„Dzień dobry, tu pracownik banku. Pani/Pana pieniądze są zagrożone. Proszę o szybką weryfikację danych do konta lub instalację ważnej aplikacji”. Naiwny spoofing? Może i tak, ale często najprostsze sposoby cyberprzestępców są najbardziej skuteczne.
Spoofing telefoniczny – czym właściwie jest?
Spoofing telefoniczny to nic innego jak podszywanie się pod dowolny numer lub nazwę kontaktu w telefonie. Oznacza to, że mimo wyświetlanej w telefonie nazwy (np. Tomasz) czy po prostu numeru telefonu (np. numeru infolinii banku czy innej instytucji), tak naprawdę dzwoni do nas lub pisze wiadomości zupełnie inna osoba. Bardzo często będzie to oszust, którego celem jest pozyskanie danych autoryzacyjnych do konta bankowego i kradzież pieniędzy.
A zatem oszust wykorzystujący metodę spoofingu telefonicznego/SMS-owego podszywa się pod konkretne numery, udając właściciela danego numeru – naszego znajomego, pracownika naszego banku, urzędnika czy nawet policjanta. Taka niebezpieczna sytuacja wynika z niezbyt wiarygodnej identyfikacji połączeń przychodzących. Istnieje bowiem możliwość zamiany numeru strony inicjującej połączenie. Nie ma to jednak nic wspólnego z włamaniem do telefonu.
Spoofing to nie Pegasus
W tym miejscu warto obalić jeden z mitów na temat spoofingu. Działający za pomocą tej metody oszuści nie infekują naszego telefonu bezpośrednio. Nie mamy tu żadnej inwigilacji czy włamania się na sprzęt ofiary. Ze względu na to, że infrastruktura telefoniczna wciąż używa przestarzałych protokołów, przestępcy dosyć łatwo mogą podszyć się pod każdy numer telefonu. To wszystko. Eksperci od cyberbezpieczeństwa wskazują, że w zasadzie nie ma firm, które mogłyby się skutecznie przed nim chronić. Co innego ich klienci. Tylko prosta weryfikacja wystarczy, aby taki spoofing zablokować.
Niestety im więcej danych o nas posiadają oszuści, tym wykrycie spoofingu będzie trudniejsze. Wystarczy, że telefoniczni przestępcy podszywają się pod nr telefonu bliskiej nam osoby, a następnie poproszą o „przypomnienie” jakiegoś hasła, czy też loginu, bo właśnie ta osoba płaci za zakupy i nie może się zalogować”. Mogą to zrobić za pomocą SMS-a, aby nie wzbudzać podejrzeń w trakcie rozmowy. Jeśli odpiszemy w tej samej wiadomości, będzie to oznaczało spory problem, nasza wiadomość dotrze bowiem na numer oszusta. Jednak wystarczy zadzwonić do naszego znajomego i dokonać weryfikacji, aby ustrzec się przed oszustami. Nie zawsze jest to jednak takie proste. Częściej bowiem ulegamy prostej socjotechnice czy też zgubnej rutynie, niż zaawansowanym programom do szpiegowania.
Banki widzą wzmożenie ataków spoofingowych
Postanowiliśmy zapytać banki działające w Polsce, jak wygląda sytuacja ze spoofingiem w ich mniemaniu, czy rzeczywiście problem jest poważny, jak sobie radzą z edukacją klientów oraz jakie rozwiązania stosują w sytuacji, kiedy edukacja może być nieskuteczna. W dużej większości banki potwierdzają, że w ostatnich miesiącach mamy do czynienia z nagromadzeniem ataków spoofingowych. - W poprzednich latach można je było uznać marginalne i jednostkowe. Niestety od drugiego kwartału 2021 zauważamy tu znaczny wzrost. Najwięcej przypadków odnotowaliśmy w trzecim kwartale 2021 – informuje Paweł Rzewuski, dyrektor Departamentu Bezpieczeństwa i Ryzyka Operacyjnego Banku Pocztowego.
