hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Oszustwo „na konsultanta” – jak przechytrzyć atakującego

W ostatnich dniach CERT Orange Polska odebrał kilka zgłoszeń, dotyczących oszustwa „na konsultanta”. Osoby dzwoniące usiłują wyłudzić od ofiary informacje, dotyczące usług bankowości elektronicznej, z której korzysta.

Każda z osób, która skontaktowała  się z nami, informowała o rozmowie przychodzącej z numeru komórkowego. W żadnym z przypadków operatorem numeru dzwoniącego nie był Orange Polska. Rozmówca informował, że jest pracownikiem/pracownicą Orange i chce poinformować ofiarę o mającym jej dotyczyć „podejrzanym zachowaniu”.

Metoda „na konsultanta” – oczywiście anonimowego

Emocje wzbudzane już na początku mają przekierować zainteresowanie ofiary na to, co się dzieje z jej kontem. Do tego stopnia, by nie zwróciła uwagi, że nie padły personalia dzwoniącego. Tymczasem gdy kontaktuje się z Wami telefonicznie przedstawiciel Orange Polska, zawsze się przedstawia imieniem i nazwiskiem.

Celem stosowanych w takich sytuacjach sztuczek socjotechnicznych jest wywołanie u ofiary poczucia konieczności natychmiastowych działań. Stąd kolejny krok, czyli informacja o rzekomym kupnie karty SIM na dane osobowe ofiary (w jednym z przypadków) lub wydaniu duplikaty karty przy użyciu dowodu osobistego naszego klienta.

Fałszywy konsultant pyta o… bank

W pierwszym przypadku zgłaszający rozłączył się, druga niedoszła ofiara zdecydowała się dopytać dzwoniącą o szczegóły i dowiedzieć się o co chodziło w ataku „na konsultanta”. Na pytanie o personalia padła odpowiedź: „Dzwonię z centrali”. A czego rozmówczyni oczekiwała od naszego klienta? Chciała „zablokować podejrzane zachowania”, ale w tym celu zadała pytanie o bankowość elektroniczną.

O ile zgłaszający potwierdził, że korzysta na swoim telefonie z aplikacji bankowej, na kolejne pytanie już nie odpowiedział. Fałszywa konsultantka spytała bowiem o nazwę banku. Powodem miała być potrzeba… wysłania zawiadomienia o opisanym problemie do oddziału banku. Co się stało, gdy nasz klient odmówił podania tej informacji?

Kobieta  zmieniła ton głosu na zdenerwowany. Powiedziałem, że wolę rozmawiać z moim osobistym doradcą i nie podam jej żadnych danych. Zbulwersowana powiedziała, że w takim razie blokuje duplikat i rozłączyła się.

Po co oszust potrzebował tych danych?

Niestety nie mieliśmy szans przejść z oszustem całego scenariusza, wiadomo jednak, że w opisywanych przypadku celem są poświadczenia logowania do banku. Podszycie „na konsultanta” Orange jest tylko próbą uwiarygodnienia atakującego. Historia tego typu ataków wskazuje, że gdyby nasz klient podał nazwę banku, z prawdopodobieństwem bliskim pewności po chwili odebrałby telefon z „działu bezpieczeństwa” banku.

Co działoby się wtedy? Wtedy kolejny oszust (a może nawet ten sam, udając inny głos) przekazałby dramatyczną informację o tym, że pieniądze rozmówcy są zagrożone. Próbowałby kolejnych socjotechnicznych sztuczek, by przekonać go do podania loginu, hasła i ewentualnie kodu z SMS-a, czy nazwiska panieńskiego matki (w niektórych bankach niezbędne, by podpiąć aplikację mobilną do konta).

Jak nie dać się oszukać „na konsultanta”?

Przede wszystkim nie dać się „nakręcić” emocjonalną treścią. Podobnie jak w przypadku phishingów, być wyczulonym na treści i/lub zachowania, które mają wywołać w nas emocje. A co w tym konkretnym przypadku, próby oszustwa „na konsultanta” Orange Polska? Najlepiej, gdy korzystasz z aplikacji Mój Orange. Wtedy, jeśli masz wątpliwości co do osoby rozmówcy, poproś o autoryzację. Rozmowę kontynuuj jedynie wtedy, gdy w aplikacji Mój Orange zobaczysz potwierdzenie tożsamości konsultanta.

Schemat autoryzacji w aplikacji mobilnej. W przypadku ataku "na konsultanta" oszust jej nie przeprowadzi.

A najlepiej, jeśli masz jakiekolwiek wątpliwości, lub ktoś Cię „nakręca” emocjonalnie – rozłącz się, odetchnij, poczekaj 30 sekund i zadzwoń do instytucji, która miała do Ciebie dzwonić. W przypadku Orange pod numer *100 lub 501 100 100. Pamiętaj też, że wszelkie tego typu zdarzenia możesz też zgłosić do nas. To pomoże nam ostrzec innych internautów.


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.