Rozmowa z „bankowym” oszustem
Rozmawialiśmy z oszustem, podszywającym się pod bank! Tzn. nie dokładnie my, ale nasz kolega z Orange Polska, Artur, który wysłał nam do CERT Orange Polska informację o próbie oszustwa i nagranie. Ze względu na prywatność podzielimy się wyłącznie spostrzeżeniami z tego, co usłyszeliśmy. Nawet ta forma daje nieco pojęcia, jak taki atak głosowy wygląda.
Pierwsze wrażenie było dobre. Gdy zadzwonił telefon Artura, na ekranie wyświetlił się nr 800 302 302 – faktycznie należący do infolinii banku. Gdy rozmówca, z silnym wschodnim akcentem, poinformował z jakiego banku dzwoni, pojawił się problem:
– Nie mam tam konta bodaj od 15 lat! – tłumaczył Artur.
Wyjaśnijmy też od razu kwestię akcentu rozmówcy. Jesteśmy oczywiście świadomi, iż w Polsce pracuje wielu imigrantów z Ukrainy, czy Białorusi, nie należy więc traktować jako zaskoczenia sytuacji, gdy rozmawia z nami osoba, w której polszczyźnie słychać wschodnie naleciałości. Zaskoczeniem mogła być jednak forma dalszej części rozmowy.
Otóż rzekomy konsultant zadzwonił, by poinformować Artura o „włamaniu na jego konto”. Nie przejął się tym, że jego rozmówca… nie ma tam konta. Słychać było, że idzie wg. skryptu i nic nie wybije go z rytmu:
– Tłumaczę panu, że dzwonię, bo było włamanie na pana konto!
– Ale ja nie mam w tym banku konta, skąd ma pan moje dane?
– Ja panu tłumaczę, że dzwonię, bo było włamanie na pana konto!
W efekcie zirytowany Artur rozłączył się, by jego telefon po chwili zadzwonił. Znów spod tego samego numeru!
– Halo, cwaniaczku, dlaczego pan rozłącza się?
Cóż, mamy różne doświadczenia z profesjonalizmem szeregu infolinii, ale takie dictum zwaliłoby nas z nóg. Oszust nie słuchając nawet odpowiedzi głosem nie kryjącym emocji dodał jeszcze.
– Mam pana dane z systemu Elixir. Numer PESEL, imię, nazwisko, numer karty! Z pana konta próbowano dokonać przelewu!
Po kilku chwilach tłumaczenia nasz kolega rozłączył się, nie ryzykując dalszej rozmowy.
Co się działo?
Przede wszystkim jakim cudem sprawca dzwonił z oficjalnej infolinii? Wcale z niej nie dzwonił, skorzystał po prostu z możliwości podstawienia dowolnego numeru, tzw. Caller ID Spoofingu. Czy znał pełne dane Artura? Faktycznie zadzwonił pod jego numer, podając prawdziwe imię i nazwisko. Czy to świadczy o świeżym wycieku danych? Niekoniecznie, tego typu nasze dane krążą w wielu miejscach w internecie, a być może wyciekły wcześniej. Czy znał PESEL i numer karty? Tutaj stawiamy na blef.
Co robić w takich sytuacjach? Pytajcie o co chodzi, to Wy domagajcie się wyjaśnień, nie dajcie się zmanipulować, bądźcie świadomi, że oszust zawsze będzie chciał grać na Waszych emocjach. Zawsze możecie się rozłączyć, wejść na stronę bank i zadzwonić pod znaleziony tam numer.
I absolutnie NIE podawajcie swoich danych, jeśli nie jesteście ABSOLUTNIE pewni, że to bank.