12:34
30/6/2021

Miesiąc temu ostrzegaliśmy Was przed atakami “na pracownika infolinii banku”. Złodzieje dzwonili do Polaków z poprawnych numerów bankowych infolinii, cytowali im ich dane osobowe, a potem informowali o podejrzanej transakcji na rachunku i nakłaniali do instalacji aplikacji TeamViewer Quick Support lub Anydesk i okradali z pieniędzy. Zaobserwowaliśmy dwa nowe warianty tego oszustwa!

Na czym polega atak?

Na początek, jeśli jeszcze nie widzieliście naszego filmu opisującego to oszustwo krok po kroku, rzućcie na niego okiem (klikając tutaj):

Ten film obejrzało już ponad pół miliona osób, ale wciąż otrzymujemy do kilkunastu zgłoszeń dziennie odnośnie tego ataku. Sporo osób dalej niestety jest nieświadomych tego przekrętu i się na niego łapie… Zmieńmy to! Prześlijcie link do powyższego filmu znajomym. Dzięki!

A teraz przejdźmy do opisu nowych wariantów tego ataku.

Wariant: na automat proszący o wciśnięcie 1 lub 2

Zacznijmy od opisu jaki właśnie trafił na naszą redakcyjną skrzynkę (dziękujemy, Moniko!):

Przed chwilą miałam próbę wyłudzania. Zadzwonił numer ktory zgadzał sie z oficjanym numerem infolinii banku Millennium. Automatyczne nagranie poinformowało mnie ze mój wniosek o kredyt został rozpatrzony pozytywnie i kwota 15.tys zł zostanie przelana na moje konto. Żeby otrzymać kwotę miałam wcisnąć 1, a jeśli nie składałam wniosku mam wcinać 2.

W tym wariancie ataku “na pracownika banku”, najpierw jesteście urabiani automatem, który ma Was “zszokować” tym, że rzekomo wnioskowaliście o kredyt. Osoby, które wcisną “2” (bo o kredyt nie wnioskowały) połączone zostaną z …fałszywym pracownikiem banku.

Dalej atak przebiega tak jak pokazaliśmy to na naszym filmiku. Zatroskany (ale fałszywy) konsultant wypyta o dane, będzie starał się pomóc, przełączał do kolegów aż w końcu zostaniecie poproszeni o zainstalowanie “specjalnej aplikacji” lub podanie danych, które umożliwią złodziejom wyprowadzenie pieniędzy z Waszego konta.

Wariant: na pracownika BIK-u

Zacznijmy od oddania głosu naszej Czytelniczce:

Dziś miałam telefon z infolinii BIK z numeru 223104444. Pan powiedział że udzielono mi pożyczki na 20 tysięcy złotych. Nie mówił jak rodowity Polak. I znał moje imię i nazwisko oraz adres zamieszkania i wiedział w jakim banku mam konto. Twierdził że mój wniosek jest pozytywnie rozpatrzony i pójdzie na konto zagraniczne.

W tym wariancie, atak zaczyna się od telefonu rzekomo z BIK. Przestępcy podszywają się pod dokładnie te numery telefonów, które znajdziecie na stronach BIK-u. Informują o tym, że kredyt o który wnioskowaliście (np. w bancovo, u Bociana, itp.) został Wam przyznany, ale jest problem, np. z numerem rachunku do wypłaty (przykładowo: podano numer zagranicznego banku, który nie jest wspierany). Zapewniają, żeby się nie przejmować i proszą o poprawienie numeru.

Oczywiście rozmowa jest nakierowana na to, abyście wyrazili zaskoczenie, że nie wnioskowaliście o żaden kredyt. Wtedy oszuści mówią, że to może być próba wyłudzenia i muszą ją zgłosić do banku i na policję, aby uratować Was przed kradzieżą środków. Wy jesteście w szoku, a oni pytają o informacje (np. nazwy banków, z których korzystacie) i informują, że zapewnie zaraz ktoś z banku do Was oddzwoni. I oczywiście — oddzwoni ich kolega, także złodziej, który podszywając się pod Wasz bank zrobi dokładnie to, co pokazaliśmy na filmiku obrazującym oszustwo “na pracownika infolinii banku”.

Czy to jest wiarygodne? Cholernie. Posłuchajcie relacji trzeciej Czytelniczki, która, niestety, uwierzyła w informacje o rzekomym kredycie:

