Oszustwa telefoniczne to zaskakująco kreatywna "branża". Technologiczni naciągacze nieustannie wymyślają nowe, coraz bardziej podłe metody na wyłudzanie i kradzież pieniędzy. Plagą telefonii jest dzisiaj spoofing, czyli metoda podszywania się pod prawdziwe organizacje (w tym banki czy BIK). Dzięki specjalnej technologii na ekranie komórki odbiorcy wyświetla się numer wiarygodnej instytucji.
Według definicji, którą posługuje się telefonia Orange, spoofing to:
"Metoda/technika pozwalająca dokonać włamania do systemu lub oszustwa sieciowego. Metoda ta polega na podszyciu się (komputera) pod inną maszynę w sieci. Przykładowe rodzaje podszywania się:
• fałszowanie adresów mailowych (wysyłanie podrobionego e-maila z fałszywym wierszem „Od”)
• fałszowanie adresu IP (wysyłanie pakietu z podrobionym źródłowym adresem IP do „ufającego” hosta, np. wykorzystywane do ataków DDoS)
• przejęcie kontroli nad sesją (napastnik wstawia podrobione pakiety do zestawionej sesji)
• fałszowanie stron WWW (ang. phishing) – napastnik sporządza kopię całej strony internetowej, ruch przechodzi przez komputer napastnika, co pozwala mu śledzić działania ofiary, przechwytywać hasła, numery kont
• fałszowanie konta (wykorzystanie czyjejś nazwy użytkownika i hasła do dostania się do hosta)".
Mówiąc wprost, na telefonie widzimy nazwę znajomego banku, a w słuchawce słyszymy oszusta, który dzięki "profesjonalizmowi" potrafi błyskawicznie zdobyć zaufanie wielu ludzi. Scenariusze rozmowy często przypominają niesławną metodę na wnuczka, a dzięki fałszywemu potwierdzeniu tożsamości rozmówcy, niestworzone historie, które opowiada mogą wydawać się bardziej wiarygodne. Przed spoofingiem ostrzega nie tylko policja. Wiele instytucji, których dobre imię wykorzystują oszuści, stara się edukować klientów.
- Zwracam uwagę na konieczność zachowania szczególnej ostrożności przez nas wszystkich. BIK nigdy nie wymaga podania wrażliwych informacji przez telefon. Wszelkie tego typu sytuacje należy zgłaszać do Centrum Obsługi Klientów BIK. Nowoczesna bankowość i coraz częstsze przenoszenie operacji związanych z wykorzystaniem naszych danych do internetu wymagają od nas czujności i świadomego korzystania z nowych możliwości. Praktycznie wszystkie zidentyfikowane przypadki ingerencji oszustów wynikają z niefrasobliwości i łatwowierności klientów. Jeżeli kogoś zaskakuje telefon z firmy, której nie zna, natychmiast powinien przerwać rozmowę i skontaktować się z biurem obsługi danej firmy na podstawie informacji z oficjalnej strony. Nie wdawajmy się w dyskusję z nieznajomymi – mówi Andrzej Karpiński, Szef Bezpieczeństwa Biura Informacji Kredytowej.
Na ile skuteczny jest spoofing? Wystarczy przyjrzeć się historiom opisanym przez "Super Express". Taka historia przydarzyła się mieszkańcowi Sanoka, który odebrał telefon i stracił ogromną sumę pieniędzy. Skontaktował się z nim telefonicznie mężczyzna podający się za pracownika banku. Mało tego, na wyświetlaczu telefonu pojawiła się nazwa banku, dlatego mężczyzna nie podejrzewał że to telefon od oszusta.
- Rozmówca poinformował, że bank odnotował próbę nielegalnego przelewu z jego rachunku bankowego. W kolejnych krokach rzekomy przedstawiciel banku poprosił mężczyznę o zainstalowanie aplikacji do zdalnej weryfikacji typu QuickSupport. W taki sposób mężczyzna stracił kilkanaście tysięcy złotych - opisywaliśmy.
Polecany artykuł:
- Nie dajmy się na to nabrać! Nigdy tak naprawdę nie możemy mieć pewności kto znajduje się po drugiej stronie słuchawki. Jeżeli ktoś zadzwoni do nas i pod pretekstem potwierdzenia naszej tożsamości prosi nas o podanie swoich danych, pod żadnym pozorem nie podawajmy ich. Spytajmy czego miałaby dotyczyć rozmowa i zapiszmy imię i nazwisko osoby dzwoniącej. Za każdym razem, zanim przekażemy swoje dane, wykonamy przelew czy zainstalujemy jakąś aplikacje, rozłączmy się z rozmówcą i wybierając poprawny numer do danej instytucji upewnijmy się, czy nie mieliśmy do czynienia z oszustami - radzi policja w oficjalnym komunikacie.
Zajmujący się bezpieczeństwem technologicznym serwis Niebezpiecznik.pl tłumaczy, że podczas spoofingu nie trzeba hakować infrastruktury sieci ani telefonu odbiorcy. Do spoofingu wystarczy specjalny internetowy serwis. Według Niebezpiecznika takie istnieją i pozwalają po opłacie dzwonić na podany numer wraz z informacjami, które mają się wyświetlić. Niebezpiecznik zwraca też uwagę, że spoofing istnieje dzięki możliwościom i furtkom, które zostawiają sami operatorzy.
- Protokoły w sieciach telefonii komórkowej są stare i nie umożliwiają wiarygodnego uwierzytelnienia rozmówców i weryfikacji czy danym numerem posługuje się faktycznie jego właściciel. Kiedy te protokoły były projektowane, nikomu do głowy nie przyszło, że jakiś operator może zachować się nie fair w stosunku do innych operatorów i zestawiając połączenie, zamiast prawdziwego numeru telefonu abonenta, wprowadzi inny, cudzy numer telefonu. Rozwój internetu wygenerował potrzebę takich zastosowań. Przykładowo Skype zaczął oferować dzwonienie ze swojego numeru, przez internet (SkypeOut) - tłumaczą autorzy serwisu.
Z podobnych rozwiązań, ale w uczciwych celach, korzysta popularny komunikator Skype. Niestety abonenci nie mają możliwości sprawdzenia czy przychodzące połączenie zostało zespoofowane. Jedynym sposobem na sprawdzenie, czy rozmowa jest "prawdziwa" pozostaje odebranie i analiza rozmowy. Możliwości wykrywania spoofingu mają jednak operatorze. "Diagnoza" jest możliwa także po zakończeniu rozmowy.
Niebezpiecznik tłumaczy, że chociaż operatorzy mogą blokować spoofing, to w praktyce jest to trudne zadanie, które wymagałoby zmian w skomplikowanych protokołach a niektóre zmiany technologiczne wymagałyby... zaangażowania wszystkich (sic!) operatorów na świecie.