcy poprzez przygotowanie paczki z oszczędnościami, która oczywiście zostanie przez służby przejęta i zwrócona. I znów ludzie kojarzący doskonale metodę „na wnuczka” i na nią uodpornieni, dawali się bez problemu złapać w przekręt „na policjanta”.

Metoda „na policjanta” ma też inne odmiany – taki „policjant” może do Ciebie zadzwonić, żeby poinformować Cię, że właśnie trwa atak na Twoje konto bankowe! Tylko szybkie przelanie środków na „rachunek techniczny” ustrzeże Cię prze kradzieżą! Konto oczywiście należy do oszustów – albo nie ma w ogóle żadnego konta, jest tylko link do fałszywej bramki płatności albo programu szpiegującego…

Dlaczego wariant policyjny przynosi świetne efekty? Bo wykorzystuje z jednej strony nasze zaufanie do władzy, z drugiej wzbudza silny lęk, że oto właśnie ktoś prowadzi przeciwko nam przestępcze działania. Komu wtedy najłatwiej uwierzyć? Oczywiście, że zaangażowanemu funkcjonariuszowi, który niczym w serialu telewizyjnym osobiście dzwoni, żeby pomóc! Idealna strategia na dezorientację i osłabienie czujności.

W końcu banki zdecydowanie częściej niż policja naprawdę do nas dzwonią. Mogą próbować potwierdzić wykonanie jakiejś podejrzanej operacji, przedstawiać ofertę nowych usług, informować o upływających terminach, których nie powinniśmy przegapić.
Pomiędzy te prawdziwe połączenia łatwo więc oszustwom się niepostrzeżenie wślizgnąć.

Zwłaszcza, że do pracowników banku, przynajmniej jeśli chodzi o sprawy związane z kontem bankowym, mamy chyba nawet większe zaufanie, niż do organów ścigania 😉
Często wręcz oszuści używają takich argumentów – że przecież bank i tak ma wszystkie Twoje dane, łącznie z dostępem do loginu, hasła i kodów, więc nie musisz się bać, możesz na spokojnie te informacje podać w rozmowie z „autoryzowanym pracownikiem”.
A to nieprawda. W prawidłowo skonstruowanym systemie Twoje hasło będzie tak zaszyfrowane, że nie może go podejrzeć nawet administrator danych!

Dzwoni telefon – sprawdzasz na wyświetlaczu, a tam informacja, że to bank! A nawet napis „infolinia” i dokładna nazwa Twojego banku!
Czy to gwarancja tego, że osoba dzwoniąca jest z tym bankiem powiązana?
Niestety nie.
Okazuje się, że bardzo łatwo można „oszukać” telefony w taki sposób, że wyświetlą zupełnie inny numer telefonu niż ten, który naprawdę się z Tobą łączy. Nie ma też problemu z wyświetlaniem dokładnie takiej nazwy, jaką ustawią sobie przestępcy!
I to nie wymaga żadnego hackowania Twojego telefonu, nie świadczy o zainstalowaniu na nim jakiegoś złośliwego oprogramowania i nie unikniesz takiej sytuacji, dbając o swoje internetowe zwyczaje, nie wchodząc na jakieś niepewne strony i nie instalując niezaufanych apek. Nie, to nie jest w żadnej mierze wina Twojego telefonu! To jest po prostu słabość całej sieci GSM czyli można powiedzieć „wada wrodzona” telefonii komórkowej!

Dlatego na tym etapie nie masz szans na oddzielenie prawdziwego telefonu od połączenia spowodowanego przestępczym zamiarem.
Więc odbierasz, pracownik banku się przedstawia, wszystko brzmi profesjonalnie, podaje identyfikatory, imię i nazwisko – takie dane mogą nawet należeć do prawdziwej osoby, jeśli ktoś tam zrobi dobry research.

Co będzie się działo w rozmowie?

Wszelkie Twoje obawy, wątpliwości i próby dodatkowego upewnienia się, z kim rozmawiasz, mogą być zbywane podkreślaniem, że musicie się spieszyć, że chodzi o Twoje dobro i nie ma czasu na głupoty, z każdą sekundą ryzyko jest większe, dochodzi właśnie do kolejnych nieautoryzowanych transakcji! Tu też bazuje się na strachu, uczuciu zagrożenia i pośpiechu – im mniej masz czasu do namysłu, tym łatwiej będzie Ci zrobić coś nieprzemyślanego, zapomnieć o wszystkich wcześniej poznanych zasadach bezpieczeństwa, czy czegoś nie doczytać.

Jeśli się podporządkujesz i zaczniesz postępować zgodnie z przekazywanymi Ci instrukcjami, to w pewnym momencie ktoś tam każe Ci podać swoje dane logowania i zatwierdzić jakąś BARDZO WAŻNĄ CZYNNOŚĆ kodem autoryzacyjnym. Mechanizm już znasz, bo opowiadałam o tym kilka minut temu. Tu działają bardzo podobne mechanizmy jak przy oszustwach smsowych, ale rozmowa jest ze swojej natury bardziej dynamiczna niż odczytywanie smsa. Z jednej strony starasz się odpowiadać na czyjeś pytania i wykonywać polecenia, z drugiej przychodzą smsy z kodami autoryzacyjnymi albo powiadomienia z aplikacji o dokonywanych działaniach. Wszystko dzieje się jednocześnie – łatwo więc możesz przeoczyć, że treść tych wiadomości różni się od tego, czego niby miały dotyczyć według rzekomego pracownika banku. A jeśli to przeoczysz, możesz przypadkiem dokonać przelewu na znaczną kwotę albo oddać komuś pełną kontrolę nad swoimi środkami.

