Post

Oszuści fałszują numery telefonów bankowych, by okradać ofiary.

"Możesz sprawdzić numer na swoim wyświetlaczu online sir. Zobaczysz, że naprawdę dzwonię z twojego banku."

To znaczy, oczywiście, jeśli nie jesteś świadomy, że numery telefonów mogą zostać sfałszowane. Z drugiej strony, nie byliby oni skutecznymi oszustami, gdyby nie byli przekonujący. Jeśli zasugerujesz oddzwonienie do nich, powiedzą ci, że nie można oddzwonić bezpośrednio na ich numer wewnętrzny, a ty będziesz musiał przejść przez operatora w centrali. Co może trochę potrwać i ze względu na pilny charakter sprawy nie jest to teraz możliwe, prawda?

Co to jest spoofing?
Definicja spoofingu to: wyświetlanie cech, które nie należą do Ciebie, w celu założenia fałszywej tożsamości. Rozmawialiśmy już w przeszłości o spoofingu emailowym, ale w tym przypadku mówimy o spoofingu tożsamości rozmówcy. Przerzucanie ID rozmówcy polega na tym, że ktoś dzwoniący na Twój telefon celowo fałszuje informacje przekazywane do wyświetlacza ID rozmówcy, aby ukryć jego tożsamość.

Zazwyczaj na wyświetlaczu pojawia się numer telefonu i nazwa związana z linią, z którą nawiązano połączenie. Istnieją jednak usługi, które pozwalają na wyświetlenie dowolnego błędnego identyfikatora rozmówcy. Niektórzy dostawcy usług Voice over IP (VoIP) po prostu pozwalają użytkownikowi skonfigurować wyświetlany numer jako część strony konfiguracyjnej w interfejsie WWW dostawcy.

Jak ten przekręt się udaje?
Oszust dzwoni do ofiary, psując numer telefonu należący do banku. Oszust jest przygotowany na tyle dobrze, że wie o koncie bankowym ofiary, by zabrać ostatnie strzępy wątpliwości. Mówi ofierze, że zauważyła niezwykłą aktywność na jej koncie bankowym i pilnie doradza, aby włożyła pieniądze na inne konto.

Jeśli ofiara wskazuje, że posiada tylko jedno konto, oszust oferuje jej tzw. konto w skarbcu banku. Oszust wyjaśnia, że takie konto jest bezpiecznym miejscem dla ich środków. Ich pieniądze mogą być niedostępne na takim koncie przez kilka dni, ale to jest lepsze niż okradanie ich w ciemno, czyż nie? Jeśli ofiara zacznie zadawać wiele pytań, oszust powie, że nie ma czasu do stracenia z powodu niebezpieczeństwa utraty wszystkiego na rzecz nieznanego podmiotu. Oczywiście, "konto w skarbcu" należy do oszusta, a cały teatr ma za zadanie skłonić ofiarę do przekazania na to konto swoich rzeczy.

Dodatkowe informacje pochodzące z phishingu
To, co czyni ten dodatkowy sukces, to fakt, że oszuści naprawdę przychodzą na przygotowaną rozmowę. Mogą ci powiedzieć, ile masz na koncie i kto otrzymał twoje ostatnie wpłaty. Istnieje kilka teorii na temat tego, jak oszuści mogą uzyskać te informacje. Niektóre z nich sięgają nawet do tego, że muszą mieć kogoś w środku. To by wiele wyjaśniało, ale niektóre ofiary przyznały się, że otrzymały pocztę phishingową nie za daleko przed wezwaniem.

Jeśli ofiary kliknęły na link w tej poczcie i zalogowały się na stronie internetowej fałszywego banku, to nie tylko wyjaśnia, w jaki sposób oszuści uzyskali te informacje, ale także dodaje wiarygodności historii oszusta w telefonie. W końcu próba wyłudzenia informacji mogła doprowadzić do nieautoryzowanego dostępu. To, co nadaje scenariuszowi "insider" dodatkową wiarygodność, to fakt, że niektóre ofiary ostatnio podniosły swoje limity transakcji, ponieważ musiały dokonać kilku dużych płatności.

Strony phishingowe odzwierciedlają stronę banku, a phisher może śledzić wejście ofiary na prawdziwą stronę banku. Pozwala im to na wgląd w szczegóły konta po zalogowaniu się i wyposaża je w informacje, które mogą wykorzystać podczas rozmowy telefonicznej.

Środki bezpieczeństwa bankowego
Jeśli informacje, które posiada oszust na temat konta ofiary, pochodzą z próby wyłudzenia danych, a bank korzysta z metody logowania 2FA, wówczas dane do logowania będą dość szybko się wyczerpywały. Udany phish umożliwia oszustowi zalogowanie się, ale zazwyczaj tylko raz. Mogą oni rozejrzeć się i zebrać informacje, aby przygotować swoje połączenie. Każda kolejna czynność, taka jak dokonanie płatności lub zmiana ustawień 2FA, musiałaby być autoryzowana oddzielnie, a takie żądanie prawdopodobnie uczyniłoby ofiarę podejrzaną.

Śledczy z holenderskiego programu telewizyjnego dla konsumentów dowiedzieli się, że niektóre banki są bardziej narażone na atak niż inne. Śledczy podejrzewają, że klienci banków, które używają czytnika kart do skanowania kodów QR w celu autoryzacji logowania się i płatności, są mniej podatni na zagrożenia niż ci, którzy wysyłają wiadomości tekstowe. Może to wynikać z faktu, że trudniej jest naśladować kody QR na stronie phishingowej banku niż tworzyć pole wprowadzania kodu weryfikacyjnego.

Innym zabezpieczeniem przed bankructwem, które oszust będzie próbował obejść, w razie potrzeby, są limity transakcji, które są domyślnie stosowane przez niektóre banki. Są one często ograniczone do raczej małych kwot, a klienci będą musieli podnieść limit, jeśli chcą dokonać większych płatności. Kiedy bank poprosi Cię o podniesienie tego limitu, zamiast na odwrót, powinno to być czerwoną flagą. Pamiętaj, że mogą to zrobić za Ciebie w przypadku prawdziwego zagrożenia.

Skutki ataku phishingowego
Oszuści spróbują upewnić się, że ofiara nie od razu zorientuje się, że była, więc oszuści mogą sprawić, że pieniądze znikną z konta docelowego w celu zatrzymania płatności.

W niektórych bankach będziesz miał ubezpieczenie od oszustw bankowych, ale inne banki powiedzą, że ofiara sama przekazała środki i nie przyjmą żadnej odpowiedzialności za stratę. W większości krajów są Państwo chronieni przez prawo przed nieuczciwymi płatnościami pod pewnymi warunkami. Jeden z tych warunków można ogólnie określić jako "klient nie powinien być nieostrożny", a klient może być postrzegany jako nieostrożny, jeśli podał swoje dane do logowania. To, czy wpisanie tych danych na bankowej stronie phishingowej, która wygląda dokładnie tak, jak ta, która należy do banku, jest niedbałym działaniem, wydaje się dyskusyjne.

Tak więc w najgorszym przypadku nie tylko poczujesz się zakłopotany, ponieważ zakochałeś się w przekręcie, ale także możesz zostać oznaczony jako nieostrożny i stracić pieniądze na koncie.

 

Komentarze (0)

Zostaw komentarz