Vishing, cum functioneaza metoda ACCIDENTUL in sistemul bancar

Banii din conturile românilor au devenit o ţintă pentru escroci, iar băncile estimează că atacurile se vor înmulţi, fiind folosită ca strategie de abordare a victimelor metoda „Accidentul”

„Cum recunoşti un escroc la telefon?“ este întrebarea pe care o pun reprezentanţii ING într-un mail trimis clienţilor zilele acestea, prin care îi avertizează că înşelătorii precum „metoda telefonului“ sau „metoda accidentului“ au evoluat şi în domeniul bancar. Prin acestea, escrocii încearcă să obţină date financiare sau confidenţiale, parole şi coduri de acces pentru a sustrage ulterior bani din conturile clienţilor.

Metoda frauduloasă se numeşte vishing – prescurtare de la voice phishing (furt de date prin telefon) – şi, prin aceasta, clienţii sunt contactaţi telefonic de către persoane care pretind a fi din partea autorităţilor (politişti, procurori, angajaţi ai ING Bank sau ai unor companii IT) şi care solicită accesul de la distanţă pe calculatorul clienţilor sub diferite pretexte inventate. Scopul lor real este de a accesa datele bancare şi de a fura banii. I-am întrebat pe reprezentanţii ING care a fost motivul pentru care au trimis acest mesaj şi dacă au avut clienţi care s-au confruntat cu acest fel de probleme. „În ceea ce îi priveşte pe clienţii ING, nu au existat cazuri“, ne-au răspuns aceştia, precizând că mesajul este parte dintr-o acţiune de informare, în special deoarece, în contextul viitoarelor alegeri, estimează că o să crească atenţia atacatorilor asupra ţării noastre şi, prin urmare, numărul atacurilor cibernetice. Am întrebat şi reprezentanţii BCR, o altă mare bancă din România, dacă s-au confruntat cu astfel de cazuri şi ne-au spus că „nu în ultima perioadă“, dar aceste lucruri se întâmplă şi nu există o statistică cu privire la numărul şi frecvenţa incidentelor.
De asemenea, reprezentanţii ING ne-au mai spus că derulează această campanie de informare în contextul în care, din acest an, operatorii de servicii esenţiale, printre care se regăsesc şi băncile, vor trebui să raporteze toate atacurile cibernetice pe care le primesc şi ele vor fi făcute publice. Noile reguli au fost adoptate de ţara noastră la începutul acestui an şi transpun o directivă europeană privind securitatea informaţiei.

Cum acţionează escrocii

Atacul debutează cu un apel telefonic. În cadrul acestuia, atacatorul pretinde că reprezintă o anumită companie sau autoritate. Pentru a da veridicitate apelului, atacatorii folosesc date despre victimă care sunt de obicei disponibile online (nume, prenume, adresă de e-mail etc.), explică Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO). În momentul în care posibila victimă crede că acel apel este legitim, şansele de a oferi telefonic date sensibile (personale sau bancare) cresc exponenţial. Totodată, atacatorii pot profita de credulitatea victimelor, pentru a îi convinge să instaleze software maliţios sau aplicaţii de control la distanţă pe dispozitivele utilizate. Băncile din România şi CERT-RO descriu care sunt cele mai frecvente „scenarii“ inventate de escroci şi cum acţionează aceştia pentru a fura date şi bani. Cont bancar blocat: Folosindu-se de o înregistrare automată, atacatorii cer date personale sau bancare. Ei pot spune că sună din partea băncii al cărei client sunteţi, pentru a vă notifica despre blocarea contului. Pentru deblocare vi se recomandă să apelaţi un alt număr. Este foarte probabil ca numărul apelat ulterior să fie unul cu suprataxă. Astfel, pe lângă culegerea de date personale şi financiare, scopul atacatorilor este ca să ţină victima un timp cât mai îndelungat la telefon. Mai târziu, la sosirea facturii telefonice, utilizatorii realizează că au fost păgubiţi.

