Przypadki, w których osoby padają ofiarą oszustów podszywających się pod przedstawicieli banku lub niemal ulegają takim oszustwom, pokazują, że nie każdy jest w stanie zweryfikować dzwoniącego i uniknąć tych pułapek. Co gorsza, niektórzy sprawdzają numery telefonów, które można łatwo sfałszować. Z drugiej strony, większość banków oferuje narzędzia, które pozwalają im potwierdzić, czy dzwoniący jest prawdziwym agentem, czy oszustem.
/ 123RF/PICSEL
Metoda wyłudzania pieniędzy poprzez „podszywanie się pod pracownika banku” jest znana, jednak nadal zdarzają się osoby, które padają jej ofiarą. Częstą pułapką jest weryfikacja numeru telefonu, z którego dzwoni osoba podająca się za pracownika banku, ponieważ numery te można łatwo podrobić.
Oszuści są zazwyczaj dobrze przygotowani. Używają formalnego języka, znają protokoły bankowe i potrafią stworzyć poczucie pilności, aby skłonić ofiary do szybkiego działania, takiego jak wykonanie przelewu, pobranie nowej aplikacji lub aktualizacja istniejącej. Może to faktycznie sygnalizować nadejście cyberataku.
Reklama
Tymczasem większość banków dysponuje narzędziami, które pozwalają ustalić, czy połączenie pochodzi od prawdziwego pracownika, czy oszusta . Bez takiego potwierdzenia zaleca się powstrzymanie się od rozmowy.
Numer telefonu banku można łatwo podrobić
Numer telefonu wyświetlany na ekranie sam w sobie nie stanowi wiarygodnego źródła identyfikacji, dlatego uwierzytelnienie za pomocą aplikacji mobilnej lub bankowości internetowej jest niezbędne. Oszuści mogą podszywać się pod dowolny numer telefonu lub nazwę użytkownika i wysyłać swoim ofiarom fałszywą wizytówkę SMS-em. Dlatego ze względów bezpieczeństwa zaleca się weryfikację tożsamości pracownika za pomocą aplikacji bankowej lub usługi online, zgodnie z zaleceniami przedstawicieli banku.
Niektóre banki dopuszczają weryfikację na prośbę klienta, podczas gdy inne wymagają jej wyłącznie na żądanie.
„W mBanku wdrażamy mobilną weryfikację tożsamości pracowników. Dzięki temu wszystkie połączenia wykonywane przez pracowników banku są potwierdzane za pośrednictwem aplikacji mobilnej. Dzięki temu klient ma pewność, że komunikuje się z prawdziwym przedstawicielem mBanku, a nie oszustem. Na początku połączenia pracownik wysyła powiadomienie w aplikacji mobilnej mBanku zawierające swoje imię i nazwisko. Połączenie zostanie nawiązane tylko po zatwierdzeniu przez klienta w aplikacji mobilnej. Pracownik nie zadaje żadnych pytań weryfikacyjnych. Wystarczy potwierdzić rozpoczęcie połączenia w aplikacji” – wyjaśnia biuro prasowe mBanku.
Mobilna weryfikacja tożsamości jest obowiązkowa dla każdego połączenia telefonicznego do mBanku dotyczącego produktów, danych klienta czy potwierdzeń płatności. „Jeśli klient odbierze połączenie od osoby podającej się za pracownika banku i nie otrzyma powiadomienia o tożsamości tej osoby w aplikacji mobilnej mBanku, może to oznaczać, że na linii jest oszust. Takie połączenie należy natychmiast zakończyć, a o sytuacji poinformować mLinię” – podkreśla Krzysztof Drozd z mBanku.
Dodał, że dla klientów korzystających z autoryzacji SMS lub nieposiadających aplikacji, nadal obowiązuje obecna metoda potwierdzania tożsamości. Każdy klient może również skontaktować się z naszą infolinią, aby zweryfikować dane pracownika, który się z nim skontaktował. „ Niestety, autoryzacja oparta na SMS-ach nie ułatwia ustanowienia takiego mechanizmu obronnego. Ten kanał komunikacji jest wykorzystywany przez oszustów, którzy wysyłają klientom fałszywe wiadomości SMS o różnej treści, w tym podszywające się pod bank. Dlatego zachęcamy klientów do przejścia na autoryzację mobilną” – dodał przedstawiciel mBanku.
Podobne narzędzie posiada m.in. Pekao. „W praktyce podczas rozmowy telefonicznej pracownik banku wysyła klientowi tzw. wizytówkę – specjalne powiadomienie push w aplikacji PeoPay lub wiadomość na stronie Pekao24. Po zalogowaniu się do wybranego kanału klient widzi imię, nazwisko i stanowisko osoby, z którą rozmawia, co może potwierdzić u rozmówcy. Weryfikacja za pomocą wizytówki nie wymaga wcześniejszego działania ze strony klienta, a powiadomienie jest automatycznie wysyłane przez konsultanta banku, który może również poprosić o potwierdzenie wizytówki. Podobna funkcja jest dostępna również dla klientów korzystających z bankowości internetowej PekaoBiznes24” – wyjaśnia biuro prasowe banku.
Weryfikacja za pomocą aplikacji pozwoli Ci sprawdzić czy połączenie pochodzi z banku czy od oszusta
W Santander weryfikacja opiera się na prośbie klienta. „Najskuteczniejszym sposobem weryfikacji połączenia od pracownika infolinii banku jest potwierdzenie go w aplikacji mobilnej za pomocą wiadomości PUSH. Odbywa się to na prośbę klienta – pracownik banku wysyła wiadomość w aplikacji ze swoimi danymi, a klient, po zapoznaniu się z nią, potwierdza ją tak jak każdą inną transakcję. Ta metoda jest bezpieczniejsza niż wiadomości SMS, ponieważ oszuści mają do nich łatwiejszy dostęp. Samo sprawdzenie, czy numer telefonu należy do banku, nie jest wystarczające, ponieważ przestępcy mogą podszyć się pod niemal każdy numer telefonu” – wyjaśnia Michał Mazur, ekspert ds. cyberbezpieczeństwa w Santander Bank Polska.
Podkreśla, że bank zachęca klientów do weryfikacji w aplikacji, a konsultanci promują aktywne korzystanie z aplikacji podczas rozmów telefonicznych. „Dodatkowo bank prowadzi kampanie edukacyjne, takie jak inicjatywa „Nie wierz w bajki” oraz komunikaty dotyczące bankowości internetowej, w których informujemy klientów, że każda rozmowa telefoniczna, w której ktoś twierdzi, że pieniądze są zagrożone, powinny zostać przelane na konkretne konto lub namawia do pobrania aplikacji, jest podejrzana i powinna zostać przerwana. Następnie, aby zgłosić i zweryfikować sytuację, należy skontaktować się z infolinią banku”.
