Vishing (voice phishing) to rodzaj oszustwa polegającego na kontakcie telefonicznym z wykorzystaniem najczęściej tzw. spoofingu, czyli podszycia się pod dowolny numer telefonu. Zazwyczaj oszuści podszywają się pod pracowników infolinii banku, instytucji państwowej lub organów ścigania w celu wyłudzenia danych i nakłonienia swojego rozmówcy do wykonania określonych czynności. Vishing w Polsce jest często spotykanym rodzajem oszustwa, a wykorzystana w tym scenariuszu inżynieria społeczna z naciskiem na wywieranie presji, strachu czy niepewności jest bardzo skuteczna.
[Krok 1] Oszustwo rozpoczyna się od kontaktu telefonicznego z wybraną osobą. Oszust podszywając się pod pracownika banku przesyła danej osobie wiadomość SMS, aby potwierdzić swoją tożsamość.
Przykład wiadomości SMS uwiarygadniającej oszusta
Oszust informuje rozmówcę o próbie wykonania przelewu z jej rachunku lub o zaciągniętej na jej dane pożyczce krótkoterminowej. Jego celem jest przekonanie rozmówcy, że dzwoni on w celu zapobieżenia utraty przez niego środków. Takie działanie ma na celu uśpić czujność rozmówcy, wyłudzić od niego dane i nakłonić, by postępował zgodnie z wydanymi poleceniami przez oszusta.
[Krok 2] Oszust podszywający się pod pracownika banku po przeprowadzeniu wstępnej rozmowy przełącza daną osobę do działu technicznego lub departamentu bezpieczeństwa banku. Następnie osoba ta zostaje poproszona o zainstalowanie programu do zdalnego zarządzania pulpitem. Jeżeli nie potrafi wykonać tego polecenia lub po prostu nie korzysta z bankowości internetowej, wówczas oszust pod pozorem zabezpieczenia jej środków poleca jej wykonanie przelewu na wskazany przez niego rachunek techniczny. Jeżeli dana osoba nie może wykonać również tej czynności, a ma zainstalowaną aplikację banku, to oszust może sugerować jej podanie kodu BLIK. Może także poprosić o wypłatę środków w bankomacie, a następnie dokonanie ich wpłaty we wpłatomacie na podany przez niego rachunek.
[Krok 3] Gdy taka osoba zainstaluje program do zarządzania zdalnym pulpitem, oszust poprosi ją, aby zalogowała się do bankowości elektronicznej w celu weryfikacji operacji na swoim rachunku. Wszystkie dane uwierzytelniające wpisywane przez tą osobę będą widoczne dla oszusta. Następnie może on zaciągnąć kredyt w imieniu tej osoby, a ją poprosić o autoryzację poprzez podanie kodu otrzymanego w wiadomości SMS od banku lub w aplikacji mobilnej.
Przykład strony internetowej stworzonej przez oszustów
[Krok 4] Środki z rachunku takiej osoby mogą zostać wykorzystane w następujący sposób:
W ramach vishingu i przyjętego przez oszustów scenariusza ataku, poza kradzieżą pieniędzy z rachunku wybranej przez nich osoby, może także dochodzić do wyłudzania innych jej danych. Przykładowo do pozyskania loginów do kont w mediach społecznościowych czy wrażliwych informacji dotyczących firmy, w której ona pracuje. Oszuści mogą również nagrywać fragmenty prowadzonych przez siebie rozmów, aby później wykorzystać je w biometrycznej weryfikacji głosu w banku lub u innych podmiotów finansowych.
Pamiętaj o kilku podstawowych zasadach bezpieczeństwa: