Media wszelkiej maści opisują problem dość szeroko, ale jeśli ktoś nie śledzi tematyki cyberbezpieczeństwa, bankowości itp. - mógł przegapić. A piekielność jest niewątpliwie duża.
Od miesięcy różne grupy przestępcze zza wschodniej granicy dzwonią masowo do Polaków podając się za pracowników banku. Podają właściwe dane osobowe ofiary i poprawnie identyfikują bank, w którym mamy konto. Prawdopodobnie działają na danych, które wyciekły z któregoś sklepu internetowego.
Mechanizm jest bardzo podobny. Dzień dobry, czy pan/i X, nazywam się XYZ, dzwonię z banku ŹŻ, chciałbym poinformować że z pana/i konta został zlecony przelew do, który jest w naszym banku oznaczony jako oszust, czy autoryzował/a pan/i taki przelew?
Po tym wstępie, po którym ofiara już jest zaalarmowana (my precious!), po czym oszust przystępuje do serii pytań, które mają nas utwierdzić w przekonaniu, że to naprawdę pracownik banku.
Czy ma pan/i swoją kartę?
Czy ktoś inny ma dostęp do konta?
Czy robił/a pan/i ostatnio zakupy w internecie?
Czy na stronie była kłódeczka bezpieczeństwa?
Niektóre z tych pytań sens mają, niektóre nie - przynajmniej w kontekście włamania na konto i wykonania przelewu, gdyby ktoś nam sklonował kartę i wypłacał kasę w Singapurze, to sytuacja byłaby nieco inna. Tak czy inaczej - nie pytają o żadne dane, więc nie wzbudzają podejrzeń, pytania faktycznie dotyczą bezpieczeństwa, więc mogą uśpić czujność ofiary.
W tym momencie złodziej przechodzi do części właściwej, czyli informuje, że według niego nasz komputer lub komórka z aplikacją banku są zainfekowane. Musimy pobrać stosowną aplikację banku (która jest niczym innym jak terminalem do zdalnego połączenia), żeby konsultant mógł nam pomóc w przeskanowaniu urządzenia.
Co dzieje się po zezwoleniu na połączenie? Złodziej poprosi nas o zalogowanie się do banku, a następnie wykonanie jakiejś testowej operacji. Zwykle będzie to przelew na niewielką kwotę na "konto techniczne". Konto owe jest zarejestrowane na nasze dane, przelew je autoryzuje. Pieniądze mogą nawet zostać nam odesłane, ale ktoś z tamtego konta może na nasze dane wziąć kredyt.
Alternatywnie może się skończyć na przelewie, którego już więcej nie zobaczymy.
Warto zapoznać się z dokładniejszymi opisami na takich stronach jak niebezpiecznik czy sekurak, warto też artykuły z tych stron podesłać znajomym i rodzinie. Socjotechniki stosowane są tak silne, że nawet osoby wiedzące, że to może być próba kradzieży, potrafią dać się nabrać.
kradzież
Tu jest l.i.n.k do filmu, w którym tłumaczą jak działają ci oszuści: https://youtu.be/SbCcmLqmQSs
Odpowiedz@kiczorek: Uważaj, bo ci kliknę w jakiś link :P Ale fakt faktem, musiał być jakiś konkretny wyciek też z fejsbuków. Już któryś raz na grupach motoryzacyjnych widziałem linki typu "Pracownica biedry przypadkowo pokazała, jak zarobiła pierdyliard pesos [100% legit][no scam][zobacz jak]" z prywatnych kont ludzi, którzy na danej grupie byli od kilku lat
Odpowiedz@Fahren zauważ proszę, że ten link jest typowy dla youtube.com. Tak właśnie wygląda jak chcesz udostępnić link przez funkcje "udostępnij" na filmie. Zresztą jak się boisz klikasz prawym klawiszem i wybierasz otwórz w trybie incognito. MozeszNaprawdę
Odpowiedz@Fahren możesz również w youtube wpisać "Rozmowa że złodziejami, którzy od miesięcy oszukują Polaków ". Naprawdę polecam, warte obejrzenia.
Odpowiedz@kiczorek: tryb incognito nie chroni przed niczym. Jedyne co robi to automatycznie usuwa historie przeglądania. Do takich rzeczy służy tryb sandbox, który izoluje przeglądane strony od reszty komputera. A najlepiej jest mieć antywirusa, który identyfikuje podejrzane strony w trakcie otwierania i pokazuje ostrzeżenie zanim przejdziesz do strony.
Odpowiedz@Poluck całkowicie się z Tobą zgadzam, jednak przykład który podałem zadziała w 90% przypadków dobrze: przeglądarka nie udostępni plików cookies, strona nie spersonalizuje się i jeśli sam osobiście nie podasz danych wrażliwych jesteś bezpieczny. W dzisiejszych czasach nawet z domyślnym Windows antywirusem trzeba mocno się "nie postarać" żeby dać się zainfekować przez stronę internetową.