Zainteresowanie oszustów swoimi klientami potwierdza też Alior Bank. - Jeśli chodzi o skalę prób wyłudzeń na przestrzeni ostatnich lat, to oczywiście dostrzegamy trend wzrostowy. Dziesięć lat temu problem oszustw czy wyłudzeń w kanałach cyfrowych był marginalny. Obecnie jest to zjawisko wymagające od banku wielu kompleksowych działań – nie tylko w zakresie wdrażania zaawansowanych systemów czy technologii, ale też w zakresie rozpoznawania i zbierania informacji o zagrożeniach, edukacji klientów czy współpracy zarówno z innymi bankami jak i podmiotami spoza sektora bankowego i organami ścigania – informuje biuro prasowe Aliora. Wzmożone ataki na klientów zauważa również największy bank w Polsce. - Niestety, od ponad roku próby oszustw tego typu stały się dość częste. Na szczęście klienci są coraz bardziej na nie wyczuleni. Przestępcy wykorzystują słabość infrastruktury GSM i są w stanie podszyć się pod dowolny numer telefonu – infolinii bankowej, ale też policji czy prokuratury – informuje Magdalena Lejman z biura prasowego PKO BP. Wtóruje jej Marcin Fronczak, menadżer bezpieczeństwa w mBanku. - Niestety, spoofing jest problemem, który dotyka klientów na całym rynku. Obserwujemy, że ta metoda jest coraz powszechniej wykorzystywana przez przestępców – zauważa.
Skąd zainteresowanie bankami? Oczywiście dlatego, że są tam pieniądze, ale nie tylko. Po prostu jest to kolejna metoda, która w jakimś wymiarze dla przestępców stała się skuteczna. – Wzrost ataków spoofingowych cechuje się dużą zmiennością, która wynika z działań lub ich braku ze strony przestępców w konkretnych obszarach rynku. Przestępcy stale zmieniają kierunki ataków w poszukiwaniu grup klientów, którzy będą skłonni ulec tego typu atakowi, a co za tym idzie, atakują klientów różnych instytucji, wśród których znajdują się również banki – dodaje Marcin Sereda, dyrektor Biura Bezpieczeństwa Informacji w Credit Agricole.
Jedynym z przepytywanych przez nas banków, które zdecydowały się na udzielenie odpowiedzi, w którym nie wykryto zwiększenia ataków cyberprzestępczych metodą spoofingu był bank ING. Co oczywiście nie oznacza, że ich nie ma.
Jak atakuje się klientów banków – największe zagrożenia?
Analizując zjawisko spoofingu telefonicznego, należy pamiętać, że w takim przypadku nie następuje przełamanie zabezpieczeń systemów informatycznych banku, a maskowanie numeru telefonu ma miejsce poza infrastrukturą instytucji finansowej. Oznacza to, że banki nie mają technicznych możliwości zablokowania spoofingu, jeśli ofiary dobrowolnie, choć pod wpływem ataku podadzą w rozmowie, SMS-ie, mailu czy wiadomości w komunikatorze dane dostępowe do konta, numery autoryzacyjne, hasła, loginy i PIN-y.
Jak przestępcy wyszukują swoje ofiary? - Oszuści dzwonią do osób, których dane pochodzą najczęściej z mediów społecznościowych czy wycieków z różnych portali i przedstawiają się jako pracownicy banku lub innej instytucji zaufania społecznego. Nawet jeśli nie trafią w nazwę banku ofiary, udają, że przełączają ją do właściwej instytucji. Często wykorzystują pretekst zabezpieczenia konta – informują o zablokowaniu rzekomego przelewu na dużą kwotę lub podejrzanej płatności kartą. Najczęściej twierdzą, że bank zablokował podejrzaną transakcję i potrzebuje od ofiary pełnych danych logowania do serwisu, karty lub kodów blik. Czasem proszą o wykonanie transakcji, zalogowanie się do konta, zainstalowanie oprogramowania typu AnyDesk, TeamViewer itd. Oprogramowanie to pozwala „podglądać” komputer ofiary – tłumaczy Magdalena Lejman z PKO BP. Wykorzystując zdenerwowanie ofiary, wyłudzają dane dostępowe do bankowości elektronicznej, dane kart płatniczych, kody BLIK, nalegają na zainstalowanie aplikacji lub przelanie pieniędzy na „konto techniczne”. W istocie dane uzyskane w trakcie rozmowy pozwalają im okraść ofiarę, a zainstalowana na jej telefonie aplikacja służy wykradaniu np. kodów autoryzacyjnych.
- Ostatnio bardzo popularne są ataki przez telefon (tzw. voice phishing), w których przestępcy używają technik podszywania się pod numer banku. Ich celem jest zazwyczaj nakłonienie ofiary do realizacji konkretnych działań – np. zainstalowania oprogramowania, które pozwala na zdalną kontrolę naszego komputera – zauważa z kolei Tomasz Wilczyński, Dyrektor Biura Projektowania i Architektury Rozwiązań CyberSecurity w Banku BNP Paribas.
Czy klienci informują o atakach spoofingowych?
Oczywiście skalę ataków pomimo ich wzmożenia trudno na razie ocenić. Banki strzegą pilnie statystyk, zgodnie z przyjętą polityką bezpieczeństwa. Nie zmienia to jednak faktu, że tego typu zgłoszenia się pojawiają. Niezależnie czy mamy do czynienia ze spoofingiem, czy jego podejrzeniem.
