Bankowiec o tym, jak przestępcy próbują ukraść pieniądze klientom banków
Jak zauważył:”Klienci są najsłabszym ogniwem w obszarze cyberbezpieczeństwa w bankowości.”
Oczywiście klienci nadal są atakowani przez wirusowe oprogramowania, malware, trojany. Ale ostatnio co raz częściej dają się podejść przez działania socjotechniczne.
Oszustwo na pracownika banku
Typowy przykład. Przestępca podszywa się pod pracownika banku i kontaktuje się z klientem. Co ciekawe przestępcy wykorzystują autentyczne numery telefonów infolinii bankowych. Jest to możliwe gdyż nowoczesne technologie pozwalają na emulowanie numerów telefonów. W efekcie klientowi, do którego dzwoni przestępca wyświetla się numer infolinii jego banku.
To oznacza, że zapisanie w swoim telefonie numeru infolinii bankowej nie daje gwarancji bezpieczeństwa, bo kiedy zadzwoni do klienta oszust to na telefonie wyświetli się właśnie numer, który sobie klient zapisał. I klient uznaje, że to jest wiarygodne połączenie.
Zdalny pulpit
Co się dalej dzieje? Przestępcy próbują nakłonić klienta aby podał swoje dane, albo żeby wykonał jakieś działania.
Np. informują, że bank zidentyfikował włamanie na jego konto, że został zlecony duży przelew, że zostały zmienione jego dane w banku i ktoś będzie mógł mu ukraść pieniądze. Przestępcy pod pretekstem ochrony środków klienta próbują nakłonić go do podania loginu, hasła. Najczęściej jednak namawiają go do zainstalowania aplikacji typu zdalny pulpit.
Mając login, hasło, ewentualnie zdalny pulpit na urządzeniu klienta przestępcy kradną jego pieniądze.
Przestępcy mogą ukraść klientowi nie tylko jego własne pieniądze, ale także pieniądze z pożyczki, o którą świadomie nie wystąpił
Co więcej mając zdalny pulpit mogą na klienta zaciągnąć pożyczkę. W chwili obecnej banki w aplikacjach mobilnych i bankowości elektronicznej udostępniają możliwość zaciągnięcia szybkiej pożyczki.
Taka oferta jest proponowana klientom dobrym, sprawdzonym, którzy mają wpływy na rachunek. W ciągu kilkunastu minut klient ma już tę pożyczkę dostępną.
Pieniądze z pożyczki wpływają na konto i dzięki temu przestępcy mogą ukraść klientowi nie tylko jego własne pieniądze, ale także pieniądze z pożyczki, o którą świadomie nie wystąpił. Zrobili to za niego złodzieje.
Oszustwo inwestycyjne
Druga metoda wyłudzenia pieniędzy od klienta jest jeszcze bardziej dotkliwa. To oszustwo inwestycyjne.
Początkiem tego przestępstwa też jest kontakt z klientem. I próba namówienia klienta na zainwestowanie własnych pieniędzy. Przestępcy na początku nie proponują zainwestowanie setek tysięcy złotych, tylko proponują zainwestowanie małej kwoty rzędu 200-250 euro. I przygotowują specjalny internetowy serwis inwestycyjny dla tego klienta. Klient otrzymuje login, hasło i link do tego serwisu.
Możliwość zarobienia na rachunku inwestycyjnym tak zaciemnia klientowi rozum, że nie dostrzega, że rozmawia z przestępcami
Po zalogowaniu się, klient kilka dni później widzi na rachunku inwestycyjnym już np. 2 tysiące euro. Klienci są zadowoleni, że ktoś tak mądrze ich pieniądze inwestuje, i w końcu dają się namówić na zainwestowanie znacznie większych sum.
Klienci nie mając już własnych środków decydują się na pożyczki. I inwestują z zaciągniętych pożyczek.
Klienci są tak zmanipulowani, tak omamieni wysokimi zyskami, że nie przyjmują do wiadomości oczywistych faktów, podejrzanych zachowań, które można by było zauważyć podczas kontaktów z przestępcami.
Często klient rozmawia z obco brzmiącym, nie polskojęzycznym pracownikiem infolinii, często są to rozmowy z których jednoznacznie wynika, że rozmawia z nim osoba z za wschodniej granicy. Ta osoba nie potrafi odpowiedzieć na podstawowe pytania. Bankowcy wiedzą to stąd, że kilku klientom udało się nagrać tego typu rozmowy.
Możliwość zarobienia na rachunku inwestycyjnym tak zaciemnia klientowi rozum, że nie dostrzega, że rozmawia z przestępcami, którzy podszywają się pod pracowników banków lub firmę inwestycyjną.
Chronić klienta przed nim samym?
Bankowcy widzą w prowadzonym monitoringu, że klient pada ofiarą oszustwa. Widzą, że ma zainstalowany zdalny pulpit. Próbują rozmawiać z tym klientem. Jednak w wielu przypadkach klienci twierdzą, że nie padli ofiarą oszustwa.
Mówią, że wiedzą co robią, proszą o odblokowania środków, bo zdarza się, że bankowcy widząc, że klient może być ofiarą oszustwa blokują środki na rachunku. Jednak klienci składają reklamacje, udają się do oddziałów, kontaktują się z infolinią, żeby jak najszybciej odblokować im pieniądze.
Tłumaczenia pracowników banków często nie trafiają do nich. Klient widząc perspektywę zarobku zrobi wszystko aby móc inwestować. Czasami bankowcy proszą o pomoc policję, licząc na to, że skoro klienci nie słuchają pracowników banków, to może posłuchają policjantów.
Kradzież na fałszywy link
Trzecia metoda wyłudzeń to wykorzystanie fałszywego linku. Ta metoda jest powiązana z serwisami aukcyjnymi, sprzedażowymi w internecie.
Po wystawieniu na sprzedaż jakiegoś przedmiotu w serwisie sprzedażowym klient na swoją komórkę, najczęściej poprzez WhatsApp, dostaje ofertę zakupu wystawionego towaru. Otrzymuje fałszywy link z poleceniem żeby podał numer swojej karty, na którą kupujący przeleje pieniądze.
Klienci wchodzą na ten link, podają swoje poufne dane, i w efekcie przestępcy uzyskują dostęp do ich środków. A przestępcy skradzione w ten sposób pieniądze przelewają na swoje rachunki, zwykle na giełdach bitcoinowych.
Jak mówił Marcin Cieślik, PKO BP pracuje nad rozwiązaniami, które będą lepiej chroniły klienta niż w tej chwili, a ich zadaniem będzie także ochrona przed nim samym.
Webinarium „Środowisko bezpieczeństwa bankowości elektronicznej” odbyło się w ramach Programu Analityczno Badawczego Warszawskiego Instytutu Bankowości.