zadzwoniła do mnie kobieta, przedstawiła się jako pracownik Biura Informacji Krwdytowej. W celu weryfikacji wspomniała, że mogę sprawdzić numer z którego dzwoni na oficjalnej stronie BIK. Od razu sprawdziłam. Numer się zgadzał. Kobieta zadzwoniła z pytaniem czy potwierdzam złożenie wniosku o kredyt na kwotę 30 tysięcy złotych w Banku PKO BP. Wmurowało mnie. Zwróciła się do mnie imieniem i nazwiskiem. Nie składałam żadnego wniosku. Zaprzeczyłam.
Kobieta upewniała się dalej, że wniosek wpłynął do nich dziś o 8.30, został zaakceptowany przez wspomniany bank, że takie wnioski trafiają do nich do weryfikacji i że wszystko ok, kredyt może być przyznany i to tylko formalność, że dzwoni potwierdzić. Nie mogłam uwierzyć w to co słyszę. W związku z tym, że zaprzeczyłam, że to jakaś pomyłka, że nie składałam żadnego wniosku, kobieta od razu “wykazała się troską”, że sprawa jest poważna, że doszło do wycieku danych osobowych, że sprawę kieruje niezwlocznie na policję i zabezpiecza moje dane. W ciągu 10 minut powinny się skontaktować ze mną banki, w którym posiadam konta, aby zabezpieczyć dane. Dla formalności dopytała, w jakich bankach posiadam rachunki, żeby wysłać powiadomienie o wycieku danych. Wspominała między innymi o numerze dowodu osobistego. Dla pewności podałam informację, że konta posiadam w bankach Santander i PlusBank. W ciągu 10 minut mieli zadzwonić z Banków i wprowadzić zabezpieczenia.
Minęło 5 minut i na telefonie pojawiło się połączenie przychodzące z Santandera. Numer mi znany, autentyczny. Odebrałam, znajome powitanie, że Witany w Banku, muzyczka, za chwilę nastąpi połączenie z konsultantem działu bezpieczeństwa. Zaczekałam, zgłosił się Pan, przedstawił jako pracownik Deoarramentu Ochrony Danych i od razu przeszedł do rzeczy, Pani Marzeno, otrzymaliśmy pilne zawiadomienie z Biura Informacji Kredytkwej, doszło do poważnego wycieku danych, sprawdzimy, czy było jakieś włamanie.
Gość mówił płynnie, bardzo spokojnie, opanowany, wiarygodny. Dla formalności zada kilka pytań do weryfikacji, czy pamiętam ostatnią transakcję dokonaną z rachunku, ile obecnie znajduje się środków na rachunku bankowym, czy posiadam rachunek oszczędnościowy, w jakiej walucie. Odpowiedziałam szczegółowo. Zgadza się… Pytał dalej, ile jest środków na koncie? No i tu już nie wytrzymałam i nie odpowiedziałam, tylko zaczęłam dopytywać. Gość nadal opankwany, tłumaczy, że sprawdzi teraz logowania, w międzyczasie upewniał się czy nie zgubiłam dowodu, czy ktoś mógł mieć dostęp. Wszystko odbywało się bardzo wiarygodnie. Gość posprawdzał i zapewnił, że po stronie Banku wszystko ok, że wyciek na 100% nie jest od nich, przełączy mnie do następnego działu w celu zabezpieczenia…
Odpowiedziałam, że jadę na policję i przerwałam połączenie. Pojechałam prosto na policję z postanowieniem, że od razu zgłaszam sprawę, że pojadę też od razu złożyć wniosek o zmianę dowodu osobistego i zamknę konto w PlusBanku, bo nikt się nie skontaktował. Na Policji kompletnie nie wiedzieli co zrobić w tej sytuacji. Policjant konsultował sprawę z naczelnikiem. Naczelnik z kimś z wydziału do spraw przestępstw gospodarczych. Nie wiedzieli jak to ugryźć. Jakie dane wyciekły. Jak reagować.
Wpadłam na pomysł, że zadzwonię w takim razie na infolinię BIK-u i dowiem się szczegółów. I na wstępie kobieta, z którą udało mi się połączyć zatrzymała całą falę moich pytań informacją, że BIK nie posiada infolinii wychodzącej, że padłam ofiarą oszustwa. Że oni nie dzwonią w sprawie wniosków. Że to na pewno nie Bank do mnie dzwonił. Dla potwierdzenia zadzwoniłam jeszcze na infolinię Santandera i faktycznie, nie kontaktowali się ze mną. Gdyby nie fakt, że postanowiłam działać nie przez telefon, nie wiem jak dużo danych udało by się oszustom ze mnie wyciągnąć.

Jak poinformował nas Andrzej Karpiński, Dyrektor Bezpieczeństwa Biura Informacji Kredytowej, BIK rejestruje dziennie ok. 40 zgłoszeń tego typu. Naciągacze podszywają się też pod numer 22-348-4444.

Jak nie dać się oszukać?

Na koniec przypomnijmy jedną, prostą radę, która pozwoli Wam i Waszym najbliższym uniknąć tego i innych, podobnych oszustw bazujących na socjotechnice i podszywaniu się pod numery telefoniczne.

Dzwoni typ (albo typiara) z banku albo BIK-u? ROZŁĄCZ SIĘ!

Następnie sam znajdź numer do swojego banku lub firmy, która do Ciebie rzekomo dzwoniła i samodzielnie wykonaj połączenie. Jeśli dana firma faktycznie czegoś od Ciebie chciała, konsultant na infolinii będzie o tym wiedzieć i przekaże Ci tę informację. Ale częściej po prostu pogratuluje Ci reakcji i powie, że właśnie ktoś chciał Cię oszukać.

Ztriggerowało Cię słowo “typ, albo typiara” w poradzie powyżej? Chciałeś napisać komentarz w tej sprawie albo już go napisałeś, niedoczytawszy artykułu do końca? Gratulujemy – zareagowałeś tak jak chcieliśmy. Jesteś podatny na socjotechnikę. Tak jak wiele osób, które pada ofiarą tych przekrętów.

Ostrzeż znajomych!

Na koniec jeszcze raz prosimy (po krakosku!): WEŹŻE i PRZEKLEJŻE linka do tego artykułu swoim znajomym. Pokrzyżujmy plany tym złodziejaszkom, którzy siedzą sobie w call center w kilkadziesiąt osób i od roku, dzień w dzień, “walą” Polaków na miliony tymi atakami telefonicznymi.

Pamiętajcie, że oszuści są tak wiarygodni, bo już przed wykonaniem połączenia wiedzą do kogo dzwonią. Dane na temat ofiar, ich imiona, nazwiska, to w których bankach mają konta, złodzieje mają z różnych wycieków, w tym także włamań na skrzynki e-mail. Dlatego może warto sobie w końcu ogarnąć temat wycieku własnych danych osobowych — namierzyć to co wyciekło i odpowiednio posprzątać? Jak? Tak jak to pokazaliśmy w naszym webinarze pt. “Wycieki Danych“.

