Zespół CERT Polska (Computer Emergency Response Team), czyli zespół reagowania na incydenty bezpieczeństwa komputerowego, obserwuje nową, udoskonaloną wersję oszustw telefonicznych, w trakcie których przestępcy podszywają się pod pracowników banków.
Od kilku miesięcy część banków funkcjonujących w Polsce oferuje swoim klientom możliwość weryfikacji dzwoniącego do nich pracownika banku – za pomocą powiadomienia otrzymywanego w aplikacji mobilnej co wykorzystują przestępcy.
NASK podał, jak wygląda scenariusz oszustwa.
Najpierw przestępcy, wykorzystując technikę spoofingu, dzwonią do potencjalnej ofiary, podszywając się pod numer telefoniczny wykorzystywany przez bank. Jeśli klient banku poprosi o weryfikację dzwoniącego, oszuści przesyłają mu „kod weryfikacyjny” poprzez wiadomość SMS. „Tu także stosowana jest technika spoofingu, a zatem spreparowana wiadomość, która trafia do użytkownika, może wyświetlić mu się w tym samym wątku co inne, prawdziwe komunikaty rzeczywiście pochodzące od banku” - wyjaśnił NASK.
„Kod weryfikacyjny” znany jest doskonale samym przestępcom (to oni przysłali tę wiadomość tekstową), więc na żądanie potencjalnej ofiary mogą go podać w trakcie rozmowy. „Wzmacniają tym samym swoją wiarygodność i łatwiej im nakłonić klienta banku np. do wykonania przelewu na inne, +bezpieczne konto+ lub instalacji dodatkowego oprogramowania, umożliwiającego przejęcie kontroli nad jego smartfonem lub komputerem” - wyjaśniają specjaliści.
NASK ostrzega, że cel działania przestępców pozostaje niezmienny – kradzież pieniędzy z konta ofiary.