Oszustwo „na konsultanta” – jak przechytrzyć atakującego
W ostatnich dniach CERT Orange Polska odebrał kilka zgłoszeń, dotyczących oszustwa „na konsultanta”. Osoby dzwoniące usiłują wyłudzić od ofiary informacje, dotyczące usług bankowości elektronicznej, z której korzysta.
Każda z osób, która skontaktowała się z nami, informowała o rozmowie przychodzącej z numeru komórkowego. W żadnym z przypadków operatorem numeru dzwoniącego nie był Orange Polska. Rozmówca informował, że jest pracownikiem/pracownicą Orange i chce poinformować ofiarę o mającym jej dotyczyć „podejrzanym zachowaniu”.
Metoda „na konsultanta” – oczywiście anonimowego
Emocje wzbudzane już na początku mają przekierować zainteresowanie ofiary na to, co się dzieje z jej kontem. Do tego stopnia, by nie zwróciła uwagi, że nie padły personalia dzwoniącego. Tymczasem gdy kontaktuje się z Wami telefonicznie przedstawiciel Orange Polska, zawsze się przedstawia imieniem i nazwiskiem.
Celem stosowanych w takich sytuacjach sztuczek socjotechnicznych jest wywołanie u ofiary poczucia konieczności natychmiastowych działań. Stąd kolejny krok, czyli informacja o rzekomym kupnie karty SIM na dane osobowe ofiary (w jednym z przypadków) lub wydaniu duplikaty karty przy użyciu dowodu osobistego naszego klienta.
Fałszywy konsultant pyta o… bank
W pierwszym przypadku zgłaszający rozłączył się, druga niedoszła ofiara zdecydowała się dopytać dzwoniącą o szczegóły i dowiedzieć się o co chodziło w ataku „na konsultanta”. Na pytanie o personalia padła odpowiedź: „Dzwonię z centrali”. A czego rozmówczyni oczekiwała od naszego klienta? Chciała „zablokować podejrzane zachowania”, ale w tym celu zadała pytanie o bankowość elektroniczną.
O ile zgłaszający potwierdził, że korzysta na swoim telefonie z aplikacji bankowej, na kolejne pytanie już nie odpowiedział. Fałszywa konsultantka spytała bowiem o nazwę banku. Powodem miała być potrzeba… wysłania zawiadomienia o opisanym problemie do oddziału banku. Co się stało, gdy nasz klient odmówił podania tej informacji?
Kobieta zmieniła ton głosu na zdenerwowany. Powiedziałem, że wolę rozmawiać z moim osobistym doradcą i nie podam jej żadnych danych. Zbulwersowana powiedziała, że w takim razie blokuje duplikat i rozłączyła się.
Po co oszust potrzebował tych danych?
Niestety nie mieliśmy szans przejść z oszustem całego scenariusza, wiadomo jednak, że w opisywanych przypadku celem są poświadczenia logowania do banku. Podszycie „na konsultanta” Orange jest tylko próbą uwiarygodnienia atakującego. Historia tego typu ataków wskazuje, że gdyby nasz klient podał nazwę banku, z prawdopodobieństwem bliskim pewności po chwili odebrałby telefon z „działu bezpieczeństwa” banku.
Co działoby się wtedy? Wtedy kolejny oszust (a może nawet ten sam, udając inny głos) przekazałby dramatyczną informację o tym, że pieniądze rozmówcy są zagrożone. Próbowałby kolejnych socjotechnicznych sztuczek, by przekonać go do podania loginu, hasła i ewentualnie kodu z SMS-a, czy nazwiska panieńskiego matki (w niektórych bankach niezbędne, by podpiąć aplikację mobilną do konta).
Jak nie dać się oszukać „na konsultanta”?
Przede wszystkim nie dać się „nakręcić” emocjonalną treścią. Podobnie jak w przypadku phishingów, być wyczulonym na treści i/lub zachowania, które mają wywołać w nas emocje. A co w tym konkretnym przypadku, próby oszustwa „na konsultanta” Orange Polska? Najlepiej, gdy korzystasz z aplikacji Mój Orange. Wtedy, jeśli masz wątpliwości co do osoby rozmówcy, poproś o autoryzację. Rozmowę kontynuuj jedynie wtedy, gdy w aplikacji Mój Orange zobaczysz potwierdzenie tożsamości konsultanta.
A najlepiej, jeśli masz jakiekolwiek wątpliwości, lub ktoś Cię „nakręca” emocjonalnie – rozłącz się, odetchnij, poczekaj 30 sekund i zadzwoń do instytucji, która miała do Ciebie dzwonić. W przypadku Orange pod numer *100 lub 501 100 100. Pamiętaj też, że wszelkie tego typu zdarzenia możesz też zgłosić do nas. To pomoże nam ostrzec innych internautów.