  • Sprawdź, co na Twój temat już wyciekło do sieci i do czego dostęp mają przestępcy.
  • Dowiedz się, co zrobić, aby nikt tego nie wykorzystał przeciwko Tobie!

Do końca dnia, dostęp do naszego webinara “Wycieki Danych” możesz kupić aż 50% taniej podając kod ROZLACZSIE. Dostęp do webinara otrzymasz na 30 dni, więc spokojnie zdążysz go zobaczyć.

Kliknij tutaj aby kupić w promocyjnej cenie (ważne tylko do 23:59).

Poza ogarnięciem swoich wycieków danych, warto też poprawnie zabezpieczyć dostęp do swojej skrzynki pocztowej, bo przejęcie nad nią kontroli to z reguły game over. Rzućcie okiem na te 5 darmowych porad.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

66 komentarzy

Dodaj komentarz
  1. Niestety, uniwersalna rada, którą stosuję od lat, coraz bardziej się sprawdza. Nigdy nie podawać danych przez telefon. Nikomu.
    Jak dzwoni do mnie typiara (:D) np. z salonu Play i prosi o weryfikację, podanie tego czy tamtego, to odpowiadam, że podziękuję, nie podam i najwyżej udam się do salonu, by poznać super hiper dobrą ofertę przeznaczoną tylko dla mnie.

    Na chwile stracisz czujność, podasz nie to co trzeba nie tam gdzie trzeba i wszystkie ciężko zarobione tysiące pójdą z konta uj wie gdzie.

    • To ja poleciałem grubiej – operatorom jak dzwonili z super mega ofertami powiedziałem że dziękuję za współpracę i proszę o natychmiastowe rozwiązanie umowy, a mBank, który po prostu uwielbiał wydzwaniać (bo jak się okazuje automat rejestruje każde kliknięcie na ich stronie nawet jak nie jesteście zalogowani) zj*** na czym świat stoi. I wszyscy magicznie… Przestali dzwonić :-)

    • No tak, tylko problem jest taki że czasami faktycznie banki dzwonią i czasami faktycznie trzeba im podać to hasło abonenckie albo nazwisko panieńskie matki. Miałem tak ostatnio z Inteligo kiedy przelewałem większą kwotę. Nie wiem od czego zależy że akurat ten przelew chcieli potwierdzić (pewnie jakieś procedury dotyczące AML) ale musiałem ren przelew potwierdzić w tej rozmowie telefonicznej. Przemaglowalem gościa jak tylko mogłem, nie chciałem mu podać danych, przekonało mnie dopiero jak podał mi dokladny czas i kwotę przelewu, bo tego przestepca by nie mógł wiedzieć. Na szczęście to nie było oszustwo.

  2. Najprostsza rada: nie odbierać połączeń z nieznanych numerów.

    • Tylko tu numer jest znany…

    • Nie odbierać telefonów w ogóle
      U mnie to działa

    • Myślę że tutaj można, po chwili głębszego zastanowienia się,
      zastosować inną odmianę tej metody. Mianowicie, weryfikację
      paroetapową takiego dzwoniącego “pracownika banku/infolinii/security”
      – szczególnie ukierunkowaną na żądanie odpowiedzi,
      których potencjalny oszust mieć nie powinien (o ile nie jest
      rzeczywiście prcownikiem banku zalogowanym w tym momencie
      do ichniego CRMu). Warto pomysleć chiwlę nad tym zagadnieniem.

      Stosując tą metodę w praktyce – z reguły zadaję takim
      dzwoniącym kilka (1 lubwięcej) pytań weryfikujących już na wstępie
      całej rozmowy – pytań typu:
      1) prosze mi podać 4 cyfry (tu podaję które) numeru konta
      rachunku w sprawie którego Pan/Pani dzwoni
      (zauwazcie że pytam nie o numer karty przypiętej do konta,
      ale o cyfy z numeru smaego konta. To nie to samo !)
      2) proszę o podanie daty i godziny ostatniego wykonanego
      przelewu na kwotę (xx) zł (w okresie od … do …)
      (pytanie może być podchwytliwe jeśli podam nie istniejącą kwotę)
      3) prosze o podanie daty otwarcia rechunku (łątwo ją odczytać zz/w bankowosci elektr.)
      4) proszę o podanie ostatniego (np) złożonego zamówienia/zlecenia wraz z datą
      itp…
      Oczywiście to powyższe – tylko po otwarciu przez siebie samego
      właściwego konta, żebym mógł sprawdzic poprawność
      w.w. danych.
      Najlepiej jeśli bede miał do tego konta przypiety klucz
      sprzętowy U2F.

      Skutek jest taki, że zdecydowane 85% konwulsantów juz na wstępie
      odpada, jeśli wśród nich byłby oszust to również o ile
      nie prejąłby mi wcześniej konta (po to klucz sprzetowy)
      to nie miałby jak tych danych pozyskać – NAWET jeśli ukradłby
      moje dane osobowe wcześniej czy pozyskał numer karty
      kredytowej . A prawdziwy pracownik Banku miałby.

      Jeśli zdarzy się tak, że jakiś prawdziwy konsultant będzie
      jednak chciał się ze mną skontaktować – a nie będzie mógł
      (procedury!) podać mi żądanych danych – to zwróci się do mnie
      z tradycyjnym – “to prosze Pana w takim razie żeby skontaktował
      się Pan z infolinią banku X gdzie pracownik będzie Panu w stanie
      udzielić tych samych informacji “.

      Tyle. I po bólu :)

    • Jak to możliwe, że u mnie na telefonie widzę numer z banku a dzwoni oszust???
      Naprawdę nie da się zaprojektować i zbudować GSM tak, żeby tak się nie dało zrobić?

