Oszuści atakują Polaków nową bronią. Chodzi o potwierdzenie tożsamości w banku
Banki coraz częściej stosują powiadomienia push, aby potwierdzić tożsamość konsultanta. Oszuści internetowi dobrze o tym wiedzą i wykorzystują to w niecny sposób.
Niezastąpieni specjaliści cyberbezpieczeństwa CERT Orange donoszą, że oszuści masowo wysyłają fałszywe SMS-y, które mają informować o rzekomej weryfikacji konsultanta. Tak, aby zwiększyć wiarygodność, gdy inny cyberprzestępca wykonuje połączenie i informuje o potencjalnych problemach (lub innych czynnościach) z kontem.
Oszuści ewoluują jak Pokemony i dostosowują się do nowych zabezpieczeń
Wiele banków zaczyna stosować mechanizmy potwierdzenia konsultanta. Wynika to z faktu, że oszustwa typu spoofing, w których przestępcy podszywają się pod banki i inne instytucje zdarzają się bardzo często. Działa to w taki sposób, że pracownicy banku wysyłają powiadomienie push. Wiadomość można kliknąć i wtedy jesteśmy przenoszeni do aplikacji bankowej – wówczas mamy pewność, że rozmawiamy z konsultantem.
Wygląda to podobnie do potwierdzenia płatności wykonywanych w internecie. Oszuści o tym wiedzą i próbują tworzyć pozory. Cyberprzestępcy jednak nie mają uprawnień do wysyłania powiadomienia push z aplikacji bankowej – taki przywilej jest dostępny wyłącznie dla pracowników banku, ale za to potrafią wysyłać wiadomości SMS. Także nadpisane wiadomości, które przychodzą oznaczone nazwą banku.
CERT Orange dostrzega przypadki, w których przestępcy podszywają się tą metodą pod różne podmioty – m.in. mBank, czy Millennium. W treści wysłanej wiadomości jest mowa o "podejrzanej aktywności", a treść przedstawia wymyślone numery sprawy, kody, a nawet imiona i nazwiska konsultantów. Oczywiście, są to nieprawdziwe dane, spreparowane wyłącznie w celu oszustwa.
Wiadomości są wysyłane podczas rozmowy z oszustem na ten sam numer. W tym samym momencie, gdy w rozmowie telefonicznej jest mowa o weryfikacji. Ma to tworzyć pewne pozory. Nie każdy bowiem rozróżnia powiadomienia push wysłanego z aplikacji mobilnej od SMS-a. Fakt, graficznie takie powiadomienia wyglądają inaczej – zarówno na Androidzie, jak i iOS, ale dla wielu osób fakt otrzymania jakiegoś powiadomienia na telefon może być wystarczający.
Warto zaznaczyć, że oszuści stosują różne techniki manipulacji. Jeśli ofiara uwierzy, że otrzymała potwierdzenie, że ma do czynienia z konsultantem, to dalsze kroki mogą być tragiczne. Orange sugeruje, że oszust może przekonać ofiarę do instalacji oprogramowania do zdalnej obsługi pulpitu. Nie muszę chyba nikogo przekonywać, że dostęp do takich danych w rękach cyberprzestępców może mieć katastrofalne skutki.
Warto edukować starszych i mniej zaznajomionych o takim oszustwie. Szczególnie jeśli ich bank stosuje technikę potwierdzenia tożsamości konsultanta. Nawet mniejsze instytucje stosują takie rozwiązania.
Więcej podobnych artykułów znajdziesz na Spider's Web:
