Oszuści są niesamowici. Ponad 20 lat korzystam z sieci, a i tak prawie mnie dopadli
Mimo że jestem świadomym użytkownikiem sieci i zwracam uwagę na kwestie bezpieczeństwa, niemal padłem ofiarą oszustwa. Przestępcy stale doskonalą swoje strategie i coraz trudniej zorientować się, że coś jest nie tak.
Z internetu korzystałem jeszcze w czasach, gdy po stronach się surfowało, a nie scrollowało je. Korzystam z menedżera haseł, nie szwędam się po szemranych miejscach, czytam czego unikać i na co uważać. Wiem co to phishing. Słowem – wydaje mi się, że należę do tych bardziej uświadomionych w kwestii bezpieczeństwa w sieci użytkowników. Ale kilka dni temu przekonałem się, że nawet to może być za mało. Oszuści tak bardzo dopracowali swoją grę, że prawie mnie dorwali.
Na początku nic nie wzbudzało podejrzeń
Zadzwonił do mnie obcy numer telefonu. Pan po drugiej stronie, ze wschodnim akcentem (nie na tyle wyraźnym, by na tym etapie wzbudziło to lampke ostrzegawczą), przedstawił się jako Andrzej, pracownik mojego banku (podał faktyczną nazwę banku w którym mam konto). Upewnił się, że rozmawia z właściwą osobą, używając mojego imienia i nazwiska, poinformował że rozmowa będzie nagrywana. Cała konwersacja miała typowo „bankowy” przebieg, jaki z pewnością znacie z licznych tego typu rozmów telefonicznych, jakie nie raz i nie dwa przeprowadzaliście z konsultantami czy pomocą techniczną.
Szybko przeszedł do meritum i zadał pytanie czy dzień wcześniej brałem kredyt na 6000 zł. Nic takiego nie miało miejsca, więc zadał jeszcze kilka pytań upewniających się. Brzmiało to naprawdę wiarygodnie – dopytywał, czy nie podawałem danych swojej karty kredytowej w niepewnych miejscach, uczulał żebym przy płatnościach internetowych nigdy tego nie robił i zamiast tego płacił BLIK-iem itd. Dodał jeszcze, że ten rzekomy kredyt został wzięty w Gdańsku, przy użyciu smartfona Motoroli jakiejśtam, podczas gdy ja korzystam z zupełnie innego.
Następnie spytał czy otrzymałem jakąkolwiek korespondencję z banku w kwestii tego kredytu. Powiedziałem że nie, ale jeszcze się upewniłem i okazało się że 5 minut po rozpoczęciu rozmowy (przypadek? Heh…) doszedł do mnie SMS… z mojego banku. Pełnoprawny spoofing:
Wpadli przez WhatsAppa
Gdy już nasz pan „Andrzej” upewnił się, że doszło do kradzieży moich danych osobowych, poprosił żebym skontaktował się z działem obsługi technicznej mojego banku. I tu pojawiła się pierwsza większa lampka ostrzegawcza, bo kontakt ten miał odbywać się za pośrednictwem WhatsAppa i polegać na wpisywaniu w nim dyktowanych przez oszusta zdań.
Lampka mi się już świeciła, ale rozmowa była prowadzona bardzo wiarygodnie, nie wpisywałem żadnych danych wrażliwych, a zagrywka psychologiczna („ktoś wziął na mnie kredyt!”) częściowo działała, więc jeszcze byłem pod kontrolą przestępcy i spełniałem jego polecenia. Wyglądało to tak:
Kolejnym działaniem oszustów było przekierowanie mnie do innej osoby… przepraszam, do innego działu. Znowu, wrażenie pełnej profeski zostało zachowane, nawet posłuchałem muzyczki czekając na przekierowanie. Osoba numer dwa nie miała już wschodniego akcentu, za to mówiła nieco niewyraźnie. Jeszcze chwilę kazała mi wpisywać komendy na WhatsAppie, rzekomo w celu rozpoczęcia procedury powiadomienia policji oraz weryfikacji urządzeń za pomocą których korzystam z bankowości.
I w końcu przeszliśmy do mojego konta bankowego. Tutaj zostałem najpierw poproszony o podanie kwot trzech ostatnich transakcji jakie wykonano na moich głównym rachunku (poprawnie podano mi jego typ, znowu zapewne po to żeby uśpić moją czujność), a następnie o podanie kwoty znajdującej się na moim głównym rachunku. I to w tym momencie nabrałem pewności że mam do czynienia z oszustami, bo żaden konsultant nigdy by o to nie spytał.
Gdy zrozumiałem, że sytuacja jest mocno podejrzana, rozłączyłem się z oszustami, zadzwoniłem na prawdziwą infolinię mojego banku i zweryfikowałem sytuację. Podane przeze mnie numery telefonu nie należały do jego pracowników, żaden bank nigdy nie używa WhatsAppa do kontaktów z klientami i nikt nie zaciągnął na mnie kredytu.
Trochę jestem oburzony, a trochę pod wrażeniem tego, jak dobrze to oszustwo zostało przygotowane.
Czego nauczyło mnie to oszustwo?
Dlaczego uśpiono moją czujność i prawie dałem się oszukać?
- Przestępcy dysponowali moimi danymi – nie tylko imieniem i nazwiskiem oraz numerem telefonu, ale również wiedzieli w jakim banku mam konto i jakiego rodzaju jest to konto.
- Skutecznie podszyli się pod bank wysyłając SMSa.
- Cała rozmowa była przeprowadzona bardzo profesjonalnie i wiarygodnie.
- Wywołali we mnie poczucie zagrożenia że moje pieniądze są zagrożone.
- Nie spieszyli się z wyciąganiem danych – dopiero po ponad 20 minutach zaczęli pytać o rzeczy o które nie pytałby pracownik banku.
- Sytuacja toczyła się w ciągu jednej, nieprzerwanej rozmowy telefonicznej, uniemożliwiając weryfikację tożsamości oszustów.
Co zwróciło moją uwagę i pozwoliło mi uniknąć bycia okradzionym?
- Wschodni akcent konsultanta.
- System bankowy na WhatsAppie, ulubionym narzędziu wszystkich oszustów.
- Próby wyciągnięcia dziwnych informacji, w tym wypadku o stanie mojego konta.
Co mogłem zrobić aby zapobiec tej sytuacji?
- Nie dopuścić do wycieku moich danych osobowych, chociaż w tym momencie nie mam pojęcia skąd mogli je mieć, więc i nie wiem jeszcze jak mógłbym temu zapobiec.
- Mieć aktywne alerty BIK, które informują o wszelkich zaciąganych na moje dane kredytach i pożyczkach. Notabene zazwyczaj mam je aktywne, ale niedawno mi wygasły i nie zdążyłem jeszcze ich reaktywować – gdybym z tym tak nie zwlekał i miał je wykupione, to od razu wiedziałbym, że dzwoniący kłamią.
- Jeszcze więcej czytać i edukować się na temat zagrywek oszustów – wiedzy w tym aspekcie nigdy dość.
Tekst ten napisałem ku przestrodze – nieważne, jak bardzo wydaje Wam się, że jesteście bezpieczni i wiecie co robić aby nie dać się oszukać. Przestępcy są sprytniejsi niż się Wam wydaje. To frazes, ale i tak trzeba go powtarzać – bądźcie zawsze czujni i weryfikujcie każdego, kto dzwoni do Was podając się za pracownika banku.