    • @markooff Wskaz mi prosze chocby jeden bank w Polsce, gdzie mozesz podpiac klucz UF2. Podpowiem – w zadnym nie mozna. A zamiast meczyc dzwoniacego pytaniami, pozegnaj sie, odloz sluchawke i sam zadzwon do banku.

    • @Janusz – nie znam wszystkich interfejsów WSZYSTKICH banków, być może gdzieś już się da /nad tym pracują….
      A co do przeganiania dzwoniącego – od offence, zawsze wolę zrozumienie, ja moimi pytaniami powoduje najczęściej to samo , tylko że to ON SAM dochodzi do wniosku że nie może mi powiedzieć tego co chce/miał – i w zw. z tym SAM prosi o telefon na infolinię….
      Ale nikt , choćby po przesłuchaniu xx nagranych rozmów (ze mną) nie może zarzucić mi braku dobrej woli i chęci wysłuchania tego z czym dzwoni konsultant :)

      Pozdrawiam

    • Ostatnio w mBanku konsultantka wysłała wiadomość push na telefon, którą musiałem potwierdzić. Zawsze to jakieś usprawnienie

  3. Najlepszym sposobem na uniknięcie oszustwa jest po prostu rozłączenie się, gdy słyszy się ukraiński lub hinduski akcent, który przedstawia się jako specjalista bądź podaje polskie imię i nazwisko.
    Szczerze – to nas uratuje w 99,9%.

    Pomijając już fakt, że czujność, czujność i jeszcze raz czujność. Niestety – ludzie są zabiegani, trudno im kontrolować to, co się dzieje szybko…. A potem niestety jest bum – kasy ni ma.

    Marzę o tym, że kiedyś będziemy mieli takie możliwości, a właściwie służby – by takich złodziei szybciutko namierzać.

    Na ten moment – jedynie edukacja i czujność :(

    • Jeżeli tylko pojawi się propozycja uszczelnienia prawa w tym zakresie, to zaraz pojawią się wątpliwości co do prywatności i inwigilacji i rozszerzania kompetencji służb.

  4. Dzwonili,
    Podali błędne imię i nazwisko (pozdrawiam wyciek fałszywych danych z Morele), podali poprawny bank. Nudziło mi się, dałem info o koncie w banku ING (nie mam, a tym bardziej fałszywa osoba też go nie ma), potem PKO i PEKAO. Zadzwonił bezpiecznik z PKO (nie mieli schematu na ING?) – podałem nawet numer dowodu (generator) do weryfikacji. I że mam dwa konta walutowe – w euro i dolarach. I słuchajcie, nie uwierzycie! Zgadza się, poprawnie mnie zautoryzowali :D. Potwierdzili, że to nie wyciek i pozdrawiam. Z innych banków nie dzwonili. No, ale ze 40min gościowi zająłem.

    • Bohater dnia :-)

      > Dzwoni typ (albo typiara) z banku albo BIK-u? ROZŁĄCZ SIĘ!

      Tak jest!

    • Miał wschodni akcent?

    • Dokładnie, to jest jedna z najlepszych opcji jakie można zrobić, po prostu zajmować tych kretynów. Przestanie to być dla nich rentowne, bramka kosztuje, ich czas też kosztuje. Liczenie że cyberpsy coś z tym zrobią to absurd, nie będzie miał kto dawać mandatów za przechodzenie na czerwonym świetle na pustej ulicy jak by zaczęli robić coś pożytecznego.

  5. Ostatnio dużo jest tego typu ataków,
    1x kończy ci się umowa na telefon (…) telefon firmowy -> bait jak nic, korporacyjne numery zostały zasypane takimi telefonami.
    2x bank, nowe prawo bankowe też na numer korporacyjny w ciągu godziny koledzy biura tez mieli telefony w tej sprawie, (korporacyjne numery z różną końcówką)
    2x prywatny numer: tele-sonda oglądalności z opcją wygrania 300zł (strona firmy nie aktualizowana od 2015 roku),
    2x prywatny numer: dzwonimy w ramach badania opinii o służbie zdrowia czy dodzwoniłam się do mieszkańca województwa “XX”, a ile pan ma lat, a gdzie pan mieszka, czy chce Pan darmowe skierowanie na badania profilaktyczne, potrzebuję pana dane do skierowania… (bez podawania firmy i odpowiedzi z jakiej instytucji firmy dzwoni Pani).

    I to w dwa miesiące.

    pozdro.

  6. Znowu Ukraińcy.

  7. Tylko dlaczego oni dzwonią ze znanych numerów? Jakim cudem jest coś takiego możliwe?

    • VOiP i spoofing numeru. Niestety jest możliwe i nikt tego nie weryfikuje…

    • Dokładnie!
      To mnie najbardziej zastanawia, nigdzie w artykule nie ma nawet próby objaśnienia tego. Zakładają, że pani zdająca relację miała zwidy czy jak?

    • Protokoły telefoniczne w większości zostały opracowane w latach 80-tych ubiegłego wieku. Nikt nie przewidywał możliwości uwierzytelnienia się. Generalnie to operator danej sieci PSN powinien sprawdzać, czy wychodzące połączenia identyfikują się odpowiednimi numerami, ale jak jest to chyba każdy widzi.

    • Wykorzystują bramki do tego typu rozmów. Tak samo mogą wysłać e-maila podszywającego się pod kogokolwiek.

    • >mogą wysłać e-maila podszywającego się pod kogokolwiek
      Można było. Jakieś 20 lat temu. Przy obecnych rozwiązaniach typu SPF, DKIM i DMARC taka wiadomość na 99,99% wyląduje w spamie lub oberwiesz hard bounce!