Odpowiedz"Czy ma pan/i swoją kartę? Czy robił/a pan/i ostatnio zakupy w internecie?" na te pytania bank powinien znać odpowiedź, więc już tutaj by mi coś smierdzialo. Weryfikację tożsamości przeprowadza się inaczej. Kiepski czas wybrali na takie oszustwa, gdzie każdy przelew trzeba autoryzować pinem z aplikacji, a aktywację appki na telefonie trzeba smsem. To czasem jest strasznie denerwujące gdy robiąc przelew do mamy, na konto na które robię często przelewy od ponad 10 lat, w dodatku nawet na małą kwotę to muszę wpisywać pin, a przy przelewach za ponad 100 zł dodatkowo kod z sms-a... Ale rozumiem że to dla bezpieczeństwa, więc zostaje zacisnąć zęby. Przy zakupach w jakimkolwiek sklepie internetowym też trzeba potwierdzić pinem w appce (czekam aż wprowadzą potwierdzanie płatności w zwykłych sklepach zamiast wpisywania pinu na terminalu. To akurat byłoby spoko) Edit: już pomijając to, że w ciągu 5 sekund można sprawdzić czy faktycznie taki przelew poszedł z konta.
OdpowiedzZmodyfikowano 1 raz. Ostatnia modyfikacja: 14 maja 2021 o 19:27
@Shi: Niby tak, ale nie do końca. W teorii, bank może wykryć nietypowe zachowanie związane z kartą, więc się upewnia, czy karta nie została skradziona, zgubiona, albo w jakiś sposób zduplikowana. W końcu wystarczy podać nr karty i kod z tyłu i można robić zakupy na konto jakiegoś nieszczęśnika. Z jednej strony bank się w ten sposób zabezpiecza - jeśli faktycznie są jakieś przelewy, których właściciel karty nie potwierdził, to lepiej zastrzec kartę, coby kradziej więcej nie wyciągnął. Z drugiej strony bank i tak wtedy twierdzi, że to ciebie okradli, a nie bank, więc gucio ci się należy, a nie odszkodowanie
Odpowiedz@Fahren: nr karty i kod wystarczą do płatności w Internecie, a to potrzeba potwierdzić w appce na telefonie (dlatego polecam mieć appki banku). Odszkodowanie faktycznie się nie należy jeśli karta nie była ubezpieczona... Bo od kogo? Tak czy siak w appce/na stronie można w 5 sekund sprawdzić czy nie kłamią, więc czy tak czy siak scam słaby... Nie wiem jak ktoś może się na to nabrać. Mnie pierwsze co by zaalarmowalo to to, że nie było powiadomienia z appki w stylu "×××zł niej na twoim koncie [nazwa konta]". Ale nawet nie mając appki pierwszym odruchem powinno być zalogowanie się na konto i sprawdzenie czy taki przelew poszedł.
Odpowiedz@Shi: Zależy od banku. Mi swego czasu gotówka z konta ubyła, apka nie zareagowała. I wyszło to w sumie przypadkiem, chciałem coś zamówić, loguję się do banku i widzę, że konto niemal puste. Kartę zastrzegłem, zaznaczyłem, że tych przelewów nie znam, nie autoryzuję, niech cofną. Mimo ubezpieczenia karty - "Nie możemy nic zrobić, bo to pana okradli, nie nas".
Odpowiedz@Shi: nie kiepski czas, tylko rozwój zarówno zabezpieczeń jak i technik oszustów - teraz ofiarę trzeba przekonać do autoryzacji, lub instalacji programu do zdalnej kontroli i przekazania uprawnień do dostępu, kiedyś wystarczyło że złodziej zrobił zdjęcie nr karty ofiary.
Odpowiedz@zlomierz: dlatego właśnie mówię, że trzeba by być wyjątkowo naiwnym by instalować coś z nieznanych stron... Nawet sam android "w standardzie" ma zablokowane instalowanie appek z nieznanych źródeł. Tylko wyjątkowo zielonym by się nie zapaliła lampka, gdy im system krzyczy, że dopieto trzeba zezwolić appce na instalowanie appek z nieznanych źródeł...
Odpowiedz@Shi: oglądałam nagranie z takiej rozmowy i moim zdaniem osoby, które nie są super w temacie mogą się dać nabrać. całość jest dość profesjonalnie przeprowadzona - oszuści dzwonią z numeru infolinii właściwej dla danego banku, podają trochę danych klienta, większa część rozmowy dotyczy bezpieczeństwa w internecie i przy transakcjach, a ta aplikacja to tak niemalże mimochodem, pod koniec. Ja bym się nie dała nabrać, ale wyobrażam sobie, że osoby starsze czy nie bardzo przewrażliwione na punkcie oszustw, mogą się dać namówić, bo w końcu połączenie jest z banku, a pan ma nasze dane i nie chce żadnych nowych.
OdpowiedzPiekielne, ale tak jak każda podatność/atak opisywane na ww. portalach. Myślę, że robienie kopii zawartości na Piekielnych nie ma sensu
Odpowiedz@Michail: Racja, piekielni raczej nie mają takiego zasięgu żeby powiadamiać potencjalne ofiary takiego ataku.
OdpowiedzNa takiej samej zasadzie działają oszuści, podając się za zainteresowanego kupnem za przedmiot wystawiony przez nas na olx. Moj mąż mógłby stać się ofiarą takiego oszustwa gdyby nie moja czujność.
OdpowiedzKażda metoda kradzieży jest piekielna. Będziesz też informować o piekielnej metodzie kradzieży metodą "na wnuczka", albo piekielnej metodzie kradzieży "na butelkę", czy może o tym że piekielni złodzieje oznaczają bramy posesji kredą przed "robotą"?
Odpowiedz