- W większości przypadków, dzięki kampaniom i edukacji, klienci zgłaszają próby takich zachowań i opisują sytuację, w której odebrali telefon od osoby podającej się za pracownika bezpieczeństwa banku, jednak z różnych powodów wzbudziła ich podejrzenia, dlatego żadnych danych nie przekazali. Stosunkowo niewielka liczba zgłoszeń dotyczy udanych ataków na klientów banku. Każdy przypadek jest przez bank analizowany, a klient jest informowany telefonicznie, że kontakt nie był zlecany z Banku i była to próba oszustwa – tłumaczy Paweł Rzewuski z Banku Pocztowego.
Podejrzenie to jeszcze nie spoofing, ale warto je zgłosić, choćby dla zasady, Wtedy bank może choćby poprzez kanały social media poinformować klientów o ewentualnym ataku. Dzięki takim zgłoszeniom bank może poza odpowiednimi procedurami zwiększyć zaangażowanie działów bezpieczeństwa w odpowiednim obszarze. - Klienci zgłaszają się do nas w sytuacji, gdy podejrzewają atak lub w momencie, gdy przypuszczają, że stali się ofiarami ataków. Każde takie zgłoszenie dokładnie analizujemy, a także śledzimy aktualne sposoby działania przestępców, żeby na tej podstawie modyfikować zabezpieczenia w naszych systemach – informuje Tomasz Wilczyński, Dyrektor Biura Projektowania i Architektury Rozwiązań CyberSecurity w Banku BNP Paribas.
- Co miesiąc blokowane są przez nas dziesiątki, a nawet setki fałszywych stron bankowych. Identyfikujemy również podobną skalę przejmowanych przez przestępców danych do logowania do systemów bankowych. Zdecydowaną większość z tych ataków udaje się nam skutecznie zablokować. Niestety, w niektórych typach ataków socjotechnicznych na Klientów, w szczególności metodach „na pracownika” banku lub prośby od „znajomego” o podanie kodu BLIK, kluczowe jest zachowanie szczególnej ostrożności przez samego Klienta – dodaje. Każde zgłoszenie do banku podejrzanej transakcji czy ewentualnego zagrożenia to także możliwość weryfikacji, czy dany numer telefonu lub niedawno przeprowadzona rozmowa, „wyszła” call center banku, czy jest to próba oszustwa. - Klienci banku zgłaszają nam takie przypadki. Najczęściej wtedy, gdy potwierdzają, czy to faktycznie pracownik banku do nich dzwonił, jak i w tych przypadkach, gdy klient już stał się ofiarą przestępców i stracił swoje środki. Bank ma możliwość zweryfikować, czy było wykonywane połączenie do klienta przez pracownika banku. Wraz ze stałym wzrostem ataków zwiększyła się liczba klientów zgłaszających takie przypadki do banku – wskazuje Marcin Sereda, dyrektor Biura Bezpieczeństwa Informacji w Credit Agricole.
Jak banki chronią swoich klientów?
Obraz wynikający z rozmów z bankowcami nie jest zbyt kolorowy, głównie dla klientów. Skoro atak nie następuje bezpośrednio na infrastrukturę bankową, ale nakierowany jest na wydobycie danych od klienta, instytucje nie mogą zbyt wiele zrobić. Jedynym obszarem, jaki pozostaje do nadrobienia, jest edukacja klientów oraz często wzmożone, ale czasem skuteczne ostrzeganie przed atakami. - Niestety często ofiary tego typu przestępstwa własnoręcznie instalują na telefonach oprogramowanie nieznanego pochodzenia, które umożliwia przestępcom przejęcie kontroli nad ich urządzeniem mobilnym lub przekazują osobom trzecim hasła/tokeny wielostopniowej weryfikacji tożsamości, co dodatkowo utrudnia przeciwdziałanie tego typu praktykom. Dlatego akurat w przypadku tego przestępstwa edukacja klientów ma priorytetowe znaczenie – zauważa Rafał Winnicki, Dyrektor Departamentu Bezpieczeństwa Operacyjnego i Nadużyć w Getin Noble Banku.
Wszystkie banki, które przepytaliśmy na tę okoliczność, oczywiście edukują swoich klientów w obszarze nie tylko spoofingu, ale także wszelkich możliwych zagrożeń w cyberświecie. Dotyczy t o zarówno kampanii mailingowych, informacji na stronie w postaci komunikatów bezpieczeństwa, wiadomości tekstowych, pushy w aplikacjach czy reklam w prasie jak i telewizji, a kończąca na ulotkach i plakatach w oddziałach. Czy da się zrobić coś więcej? Oczywiście banki prowadzą też monitoring cyberataków i zagrożeń w sieci – o czym informuje m.in. ING. W sytuacji kiedy mogą interweniować, oczywiści e to robią za pomocą odpowiednich narzędzi. - W banku funkcjonuje zespół bezpieczeństwa, który prowadzi całodobowy monitoring podejrzanych transakcji płatniczych. W zależności od okoliczności często to bank pierwszy podejmuje kontakt z klientem, w przypadku podejrzenia takiej sytuacji — informuje Marcin Fronczak, menadżer bezpieczeństwa w mBanku.
Jako jeden ze sposobów weryfikacji pracownika banku Alior Bank podaje możliwość ustalenia przez klienta tzw. hasła do weryfikacji zwrotnej. Jest to hasło lub fraza wymyślone przez klienta. - Kiedy odbiera telefon od osoby twierdzącej, że jest przedstawicielem naszego banku, może poprosić o podanie tego hasła. Dzięki temu klient samodzielnie zweryfikuje, czy rozmawia z pracownikiem banku – tłumaczy biuro prasowe Aliora. Z kolei w mBanku dostępna jest funkcja mobilnej autoryzacji (powiadomienia w aplikacji mobilnej), z informacją kto dzwoni. Dotyczy ona części połączeń — głównie wykonywanych przez doradców klienta pracujących w placówkach lub pracowników departamentu bezpieczeństwa czy backoffice. Od niedawna banki uruchamiają też w swoich aplikacjach mobilnych weryfikację, która pozwala sprawdzić, czy mamy do czynienia z prawdziwym pracownikiem banku. Działa ona już w PKO BP. Klient otrzyma w aplikacji wiadomość (push) z danymi pracownika i poprosi go o podanie tych danych np. imienia i nazwiska — jeśli dane się zgadzają zatwierdza je PIN-em do IKO.
Może to niewiele, ponieważ z pewnością najbardziej narażeni na spoofing będą użytkownicy niekorzystający nadmiernie z cyfrowych kanałów. Jednak jeśli uda się uchronić choćby jednego użytkownika przed spoofingiem, to już duży sukces. Na koniec warto dodać, że banki aktywnie uczestniczymy w pracach np. FinCERT.PL, czyli Bankowego Centrum Cyberbezpieczeństwa przy ZBP, rozwijają własne inicjatywy walki z cyberatakami, bądź korzystają z usług komercyjnych firm do ochrony swoich klientów.
Jak się chronić przed spoofingiem telefonicznym? ZBP przedstawia poradnik
Należy stosować się do kilku ważnych zasad, aby choć trochę uchronić się przed spoofingiem. Oto najważniejsze z nich:
- nie podawaj loginu i hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, daty ważności, imienia i nazwiska posiadacza karty) – te informacje są poufne, powinny być tylko w posiadaniu użytkownika i nikt nie ma prawa wymagać ich podania, prawdziwy przedstawiciel banku nigdy o to nie zapyta,
- nigdy nie ujawniaj kodów do bankowości internetowej oraz kodów 3D Secure wykorzystywanych do autoryzacji transakcji kartowych w Internecie, przychodzących na telefon,
- zawsze czytaj treść SMS-ów, jakie przychodzą na twój telefon lub komunikatów w aplikacji mobilnej w trakcie połączenia z rzekomym przedstawicielem banku, lub innej instytucji. Z ich treści może wynikać, iż akceptujesz transakcję, którą przygotowali przestępcy,
- jeżeli rozmowa wzbudza jakiekolwiek wątpliwości lub niepokój, należy rozłączyć się, odczekać minimum 30 sekund, a następnie samodzielnie połączyć z instytucją, której rzekomy przedstawiciel dzwonił, koniecznie wybierając oficjalny numer na klawiaturze numerycznej, a nie oddzwaniając na wcześniejsze połączenie
- należy zachować zdrowy rozsądek i zimną krew, nawet jeżeli zostało się poinformowanym o potencjalnym zagrożeniu np. utrata środków. Należy spokojnie przemyśleć, czy środki naprawdę mogą być w niebezpieczeństwie, czy może rozmowa prowadzona jest z oszustem, który dopiero sytuację chce wykorzystać. Dobrym krokiem będzie przerwanie połączenia i ponowne jego zainicjowanie zgodnie z zasadą powyżej.
- należy zawsze mieć świadomość, że wyświetlony numer telefonu lub nazwa banku nie są gwarancją, że rozmawiamy z prawdziwym przedstawicielem banku.
Każdy klient banku powinien pamiętać, że każdorazowo ma prawo zgłosić nietypową sytuację do banku, a w sytuacji podejrzenia, że doszło lub mogło dojść do popełnienia przestępstwa, również zawiadomić policję.