  8. Miałem wczoraj i przedwczoraj po 4 takie próby połączeń rzekomo z PKO

  9. Spotkałem się ze zdarzeniem podobnym do opisanych w artykule, ale ciut innym. Zadzwonił gość, mamloczący, przepraszam chciałem rzec, że mówił po polsku (w jego mniemaniu) a bardziej po ukraińsku (w moim mniemaniu). Chciał się umówić na przekazanie mi zarobionych pieniędzy. Za czwartym bodajże razem udało się, byłem przy komputerze i mogliśmy podjąć temat. Z pozoru wyglądało to prawdopodobnie, kiedyś wpłaciłem 137 zł na bodajże trona. Po paru miesiącach ktoś dzwonił i proponował zamianę na bitcoiny. Zrealizowaliśmy, miałem potem otworzyć u nich konto, ale zażądali skanu dowodu to ich olałem. Teraz gość tłumaczył, że skończył się okres inwestowania i muszą mi wypłacić zysk. Znał moje imię, pytałem się o nazwę firmy, z której dzwoni, ale nie sposób było dokładnie tego zrozumieć. Ja wpłacałem na konto jakieś firmy z siedzibą w Londynie i można było niezgodności położyć na karb wymowy. I teraz start – najpierw namówił mnie do zainstalowania Anydeska, bo konieczne będzie przejście na chat. Potem przesłał link do jakiegoś systemu, połączyłem się (tu już może dałem się wrobić) i zobaczyłem jakieś wyliczenia i sumę, którą miałem otrzymać. I teraz zaczął się wypytywać, czy łączę się z bankiem i czy mam hasło. Podałem z którym bankiem się łączę i to mu się nie spodobało (gra?), podał, które banki byłyby lepsze. I tutaj stracił wenę, ja nie miałem chęci na jakiekolwiek łączenie się, powiedziałem, że mogę podać numer konta, a on nie miał argumentów. W końcu stwierdził, że chyba nie chcę zarobić i rozłączył się. I tu zaczęło się to, co zaczęło mnie niepokoić. Z pulpitu zaczęły znikać ikony. Wyjąłem kabel sieciowy, zamknąłem Anydesk. Straciłem jednak linki do przeglądarek, explorera, outlooka. Linki odtworzyłem, ale outlook wymagał powtórnej konfiguracji i nie zdołałem odzyskać książki adresowej. To są straty o których wiem, ale martwi mnie to o czym być może nie wiem.

  10. Do mnie kilka dni się dobijali, aż trafili jak wracałem autem z pracy do domu i miałem czas. Chciałem sprawdzić jaką mają nawijkę.

    Numer Banku Millenium. Gość pyta czy zlecałem przelew dla jakiegoś Marcina Sz… Na 700 PLN. Ja oczywiście powiedziałem, że nie, Udawałem zaniepokojonego mało rozgarniętego gościa. – Złapał przynętę.

    Później jak w artykule. Zapewnienie, że sprawa trafi na policję oraz że połaczy mnie z działem bezpieczeństwa. Plus pytania, o to jak mogło dojść do wycieku danych. Info o tym czym jest malvare :D Przed połączeniem z działem bezpieczeństwa miałem ściągnąć jakąś aplikacje. Do zdalnej kontroli i podać kod :D Tu już niestety nie wytrzymałem i zapytałem mojego rozmówcę zza wschodniej granicy: “Dlaczego nie weźmie się do uczciwej pracy, tylko ludzi oszukuje”. Odpowiedział mi szczerze, że “nie będzie pracował na budowie 12h dziennie za 300 dolarów miesięcznie, bo tutaj zarabia dużo lepiej” i się rozłączył :)

  11. A wystarczyłoby gdyby szmaciarscy operatorzy nie zezwalali na wprowadzenie do sieci dowolnego clipa poza wykupionym.

    • Pecunia non olet

  12. Może naoglądałem się za dużo filmów, ale czy nie ma w Polsce żadnej komórki policji, która byłaby w stanie namierzyć tych gnojków i albo ich zgarnąć. albo powiadomić służby w kraju, gdzie się znajdują? Gdybyście podali kontakt do niej, możnaby tam zgłaszać takie incydenty (np. w trakcie trwania, gdyby to miało pomóc).

    • Jesteś w Policji. Masz do wyboru:
      – złapać nastolatka przejeżdzającego rowerem po pasach
      – siedzieć sobie za zakrętem, w aucie, w cieniu drzewa, za znakiem ograniczenia do 50
      – szukać ukraińskiego złodzieja, podszywającego się pod numer infolinii, robiącego wirtualne kradzieże, co wymaga przesłuchiwań poszkodowanego, zdobywania logów, wnioskowania do operatorów, kontaktowania się z bankami, prowadzenia dokumentacji i ogarniania tego w całości merytorycznie.

      Dla ułatwienia rozwiązania: za każde zadanie masz 1pkt.

    • Mogliby wyświetlać taką dużą mapę Europy z migającym “TREJSING PROGRESS… 30%” i jakby doszło do 100%, to by włączyli “zum end enhens” na gościa przy budce telefonicznej, a potem zrzucili na niego komandosów ze śmigłowca. Potem akumulator na jaja i gość śpiewa gdzie ma bosa. Na bosa też zum, komandosi i akumulator…
      A nie, to jednak film ;)

    • @Morris

      W policji nie ma policjantów od wszystkiego, ci z drogówki nie zajmują się kradzieżami internetowymi, itd., Dziwne, że tego ktoś nie wie.