O urgenţă a băncii: Escrocii vor invoca o nevoie rapidă de informaţiile dumneavoastră personale, punând asta pe seama unor proceduri bancare false. Calculator virusat: Din cauza unor viruşi din calculatorul dumneavoastră, escrocii vă anunţă că a apărut o eroare în sistemul băncii şi e nevoie de datele personale pentru a remedia problema. Metoda „Accidentul“: Cineva vă sună pentru a vă anunţa că o rudă a fost implicată într-un accident şi a fost rănită, aşa că trebuie să le trimiteţi bani pentru că acestea au nevoie urgentă de fonduri pentru spitalizare sau alte nevoi imediate. Câştig neaşteptat: Cineva vă anunţă că aţi câştigat o sumă mare de bani, iar pentru a intra în posesia ei trebuie să oferiţi datele confidenţiale sau să plătiţi o taxă pentru transferul banilor. Un scenariu similar implică o moştenire neaşteptată sau o loterie la care nu aâi participat niciodată. Maşina prea ieftină: Anunţ fals de vânzare a unei maşini la un preţ excepţional, prin care cei interesaţi sunt chemaţi să depună o sumă de bani prin Money Gram sau Western Union pe numele unei rude, drept garanţie, şi să trimită apoi formularul pe e-mail către vânzător. Banii sunt retraşi ulterior în baza unui act de identitate fals pe numele persoanei respective, folosind referinţa tranzacţiei. Reprezentanţii băncilor avertizează că, dacă o ofertă este „prea frumoasă ca să fie adevărată“, atunci cel mai probabil că nici nu este reală.

Cum vă protejaţi de escroci

Principalul avertisment al băncilor pentru clienţi este să nu comunice informaţii cu privire la identitatea lor, conturile pe care le deţin, numărul de card, data expirării cardului, codul PIN sau alte produse şi servicii bancare deţinute. De asemenea, ei sunt sfătuiţi să nu divulge date confidenţiale cu care accesează aplicaţiile de banking, precum numele de utilizator şi parola sau codul de activare. Clienţii contactaţi telefonic trebuie să solicite cât mai multe detalii persoanei care îi sună (ex: nume, instituţia, număr de telefon, adresa sediului, etc.) şi să o informeze că vor reveni cu detalii, dar doar după ce verifică numărul de telefon sau adresa e-mail dintr-o sursă independentă (ex. telefon şi e-mail de pe website-ul instituţiei, etc.). Atacatorii vor încerca să îi convingă pe clienţi de urgenţa necesităţii primirii datelor, profitând de şocul emoţional al situaţiilor de tipul „accident al unei rude“ sau „câştigul neaşteptat“. Clienţii sunt îndrumaţi să nu răspundă la apeluri din afara ţării, mai ales dacă nu cunosc persoane din ţările respective. De asemenea, ei sunt sfătuiţi să nu instaleze aplicaţii şi să nu acceseze site-uri la indicaţiile persoanelor care îi contactează telefonic. „Nu presupune că persoanele care te contactează sunt de încredere doar pentru că ştiu cateva informaţii despre tine, pe care e foarte simplu să le afle de pe reţelele de socializare”, avertizează băncile. Cei care au realizat că au devenit victima unui astfel de atac trebuie să noteze orice date îşi amintesc din apelul respectiv: numărul sau numerele de telefon cu care au luat contact în cadrul acestei scheme de vishing, data şi durata apelului, ce date au furnizat, ce software li s-a sugerat să instaleze, orice date furnizate de atacator şi mai ales ce acţiuni au făcut, la cererea interlocutorului. Ulterior, ei trebuie să meargă la cea mai apropiată secţie de poliţie pentru a depune o plângere şi să specifice aceste detalii. Sesizarea poliţiei este necesară la orice încercare de fraudă, chiar dacă nu au existat victime. În cazul în care clienţii au oferit detalii legate de contul lor, internet banking sau date de card, ei trebuie să contacteze cât mai curând banca pentru a bloca orice tranzacţie suspectă.

Cum previi frauda?

Dacă ai ajuns pe această pagină, înseamnă ca ai făcut primul pas în Prevenirea Cazurilor de Fraudă: INFORMAREA. În rândurile de mai jos o să gasești tipologii de fraudă mai des întâlnite în zilele noastre, precum și câteva sfaturi utile pentru două întrebări importante: Cum să previi un caz de fraudă? si Ce trebuie să faci când ai fost victima unei fraude?