Ja przy tym nie wykluczam, że naprawdę może zdarzyć się sytuacja, w której niezbędna będzie telefoniczna reakcja prawdziwych pracowników Twojego banku. Jak więc w takim razie odróżnić tych prawdziwych i wiarygodnych od oszusta?
Ciebie zawsze weryfikują przy połączeniu, prawda? Upewniają się, że znasz odpowiednie dane o sobie i tak dalej. Ty zrób to samo! Na początku takiej rozmowy zażądaj weryfikacji pracownika.

Tylko tu też oszuści pracują już nad odpowiednim sposobem reagowania na takie prośby. Mogą na przykład wysłać do Ciebie smsa z danymi weryfikacyjnymi rzekomego pracownika. I tu znów wracamy do słabości telefonii komórkowej i możliwości podrabiania dzwoniących do Ciebie numerów telefonów – tak samo łatwo można podszyć się pod prawdziwego nadawcę SMSa i nie wymaga to żadnego zaawansowanego „hakerstwa”.
Najgorsze jest to, że nie masz możliwości sprawdzenia, czy to legitny sms, czy oszukańczy! Taki fałszywy sms wyląduje nawet w tym samym wątku wiadomości, co prawdziwe powiadomienia z banku – widzisz więc, że SMSom nie możesz ufać…

Nie daj się również złapać na konieczność zainstalowania specjalnej aplikacji do takiej weryfikacji – często wtedy oszust wyśle Ci link do swojego złośliwego oprogramowania. Jeśli powiesz, że już masz aplikację, prawdopodobnie podeśle Ci link z nową ulepszoną wersją. Wszystko oczywiście w otoczce dbania o Twoje dane, Twoje potrzeby i Twoje bezpieczeństwo – bo nikt tak pięknie i żarliwie nie potrafi ostrzegać przed innymi oszustami jak sam oszust.

Dlaczego aplikacja bankowa jest wiarygodniejsza niż potwierdzanie SMSem – bo tak jak mówiłam, SMSy łatwo sfałszować. Powiadomień wysyłanych przez aplikację w ten sposób sfałszować się nie da – bo wymagałoby to złamania zabezpieczeń aplikacji, a zhakowanie systemu komputerowego, jeszcze systemu komputerowego BANKU, to już zdecydowanie inny kaliber działań niż ten, który reprezentują sobą oszuści telefoniczni.

Opowiem Ci, jak to działa w moim banku. Tu akurat PKO Bank Polski wprowadził do swojej aplikacji bankowości elektronicznej specjalną funkcję – warto o niej wiedzieć i jej używać. Jeżeli, tak jak ja, korzystasz z aplikacji IKO, to w trakcie połączenia z rzekomym pracownikiem banku możesz zażądać od niego weryfikacji przez aplikację bankową.
I jeżeli osoba, z którą rozmawiasz, naprawdę pracuje w banku, to dostaniesz POWIADOMIENIE Z APLIKACJI z jej danymi. Nie SMSa. Tylko tak zwaną wiadomość push – wygląda to dokładnie tak, jak powiadomienia z serwisów społecznościowych informujące Cię o nowym lajku.

Prosisz osobę dzwoniącą o podanie swoich danych i sprawdzasz, czy to, co mówi, zgadza się z otrzymaną informacją. Jeśli się nie zgadza lub „pracownik banku” nie chce tego zrobić z jakichś BARDZO WAŻNYCH powodów to nie ma sensu kontynuować tej rozmowy. Po prostu się rozłącz.
Tak samo rozłącz się, jeśli mimo żądania wykonania mobilnej autoryzacji, powiadomienie z aplikacji nie przychodzi. Najwyraźniej dzwoniący wcale nie ma dostępu do systemu komputerowego i nie może takiej weryfikacji formalnie zainicjować.
A co, jeśli nie masz zainstalowanej aplikacji bankowości elektronicznej, a rozmowa wzbudza Twoje wątpliwości? Też się rozłącz – a potem zadzwoń na prawdziwą bankową infolinię i zapytaj, czy faktycznie mają do Ciebie jakąś sprawę.

Nie daj się oszustom, nie bądź najsłabszym ogniwem systemu zabezpieczeń.

A jeśli poczujesz potrzebę powtórzenia sobie informacji, o których tu dziś opowiadałam, to zawsze możesz przeczytać transkrypcję tego odcinka, dostępną pod adresem prawowita.pl/003
Tobie już dziękuję za uwagę, a PKO Bankowi Polskiemu za zasponsorowanie dzisiejszego odcinka i wspólną kampanię edukacyjną na temat cyberbezpieczeństwa. Jeśli Ci się podobało, to możesz nam podziękować swoim zaangażowaniem! Polub ten odcinek, jeśli Twoja aplikacja podcastowa na to pozwala, udostępnij wiadomość o nim w swoich mediach społecznościowych albo napisz kilka miłych słów w komentarzu pod transkrypcją.
Tyle ode mnie na dziś. Do usłyszenia!