    • @Morris: Wbrew pozorom policja nie składa się tylko z drogówki
      @asdsad: Jednak Ty oglądałeś dużo więcej filmów niż ja. Wiem, że operatorzy mogą namierzyć swoje numery, chociaż pewnie nie z dokładnością do metra. Wiem też, że policja mogłaby taką informację od operatora uzyskać. Pytanie, jak sprawnie taka współpraca przebiega i czy w ogóle w policji ktoś się tym zajmuje. Bo na miejscowy komisariat bym nie liczył.
      @Niebezpiecznik: Może warto byłoby zadać policji kilka niewygodnych pytań w stylu “dlaczego nic z tym nie robicie” albo “komu zgłaszać takie incydenty”? Myślę, że macie już taką rozpoznawalność i tym samym siłę przebicia, żeby coś wskórać.

  13. Dariusz Świętochowski zza Buga? To powinno zwrócić naszą uwagę. Przecież słychać wyraźnie, że ma obcy akcent.

  14. Kilka lat temu dzwonił do mnie “mój bank” w sprawie jakiejś niecierpiącej zwłoki. Próbował weryfikować moje dane. Zapytałem, że czy mają naprawdę tak głupich managerów, że weryfikacja odbywa się w tym kierunku, a nie ja powinienem pytać o numer buta prezesa. Odłożyłem słuchawkę, słysząc wielką obrazę i protesty po drugiej stronie, myśląc że to na pewno oszuści. Nie, myliłem się, to był mój bank. Tak, mają aż tak głupich managerów. teraz może być tylko gorzej, zgodnie z zasadami rozrostu korporacji.
    Proszę wszystkich o nie przecenianie zdolności myślenia abstrakcyjnego w kadrze kierowniczej banków.

    • Zmien bank. Czlowiekowi sie wydaje, ze jesli pod jednym wzgledem jest gorzej to gdzie inndziej sie poprawia – ale w wypadku takiej nieudolnosci/niekompetencji coraz czesciej zdarza sie ze jest i gorzej i drozej…

  15. > Dzwoni typ (albo typiara) z banku albo BIK-u? ROZŁĄCZ SIĘ!
    Telefon wynaleziono w XIX w. W tamtych czasach ludzie nie za bardzo myśleli o uwierzytelnianiu stron komunikacji. Dzisiaj należy uznać tę formę kontaktu po prostu za niebezpieczną!

  16. OT
    Ciekawe czy już ktoś szykuje lewe smsy z loterii szczepionkowej z fałszywym linkiem.

    • ja chciałam zgłosić starowinę z rodziny do tej loteryjki poszczepiennej – i okazało się na infolinii, że nie da rady, bo w systemie nie ma daty wyszczepienia wprowadzonej. Jeżeli punkt szczepień wprowadzi daty do systemu – to wtedy dopiero. Czeba tam pojechać i spowodować uzupełnienie.
      Ale kto wie – może po tym kontakcie dostane na numer, z którego dzwoniłam linka do “nagrody” ?

  17. Tak to jest, gdy procedury bankowe polegają na tym, że tylko jedna strona jest weryfikowana. A zastosowanie prostego hasła do weryfikacji pracownika banku znacznie utrudniło by oszukiwanie ludzi w ten sposób.

  18. Tak to jest, gdy procedury bankowe polegają na weryfikowaniu tylko jednej strony transakcji. Wprowadzenie weryfikacji pracownika banku hasłem znacznie utrudniło by tego typu oszustwa.

  19. Jest to nowy wariant… Koleżanka, która z ciekawości założyła konto na jednym z portali zajmujących się kryptowalutami dostała telefon, że ma na koncie 20.000 $ i po zdziwieniu (bo nic nie wpłacała ofc) prośba o zainstalowanie anydesk.

  20. Nasuwa się podstawowe pytanie: czy operatorzy komórkowi, dysponujący przecież olbrzymimi środkami pieniężnymi, nie mogą czegoś zrobić, aby zablokować możliwość spoofowania numeru przychodzącego – CallerID? Naprawdę nie da się tego jakoś zabezpieczyć?

  21. Ja dostalem 3 telefony gdzie osoby podawaly sie za mojego “managera” i mowily ze zablokowaly konto na jednej z naszych stron firmowych i prosza o podanie mojego bo jest “pilna robota”.
    Sie usmialem, koles z lekking hindyskim akcentem zapewnial ze jest jednym z moich kierownikow ….

  22. Uzupełnienie mojego wcześniejszego komentarza – wczoraj podczas przejazdu przez wioskę w woj. lubelskim natknąłem się na ogłoszenie na jakieś posesji “Skup katalizatorów”. Skoro już w kraju paskarze oficjalnie się ogłaszają (no bo kto sprzedaje katalizatory poza złodziejami?) i nikomu to nie przeszkadza, to dlaczego oczekujecie ścigania oszustów, którzy być może działają spoza naszych granic?

    • Wrocław, adres w centrum miasta, jakieś 300m od posterunku, bijący w oczy szyld katcenter.pl. W ogóle się nie kryją.

  23. @Foo @Markoff

    Co do tej kwestii: czy odbierać / nie odbierać telefony z banku albo czy pytać pracownika banku o szczegóły żeby się upewnić czy to nie oszust – Myślę że dało by się to ogarnąć przynajmniej częściowo żeby ukrócić wały polegające na spoofowaniu numeru czy SIM swap

    Skoro nasze “szanowne” banki wprowadzają autoryzację przelewów (czy innych działań) przez aplikację bankową to można to wykorzystać w dobrym celu i CAŁĄ komunikację z bankiem oprzeć na aplikacji zamiast tel. stacjonarnym / GSM / SMS bo autoryzację w aplikacji DUŻO TRUDNIEJ obejść

    Wyglądało by to tak:

