Vishing, Phishing, Smishing

Przekręty Series maj 6, 2012 at 9:28 am

Przestępcy coraz częściej próbują wyłudzać informacje o karcie kredytowej czy hasła dostępu do internetowych rachunków podszywając się telefonicznie pod pracowników banków.

Taka forma oszustwa nosi nazwę vishingu. Pojęcie vishing powstało z połączenia słów “voice” i “phishing” dla odróżnienia od tradycyjnego phishingu, w którym klienci proszeni są o przekazanie danych drogą mailową.

Jeden ze sposobów wykorzystywanych w vishingu polega na rozesłaniu wiadomości zawierającej numer telefonu, pod którym odbiorca e-maila lub SMS-a ma zaktualizować swoje poufne dane. Po połączeniu się z podanym numerem włącza się automat, który poprosi o podanie nazwy użytkownika i hasła do aplikacji bankowej lub dane o karcie płatniczej takie jak jej numer, data ważności czy PIN.

Inna metoda wykorzystywana w vishingu polega na tym, że automat sam dzwoni do klienta, korzystając z listy pozyskanych wcześniej numerów telefonów. Również w tym przypadku przekazywane informacje mają za zadanie skłonić ofiarę ataku do podania poufnych danych.

Jak chronić się przed vishingiem? Przede wszystkim należy zachować zdrowy rozsądek. Wszystkie prośby o dane osobowe, PIN czy hasła dostępu przekazywane za pomocą e-maila lub telefonicznie należy traktować z dystansem.

Bankowcy radzą, by w przypadku jakichkolwiek wątpliwości, czy osoba dzwoniąca jest pracownikiem danej instytucji, nie podawać swoich poufnych danych i skontaktować się z bankiem w celu zweryfikowania tożsamości osoby dzwoniącej.

Bardziej prozaiczne, ale stanowiące spore zagrożenie dla posiadaczy komórek, a zwłaszcza smartfonów, stanowi zgubienie lub kradzież telefonu. Eksperci radzą, by zabezpieczać urządzenie kodem PIN, a także instalować oprogramowanie, które pozwoli zlokalizować utracony telefon lub, w razie takiej konieczności, skasować z niego cenne dane.

Smishing

Ten termin oznacza dokładnie taki sam przestępczy system wyłudzania informaci jak powyżej ale z użyciem SMS-ów. Przesyłane SMS-y zawierają “przynętę” mającą zmusić odbiorcę do udostępnienia jego danych osobistych.

Zazwyczaj wiadomość zawiera coś co “wymaga twojej natychmiastowej uwagi”.

Oto kilka typowych przykładów:

1. “We’re confirming you’ve signed up for our dating service. You will be charged $2/day unless you cancel your order on this URL: www.?????.com.”

(Potwierdzamy zalogowanie do naszego serwisu randkowego. Opłata wynosi  $2 dziennie chyba, że anulujesz zamówienie na stronie www. …);

2. “Our X [online bank] is confirming that you have purchase a $1500 computer from Y. Visit www.???.com if you did not make this online purchase”.

(Nasz X [tu nazwa popularnego banku internetowego] potwierdza, że dokonałeś za $1500 zakupu komputera z Y [tu nazwa popularnego sklepu internetowego]. Jeśli nie dokonałeś tej transakcji odwiedź stronę www.???.com.);

3. “Bank of ???: Your account has been suspended. Call ### immediately to reactivate”.

(Nazwa instytucji finansowej ???: Twoje konto zostało zawieszone. Oddzwoń natychmiast pod numer  ### aby je reaktywować.).

Haczyk polega na tym, aby zmusić ofiarę do działania. Po sugerowanym odwiedzeniu strony internetowej (lub odzwonieniu na automatyczny system odpowiedzi), ofiara będzie proszona o potwierdzenie (enter) osobistych danych finansowych i o to właśnie chodzi cyberprzestępcy.

Najczęściej ostatnio wysyłaną treścią fałszywego SMS-a jest następując tekst:

“Notice – this is an automated message from (a local credit union), your ATM card has been suspended. To reactivate call urgent at 866-###-####.”

W przypadku gdy smishing nadany jest spod wyświetlonego numeru “5000” oznacza to, że SMA-a wysłano poczta mailową, a nie z innej komórki.

Zdobyte tą drogą informacje służą następnie wyrabianiu fałszywych kart do bankomatu (kredytowych lub debitowych). Opisywaliśmy wcześniej przypadki, że uzyskane taką drogą informacje już w pół godziny później służyły do wykradania pieniędzy z kart w wielu różnych miejscach na całym świecie.

Jak dowodzą statystyki, większość pomysłów kradzieży danych z pomocą internetu rodzi się w krajach Europy Wschodniej, zwłaszcza od chwili, kiedy serwis VoP nie jest zbyt drogi w przypadku połączeń międzynarodowych.

W dalszym ciągu najskuteczniejszą bronią jest proste ignorowanie każdego podejrzanego telefonu, maila oraz SMS-a.