Tipologii de fraudă

• Carduri Bancare : Skimming și Phishing
• Online banking: Malware
• Social engineering: Metoda accidentul
• Cum te ajută băncile?

Carduri Bancare : Skimming și Phishing

Skimming-ul este procesul de copiere a datelor stocate pe banda magnetică a cardului, folosind dispozitive electronice speciale. Această operațiune se poate realiza la:

ATM: prin fixarea unui dispozitiv de copiere pe fanta de introducere a cardului, în vederea copierii informațiilor de pe banda magnetică și a unei tastaturi false sau a unei mini camere video pentru înregistrarea PIN-ului în momentul introducerii acestuia.
POS (Comercianți): în momentul în care este efectuată o plată la un comerciant (POS) și ulterior cardul este trecut suplimentar și printr-un alt dispozitiv pentru a copia informațiile de pe banda magnetică.

Cum să previi un caz de phishing?

Atentie! Banca nu va solicita NICIODATĂ prin email sau online transmiterea/ actualizarea datelor personale.
Email-urile falsificate sunt impersonale şi ajung de cele mai multe ori în zona de Spam.
Email-urile conțin de obicei mesaje sub forma:
„URGENT! Dacă nu raspundeți în 24 de ore, contul d-voastră va fi închis/blocat!”
În practica băncilor nu există o astfel de procedură!

Cum să previi un caz de skimming?

Tastatura sau partea ATM-ului ce conține fanta de introducere a cardului sunt detașabile. Poți încerca să le miști în plan vertical sau orizontal.
ATM-ul are urme de vandalism, adeziv, dispozitive conectate sau cutii/stative de fluturași de marketing
În cazul tentativelor de fraudă la comercianți, aceștia vor încerca să manipuleze cardul în afara razei tale vizuale
Nu îți nota PIN-ul pe card, în agenda telefonului sau pe o hârtie în proximitatea cardului.
Nu lăsa comerciantul să plece cu cardul tău. Comercianții trebuie să amplaseze POS-urile la vedere. Cardul trebuie să fie tot timpul în raza ta vizuală.
Solicită de la comerciant chitanțele pentru tranzacțiile efectuate, chiar dacă nu au fost aprobate.
Nu accepta ajutorul persoanelor care oferă “suport” la retragerea de numerar de la ATM sau la aparente “erori” ale bancomatului.
De fiecare dată când introduci PIN-ul acoperă cu cealalta mână tastatura.
Verifică lunar extrasul de cont, astfel încât dacă apar tranzacții suspecte, adresează-te băncii cât mai repede.

Online banking: Malware

Aplicații software care au rolul de a instala fără știința ta coduri malițioase pe calculator pentru colectarea de date, accesarea rețelei, interceptarea datelor transmise, obținerea de drepturi de administrare asupra stației de lucru sau rețelei de sisteme.

Cum să previi un caz de malware?

Instalează un program antivirus și updatează-l în mod constant
Folosește aplicații și sisteme de operare din surse sigure și actualizate atât pe telefonul mobil cât și pe calculator
Nu deschide link-uri necertificate sau atașamente din email-uri ale unor persoane pe care nu le cunoști

Social engineering (Inginerie Sociala)

Tip de fraudă ce constă în manipularea ta prin telefon sau email în vederea efectuării de operațiuni sau divulgării de informații confidențiale.

Cum să previi un caz de Inginerie Socială?

Nu oferi informații confidențiale(date de identificare: CNP, data nașterii, serie act identitate; date financiare: număr card, user și parola cont online banking, etc) unor persoane neautorizate
Verifică întotdeauna informațiile primite de la persoane străine cu cei în cauză

Ce trebuie să faci când ai fost victima unui fraude?

Contactează imediat banca (ex. numărul de pe spatele cardului) pentru blocarea cardului atunci când identifici tranzacții neautorizate de tine
Verifică întotdeauna înainte să dai curs solicitarilor venite din partea unor persoane străine
Sesizează autoritățile cu privire la incident

Cum te ajută băncile?

Sisteme de monitorizare a tranzacțiilor suspecte cu carduri și transferuri
Servicii de SMS/Email alert prin care ești notificat cu privire la orice tranzacție.
Activează serviciul de 3D Secure pentru plățile online cu cardul și faci orice tranzacție pe internet în siguranță.