    – Pracownik banku chce zadzwonić do klienta

    a) Jeśli appka jest włączona od razu pojawia się rozmowa przychodząca z tej aplikacji (podobnie jak w Signalu)

    b) Jeśli nie jest to wyskakuje powiadomienie typu: Dnia xx-yy og godz. AA:bb dzwonił pracownik (Imię i nazwisko) Gdy widzisz powiadomienie włączasz appkę i masz do wyboru opcje:
    – Poproś o ponowny kontakt – Wtedy ten sam gościu oddzwania do ciebie
    – Połącz z infolinią ogólną – Tu znowu łączność tylko w obrębie appki oparta na bankowym VOIP właśnie do tego przeznaczonym
    – Poproś o wyjaśnienie sprawy przez Email (albo lepiej) przez wiadomość prywatną w aplikacji

    c) Dobrym pomysłem była by modernizacja appki tak żeby cały czas działała w tle (ale nie zamulała telefonu kiedy nie jest używana) a w momencie gdy dzwoni ktoś z banku uaktywnia się interfejs i widać połączenie przychodzące ze szczegółami:
    Imię_Nazwisko pracownika, cel rozmowy

    Jeśli taka procedura została by wprowadzona i konsekwentnie realizowana wtedy zapewne na celownik poszły by appki bankowe żeby szukać w nich luk w zabezpieczeniach ale i tak jestem pewny że taka komunikacja SOLIDNIE przykręciła by śrubkę oszustom

    • > c) Dobrym pomysłem była by modernizacja appki tak żeby cały czas działała w tle (ale nie zamulała telefonu kiedy nie jest używana) a w momencie gdy dzwoni ktoś z banku uaktywnia się interfejs i widać połączenie przychodzące ze szczegółami: Imię_Nazwisko pracownika, cel rozmowy

      Nie za dobry sposób. Po pierwsze, z mojego dośwaidczenia z różnymi bankami wynika, że nie stać ich na dobrych dostawcóe softu ;-) (vide Citi), więc taka apka będzie na pewno prądożerna. Po drugie pomyśl, co ma zrobić ktoś kto ma takich więcej niż 10? Jak ja na przykład – bo mam parę kart kredytowych i parę kont. I nigdy nie łączę jednego z drugim w tym samym banku…

  24. Tak mi się skojarzyło, że ostatnio załatwiałam coś w siedzibie banku Pekao SA i na koniec pracownica banku zapytała, czy może nie zmieniłam zdania w sprawie telefonów od banku. Najpierw nie zrozumiałam, o co chodzi. Okazało się, że w którymś momencie nie wyraziłam zgody na kontakt w kwestii nowych ofert itp. i Pani chciała mnie namówić, żebym jednak tę zgodę wyraziła. Odmówiłam, bo nie chcę, żeby mi zawracali głowę ;) ale w kontekście tych ataków moja decyzja wydaje się jeszcze bardziej słuszna. Skoro nie spodziewam się telefonów z banku, to być może trudniej będzie mnie oszukać.

  25. A propos telefonów z banków – w MBanku jest już potwierdzanie przez aplikację bankową. Zadzwonił do mnie Pan z MBanku i poprosił abym potwierdził w aplikacji bankowej rozmowę, bez tego rozmowa nie byłaby kontynuowana. Brawo MBank.

  26. A propos potwierdzania operacji bankowych: Citi wprowadziło nowy system potwierdzania kartowych transakcji internetowych. Dostaje się SMSa z LINKIEM, który trzeba OTWORZYĆ, albo trzeba z ich apki PRZEPISAĆ kod autoryzacyjny!
    Witki opadają…

    • Citi też regularnie do mnie dzwoni i prosi żebym się weryfikował podając im swoje dane. Odmawiam i próbuję im tłumaczyć, że to oni dzwonią do mnie wiec to ja muszę ich zweryfikować… ale nie ma na to sposobu więc rozmowa się kończy. I za parę miesięcy znów…

  27. Właśnie dzwonili do mojej żony z kolejną wersją tego oszustwa.

    Najpierw leci telefon podszywający się pod Komendę Główną Policji, z pytaniem czy był pan/pani ost. na drugim końcu Polski i próbował(a) wypłacić pieniądze z bankomatu. Nie było pani ostatnio w Sopocie / Zakopanem? To zapewne fraud. Bo mieliśmy zgłoszenie, że to może być fraud i to teraz weryfikujemy.
    Przy okazji poszedł biały wywiad na imię, nazwisko, aktualny bank, i coś tam jeszcze.
    Rozmowy nie słyszałem, ale jak zapytałem czy był “metaliczny” akcent, to dostałem odp. że faktycznie brzmiał nieco dziwnie.

    Około 20-30 min. przerwy i dzwoni numer, wyświetlający się na tel. jako Infolinia Banku, który został podany. Facet dzwoni, wypytuje o serwisy internetowe, gdzie ost. się kupowało, że niby specjalista z działu bezpieczeństwa. Tak sobie gada i gada i później w celu zwiększenia bezpieczeństwa nakłania do zainstalowania dodatkowej aplikacji. Tak się złożyło, że mam konto w tym samym banku, więc żona przyszła się zapytać, czy faktycznie kazali mi ost. doinstalować jakąś aplikację. Ja mówię że nie, a rozmowa poszła na głośnomówiący. Gość ze wschodnim akcentem (jakiś Ukrainiec albo inny Białorusin) próbował przekonywać, że dla kont przez 2018r nie trzeba, ale dla nowych kont to trzeba.
    Od razu pomyślałem, że to może być fraud i zabroniłem jej instalowania czegokolwiek. Żona poprosiła o spotkanie twarzą w twarz, tj. dane osobowe i miejsce gdzie można się dzisiaj spotkać. Miejscówka to… rozdzielnia energetyczna na jednej z dzielnic, nazwisko też pewnie fałszywe.

