Vishing - podejrzany telefon „z banku" lub „z IT". Co powiedzieć, czego nie podawać
Przestępcy podszywają się pod bank lub IT, używając spoofingu numerów, by przejąć dane. Warto wiedzieć, jak rozpoznać fałszywe połączenie, skutecznie sprawdzić dzwoniącego i bezpiecznie zakończyć rozmowę przed utratą kontroli nad kontem.
Czerwone flagi - tego nigdy nie zrobi pracownik banku
Prawdziwi konsultanci bankowi oraz administratorzy IT działają na podstawie ścisłych procedur. Oszustwo wymaga nagięcia tych zasad. Poniżej znajdziesz sygnały, które jasno sugerują, że nie masz do czynienia z pracownikiem instytucji, a z oszustem.
Żądanie haseł i kodów
Pracownicy banków i działów IT nie mają uprawnień, by żądać:
- haseł do logowania;
- kodów PIN i CVV/CVC;
- kodów BLIK;
- treści SMS-ów autoryzacyjnych.
Systemy bankowe zapewniają im dostęp do niezbędnych funkcji bez angażowania klienta. Jeśli rozmówca chce, by podyktować mu te dane, z pewnością próbuje je ukraść.
Presja czasu i groźba katastrofy
Scenariusze vishingu opierają się na pośpiechu. Dlatego stosuje się w nim komunikaty typu „pieniądze znikają" lub „haker jest na łączu", które mają wyłączyć analityczne myślenie. Systemy bezpieczeństwa banków blokują podejrzane transakcje automatycznie.
Kontakt ze strony konsultanta ma charakter informacyjny, już po fakcie zablokowania transakcji. Ale żądanie, by działać natychmiast pod groźbą utraty środków, to już manipulacja.
Zdalny pulpit ("Na informatyka")
Atakujący sugeruje, by zainstalować oprogramowanie typu AnyDesk lub TeamViewer pod pretekstem „czyszczenia komputera". Gdy ktoś wykona polecenie i przekaże kod dostępu, odda pełną kontrolę nad myszką i klawiaturą. Umożliwi to podgląd logowania do bankowości. Profesjonalne działy IT nie wymagają, by instalować zewnętrzne oprogramowanie drogą telefoniczną.
Natychmiast przerwij połączenie
Czasem trudno odmówić rozmówcy, ale bezpieczeństwo zawsze powinno mieć priorytet. Nie musisz się tłumaczyć - po prostu przerwij połączenie, by zweryfikować sprawę.
Jak powinna przebiegać taka rozmowa? Oto przykład.
Oszust: „Dzień dobry, tu Piotr Nowak, dział bezpieczeństwa. Odnotowano próbę włamania. Musi Pan natychmiast zainstalować aplikację..."
Ty: „Rozumiem. Muszę to sprawdzić ze względów bezpieczeństwa".
Oszust: „Nie ma czasu! Środki są właśnie wyprowadzane!"
Ty: „W takim razie systemy bankowe już zadziałały. Rozłączam się, by potwierdzić sprawę na oficjalnej infolinii".
Przerwij połączenie, nie czekając na akceptację rozmówcy. Groźby blokady konta są blefem, który trzeba zignorować.
Sprawdź, czy to prawda
Gdy rozmowa się zakończy, trzeba sprawdzić stan faktyczny. Kontakt z instytucją musi nastąpić z inicjatywy klienta - jest to zasada weryfikacji out-of-band (niezależnym kanałem).
W żadnym wypadku nie korzystaj z funkcji „oddzwoń", gdyż może to połączyć ponownie z oszustem. Numer należy wprowadzić ręcznie, bazując na danych z karty płatniczej lub oficjalnej strony internetowej. W przypadku ataku „na IT" skontaktuj się ze współpracownikiem lub przełożonym, by potwierdzić trwanie prac serwisowych.
Nie daj się oszukać - zabezpiecz swoją firmę
Asertywność i ograniczone zaufanie to najskuteczniejsza tarcza przed vishingiem. Potraktuj lęk jako sygnał ostrzegawczy: gdy tylko go poczujesz, natychmiast przerwij połączenie. Każdą wątpliwość możesz potem wyjaśnić, dzwoniąc samodzielnie do banku.
Sprawdź także: Czym jest phishing? Jak chronić siebie i swoją firmę
Czy Twoi pracownicy wiedzą, co odpowiedzieć, gdy zadzwoni fałszywe wsparcie techniczne? Warto to sprawdzić w kontrolowanych warunkach. Zamów testy socjotechniczne i sprawdź odporność firmy na tego typu ataki.
