SMS to nie push w aplikacji!

Potwierdzanie tożsamości konsultanta przez wiadomość push w aplikacji mobilnej staje się coraz częściej używaną formą weryfikacji podczas rozmów telefonicznych. Co na to przestępcy? Starają się oszukać ofiary przy użyciu SMS-ów.

Dzień dobry, nazywam się [imię i nazwisko], zanim przejdziemy do kontynuowania rozmowy proszę o potwierdzenie w aplikacji mobilnej.

Tak wygląda najbezpieczniejsze rozpoczęcie rozmowy z konsultantem w banku. Fakt, iż tożsamość potwierdzamy w aplikacji, daje nam stuprocentową pewność, że nie mamy do czynienia z oszustem. Najnowsze SMS-y, które trafiają do CERT Orange Polska, m.in. za pośrednictwem nr 508 700 900 dowodzą, że oszuści są tego świadomi i zaczynają szukać sposobów na ominięcie zabezpieczenia.

Czym może się skończyć próba przekonania ofiary przy użyciu SMS-owego „potwierdzenia tożsamości”, że ma do czynienia z prawdziwym konsultantem? Bazując na naszym doświadczeniu i modus operandi sprawców stawiamy na to, że w kolejnym kroku „konsultant” podejmie próbę przekonania do zainstalowania oprogramowania do zdalnego pulpitu. A w efekcie przejęcia pełnej kontroli nad komputerem/kontem bankowym ofiary.

Co robić?

Przede wszystkim działać zgodnie z zasadą ograniczonego zaufania. Prawo do zastrzegania tzw. nadpisów, czyli nazwy nadawcy, które widzimy w miejscu numeru, mają wyłącznie podmioty administracji publicznej. W innych przypadkach każdy może użyć nadpisu, charakterystycznego np. dla banku. W efekcie, jeśli otrzymujemy regularnie SMS-y od banku, możemy odruchowo uznać wiadomość od oszustów za rzetelną. No i pamiętajmy, że przy tworzeniu nadpisów oszuści mogą dać upust kreatywności, w efekcie czego możemy otrzymać wiadomość od „Miilennium”, „Satnander”, czy „mBnak”.

Warto dowiedzieć się, czy Twój bank używa dodatkowego zabezpieczenia przy potwierdzaniu tożsamości konsultanta. Jeśli stosuje komunikaty push w aplikacji mobilnej – nie reaguj na SMS-y sugerujące potwierdzenie tożsamości! Najlepiej po prostu zgłoś ten fakt od razu do swojego banku.