    Dałem żonie drugi tel, ta zadzwoniła na infolinię i tam się dowiedziała, że nikt do niej z żadnej infolinii nie dzwonił, nie ma żadnych innych aplikacji niż oficjalne, i że właśnie ktoś próbował ją okraść.

    • Jeszcze taka drobna uwaga, odnośnie tego akcentu. Wschodni akcent ledwo wyczuwalny, tj. to musiał być ktoś kto albo mieszka w Polsce, albo jest po polonistyce. Pełna, płynna polszczyzna, z lekko wyczuwalnym wschodnim akcentem.

  28. Do mnie od lat uparcie dzwoni mój bank z pytaniem czy nie chciałbym pożyczki na dowolny cel. Nie chciałbym. Ale za każdym razem pyta o jakieś dane, aby potwierdzić czy ja to ja, zwykle jakiś miesiąc daty urodzenia, czasami jeszcze czy mam u nich takie-siakie konto, itp. No i jakiś rok z górą temu stwierdziłem (thanks to Niebezpiecznik), że metodą “na pożyczkę” jakiś złodziej mógłby się sporo o mnie dowiedzieć i… zautentykować się w banku, więc spuszczam ich po brzytwie. Ale cięgle dzwonią. Takich telefonów jak opisane w artykule na razie nie miałem, widać moje dane nie były obecne w tym wycieku, z którego korzystają złodzieje.

  29. Dzisiaj do mnie dzwonili, że niby ktoś próbował wykonać przelew z mojego rachunku 600 złotych w Sopocie. reszta schematu ta sama. Sami się rozłączyli gdyż nie współpracowałem. Ale są nieźli bo jak dzwonili to faktycznie miałem połączenie niby z mojego banku. Wschodni akcent.

  30. Call back wymyślono dziesiątki lat temu.
    Wczesne lata 70, pododdział kompanii akademickiej. Do dyżurnego kompanii dzwoni niby oficer dyżurny jednostki: ” proszę natychmiast zameldować się z gaśnicą” Bidak targa gaśnicę pianową do oficera dyżurnego, a tam wielkie zdziwienia. Biedny podchorąży nie miał życia przez długie tygodnie, ale cała reszta wiedziała, że jak dzwoni ktoś i podaje się za przełożonego, to grzecznie przerywa się połączenie i oddzwania na znany numer. Proste? Proste!

  31. I co z tego że nbzp ostrzega jeśli z Inteligo dzwonią zeby potwierdzić transakcję i tłumaczą że transakcję trzeba potwierdzić u nich i że nie mozna zadzwonić na infolinię.Pani radośnie podała jakieś nazwisko i powiedziała ze na infolinii mogę potwierdzić że ktoś taki pracuje w banku,a ona naprawdę się tak nazywa (jasne powinienem pewnie po glosie poznać).
    Dopóki banki nie stworzą wspólnych spójnych zasad bezpiecznej komunikacji z klientami to cały czas znajdą się osoby, które będą traciły pieniądze w ten sposób.

  32. Odnośnie nagrania YT – telefony z Androidem podpowiadają nazwę dzwoniącego niezależnie od tego czy mamy numer zapisany w kontaktach.
    Mi się upiekło, bo zadzwonił do mnie osobnik z infolinii banku, w którymi nigdy nie miałam rachunku.

  33. […] nie jest grany wariant na instalacje aplikacji AnyDesk / TeamViewer Quick Support, to ofiara proszona jest o zwiększenie limitów i wypłatę środków, czy to w bankomacie czy w […]

  34. […] Zwłaszcza, że w ostatnich atakach, coraz częściej to klient, mamiony socjotechniką, okrada się sam. Bo przez wciąż nieuregulowaną kwestię spoofingu w Polsce, myśli że dzwoni do niego pracownik banku. […]

  35. […] im linka do tego artykułu) 2. Przy okazji ostrzeżcie ich o trwającym cały czas ataku “na pracownika banku” także w wariancie “na pracownika BIK-u” 3. Podeślijcie im link do tego […]

  36. Dzisiaj 16.11.2022 , telefon z numeru 501910429 odzywa sie automat i mówił że dzwoni w sprawie weryfikacji danych do wniosku kredytowego na 22 tysiące złotych – oczywiście żadnego wniosku nie składałem. Po automacie odzwya się Pan twierdzący że jest pracownikiem Banku PKO BP i że będzie mnie prowadził przez proces weryfikacji. Pam niestety nie odrobił lekcji z języka polskiego ani nie wyzbył się akcentu ukraińskiego wiec po mojej odpowiedzi ów człowiek zamilkł po czym po chwili się rozłączył. Numer dodałe do baz numerów niebezpiecznych z których może dochodzić do wyłudzeń danych czy też kradzieży pieniędzy z kont bankowych.

  37. Pracownik Play here.
    Akurat jak dzwoni Play, to w pierwszej kolejnosci prosi tylko o imię i nazwisko a nastepnie hasło do konta Play (specjalnie utworzone w celu braku koniecznosci podawania danych takich jak PESEL czy adres zameldowania – a hasło zna tylko Konsultant i Klient, jest widoczn na umowie) i jesli Klient takie hasło zna, to uwierzytelnienie jest uznane za prawidłowe. A jeśli nie zna i danych podać nie chce – wtedy telekom kontaktuje się mailowo. Jeśli nadal ktoś sie obawia to stara, dobra zasada oddzwaniania samodzielnie zawsze się sprawdzi.
    Także ostrożność ostrożnością i jest bardzo ważna ale też bez przesady choć rozumiem i cieszę się że ludzie są czujni.

Odpowiadasz na komentarz Aleksandra

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: