Osoba podająca się za pracownika jakiejś firmy prosi Cię o hasła lub poufne dane? Na bankomacie widzisz jakąś podejrzaną „listwę”? Uważaj, to może być próba wyłudzenia Twoich danych i w konsekwencji przejęcia dostępu do Twojego konta lub karty płatniczej.
Vishing
czyli „voice phishing”, to przestępstwo, którego celem jest wyłudzenie poufnych danych lub informacji przez telefon. Przestępca podszywa się pod osoby lub instytucje godne zaufania, np. bank, operatora telefonicznego lub urząd. Twoje dane mogą potem zostać wykorzystane, np. do kradzieży pieniędzy z konta lub zaciągania zobowiązań w Twoim imieniu.
Jak działa przestępca? Dzwoni do wybranej osoby i podaje się za pracownika instytucji zaufania, np. banku, operatora komórkowego, itp. Aby dodać rozmowie wiarygodności, zwykle pyta o imię i nazwisko rozmówcy, adres, PESEL i potwierdza tożsamość. Później dopytuje o bardziej poufne dane, np. pełne loginy, hasła (całe lub wybrane znaki), numery kart, kody weryfikacyjne do kart (CVV), właśnie otrzymane kody autoryzujące transakcje, itp.
Bywa, że chcąc być w stu procentach wiarygodnym, wysyła wiadomość SMS lub email, zawierającą numer telefonu, pod którym odbiorca ma zaktualizować swoje dane. Po połączeniu się z podanym numerem telefonu włącza się automat, który poprosi o podanie poufnych danych klienta.
Skimming
Celem tego przestępstwa jest zdobycie danych związanych z konkretną kartą płatniczą (bankomatową lub kredytową). Przestępcy wyłudzają je od nieostrożnych internautów dokonujących zakupów on-line albo zakładając specjalne nakładki na urządzeniach odczytujących karty. Mogę się one pojawić wszędzie tam, gdzie są używane karty płatnicze – w sklepach, na stacjach benzynowych, w lokalach gastronomicznych itp. Sprzedawca współpracujący z przestępcami lub sam będący przestępcą, kopiuje dane zapisane na pasku magnetycznym karty płatniczej przy pomocy niewielkiego urządzenia podłączonego do terminala płatniczego. „Wadą” tego typu operacji jest krótki czas kontaktu urządzenia z kartą i praktycznie brak możliwości odczytania kodu PIN.
Dlatego znacznie groźniejszy jest skimming w bankomatach. Jeden z elementów „systemu” znajduje się w szczelinie, do której wkłada się kartę. Jego zadaniem jest zeskanowanie danych z paska magnetycznego karty, by można je było przekopiować na czysty nośnik. Drugi element, to miniaturowa kamera umieszczana nad klawiaturą (często dla niepoznaki ma wygląd listwy świetlnej oświetlającejklawiaturę), by przestępcy poznali kod PIN związany z daną kartą.
Tego typu przestępczością trudnią się na ogół zagraniczne gangi. Zdobyte w ten sposób dane nanoszone są na czyste karty i wykorzystywane w różnych mniej lub bardziej egzotycznych krajach do zakupów lub wypłat z bankomatów. Wytropienie przestępców jest szalenie trudne, bo dane o transakcjach spływają do banku wystawcy prawdziwej karty często dopiero po kilku dniach, klient orientuje się, że został okradziony z dużym opóźnieniem.
Phishing i pharming
Phishing polega na rozsyłaniu do odbiorców informacji o „kłopotach” z serwerem (banku, sklepu internetowego, portalu aukcyjnego itp.), które spowodowały utratę danych i z prośbą o zalogowanie się na stronie internetowej pod podanym linkiem.
Celem przestępców jest zmylenie użytkownika, by ten, zupełnie w dobrej wierze, zalogował się na podanej stronie i wpisał dane dostępowe do konta bankowego czy swego konta w sklepie internetowym, na portalu aukcyjnym. Program powiązany z taką stroną zapisuje dane dostępowe do rachunku danego użytkownika i przestępcy mają już „klucz” do swobodnego korzystania z pieniędzy jego właściciela.
Niektórzy przestępcy idą „na całość” i po prostu wysyłają do odbiorców maile z prośbą (niekiedy wręcz z żądaniem) podania danych dostępowych do konta bankowego czy do wybranych sklepów internetowych. Bywa, że nie precyzują nawet o jaki bank im chodzi, bo po prostu nie wiedzą na klienta jakiego banku trafią!!!
Najbardziej zaawansowaną formą przestępstw tego typu jest pharming. Przestępcy tworzą strony internetowe do złudzenia przypominające autentyczne strony banków i podstawiają je w miejsce prawdziwych stron. Klient logując się do bankowości internetowej na takiej stronie nieświadomie przekazuje przestępcom wszelkie dane dostępowe do bankowości internetowej.
Jak się bronić?
- Zachowaj zdrowy rozsądek. Traktuj z ostrożnością wszystkie telefony, emaile i SMS-y z prośbą o dane osobowe i poufne dane dotyczące Twojej osoby lub pieniędzy.
- Nie podawaj swoich danych, jeśli masz wątpliwości z kim rozmawiasz.
- Zanotuj imię i nazwisko rozmówcy. Zadzwoń do banku lub instytucji, za której pracownika się podaje i potwierdź jego tożsamości.
- Jeżeli zostałeś poproszony o dane, o które do tej pory bank nie pytał, zadzwoń do banku i sprawdź, czy pracownik ma prawo o nie prosić. Numery telefonów do banku w imieniu, którego dzwoni ktoś dzwoni znajdziesz na stronie internetowej danej instytucji.
- Nie korzystaj z numeru podanego przez osoby dzwoniące.
- Przed wypłatą pieniędzy z bankomatu z użyciem karty płatniczej przyjrzyj się urządzeniu. Zwróć uwagę, czy klawiatura nie jest dziwnie pogrubiona, czy nie ma na nim jakiś odstających elementów, czy przy szczelinie, do której należy włożyć kartę nie ma podejrzanych ramek.
- Nie odpowiadaj na podejrzane e-maile, nie wypełniaj żadnych formularzy, w których jesteś proszony o „przypomnienie” danych personalnych czy dostępowych.
- Pamiętaj, że banki i instytucje finansowe stosują do zabezpieczania swoich witryn internetowych specjalny protokół, dzięki któremu adres strony internetowej zaczyna się od https (nie od http) i znajduje się przy nim symbol kłódki.
W przypadku podejrzeń o wyłudzenie danych lub „nietypowo” wyglądających bankomatów, powiadom bank i zgłoś sprawę na policji.
Warto też na bieżąco śledzić stan konta, sprawdzać zapisy dotyczące transakcji dokonanych posiadanymi kartami płatniczymi. Wiele banków, wychodząc naprzeciw klientom, oferuje usługę polegającą na wysyłaniu sms-ów z informacjami o zmianach na koncie. Można ją sobie tak skonfigurować, by być informowanym o każdej wypłacie z bankomatu, każdej transakcji kart płatniczą. Klient, który otrzymał wiadomość o transakcji, której nie wykonał może szybko zareagować, zgłosić do banku zaistnienie podejrzanego zdarzenia.
Inną formą troski banków o bezpieczeństwo pieniędzy klientów jest monitoring ich kont i reagowanie, gdy transakcja dotyczy kwoty znacznie wyższej od na ogół realizowanych lub jest dokonywana w jakimś nietypowym miejscu. Pracownik monitoringu dzwoni wówczas do klienta z pytaniem, czy to on faktycznie dokonuje danej wypłaty/transakcji. Dopiero po potwierdzeniu autentyczności klienta wypłata/transakcja jest przyjmowana do realizacji.
