10:36
11/5/2021

Nasz Czytelnik, Szymon, odebrał kilka dni temu telefon od oszustów, podszywających się pod pracowników banków. Działania tej grupy opisywaliśmy już kilka tygodni temu. Szymon nagrał tę rozmowę, dzięki czemu macie niepowtarzalną szansę, aby usłyszeć słowo-w-słowo, jak cwani są ci złodzieje i jak dokładnie przebiega jeden najpopularniejszych obecnie przekrętów — oszustwo “na pracownika infolinii banku”.

Scam na pracownika infolinii banku

Zanim przejdziemy do nagrania, przypomnijmy skrótowo na czym polega to oszustwo:

  1. Złodzieje pozyskują Twoje dane z wycieków, np. ze sklepu internetowego. Mają imię, nazwisko, numer telefonu i cztery ostatnie cyfry karty płatniczej, którą opłaciłeś zamówienie.
  2. Złodzieje dzwonią do Ciebie z prawdziwego numeru Twojego banku i prawie zawsze maja ukraiński akcent. Numer jest prawdziwy, bo pod numery telefonów można się podszyć.
  3. Złodzieje twierdzą, że bank wykrył podejrzaną transakcję na Twoim rachunku i jest ona wynikiem infekcji Twojego smartfona złośliwym oprogramowaniem
  4. Złodzieje nalegają na to, by “zgodnie z regulaminem banku”, pracownik działu technicznego przeskanował Twoje urządzenie pod kątem wirusów. W tym celu chcą się połączyć z Tobą przez aplikację Teamviewer QuickSupport lub Anydesk, którą rzekomo masz mieć zainstalowaną, a jeśli jej nie masz, to musisz ja zainstalować, bo “regulamin banku tego wymaga”
  5. Złodzieje z Twoją pomocą wykonują operacje “weryfikacji” na Twoim koncie. Widzą wszystko, co Ty, także kody potrzebne do autoryzowania “testowych” transakcji. W ten sposób przejmują kontrolę nad rachunkiem i okradają Cię z pieniędzy, ale z punktu widzenia banku, to Ty “okradłeś się” sam i jak dojdzie do Ciebie co się stało, to Twoja reklamacja zostanie odrzucona.

 

Do naszego Czytelnika oszuści dzwonili 2 razy. Czytelnik był świadomy, że jest to atak, więc zaczął nagrywać rozmowę. Oczyściliśmy nagranie z powtórzeń i prezentujemy je jako filmik na YouTube, w formie łatwej do przekazania innym. Prześlij je swoim znajomym, nawet osobom technicznym — bo telefon z poprawnego numeru banku i informacja o fałszywej transakcji wielu, nawet świadomym na codzień osobom, wyłącza myślenie i padają ofiarą tego oszustwa tracąc oszczędności swojego życia:

Zasubskrybujcie nasz kanał na YouTube, jeśli jeszcze tego nie zrobiliście, bo planujemy tam niebawem wrzucić kolejne filmiki o oszustwach, jakimi nękani są Polacy. Ciekawy film dotyczący tego scamu pojawi się też niebawem na kanale Naukowy Bełkot, Dawid Myśliwiec. Jego też zasubujcie, chociaż pewnie większości z Was Dawida przedstawiać nie trzeba!

Zwróćmy uwagę, na najważniejsze fragmenty rozmowy, które sprawiają, że jest ona taka przekonująca i tak wiele osób pada ofiarą tej grupy oszustów:

  • Złodziej w trakcie rozmowy czyta fragmenty skryptu. Widzimy uderzające podobieństwa niektórych z wypowiadanych przez niego zdań do tych, jakie padały w przypadku oszustw opisywanych przez nas 5 lat temu. To sprawdzone w boju, działające socjotechniki: wymuszenie pośpiechu, wzbudzenie zagrożenia, legalizacja przez współdziałanie z policją. Wielu osobom wyłączą trzeźwe myślenie, zwłaszcza że…
  • Oszust cytuje poprawny numer karty płatniczej swojej ofierze. Potwierdziliśmy, że Czytelnik korzystał z Aliexpress. Jego dane mogą pochodzić z wycieku od jednego ze kontrahentów tego serwisu. Inne osoby, do których dzwonili oszuści dawały nam znać, że oszuści zwracali się do nich fałszywymi imionami, jakie podali właśnie podczas zakupów przez aplikację Joom. Uwaga! To nie oznacza, że jak ktoś nie kupował na Aliexpress lub nie korzystał z Joom, to nie będzie ofiarą tego ataku. Złodzieje informacje na temat Waszej karty i numery telefonu zbierają z wielu różnych wycieków, których niestety nie brakuje…
  • Oszust uwiarygadnia się. Podaje swoje dane (Dariusz Świętochowski), ponieważ twierdzi, że za chwilę będzie dzwonić policjant w tej sprawie i o te dane pewnie zapyta. Wskazuje też dane oszusta, na którego konto miały zostać przekazane środki naszego Czytelnika na skutek fałszywej transakcji. Mateusz Burek. Dzwoni z prawdziwego numeru infolinii. To wszystko dodaje wiarygodności atakowi.
  • Oszust manipuluje ofiarą, sprawiając, że sama zaczyna wierzyć, że jej urządzenie jest zainfekowane. W tym celu zadaje sprytne pytania, na które większość osób odpowie “tak”, podświadomie przyznając rację historii snutej przez oszusta. Znów, podobieństwo do przekrętu sprzed 5 lat jest niesamowite. Oto pytania:
    — Czy otrzymywał Pan jakieś podejrzane maile w ciagu ostatnich 2 tygodni.
    — Czy robił Pan zakupy na Allegro, Aliexpress, OLX w ciągu ostatni 2 miesięcy
    — Czy zawsze zabiera Pan potwierdzenie po zakupach
    — Czy Pan korzysta z sieci Wi-Fi w ogólnodostępnych miejscach
  • Oszust służy nawet dobrą radą! Edukuje, zupełnie jak prawdziwy pracownik banku, że należy uważać na strony internetowe, na których brak jest certyfikatu bezpieczeństwa.
  • I dopiero po tym wszystkim, oszust pyta, czy ofiara ma aplikację mobilną banku oraz “dodatkową aplikację” Quick Support (Teamviewer), którą według regulaminu banku powinno się mieć zainstalowaną, jeśli konto było założone po 2015 roku. Oszukuje, że to aplikacja bankum stworzona bo było dużo ataków na telefony, a dzięki tej aplikacji bank może szybko pomagać klientom. Jak Quick Support nie działa, to oszust nakłania do instalacji aplikacji AnyDesk.
  • Oszust przekonuje, że to standardowa procedura. Że nie chce żadnych kodów uwierzytelniających i że rozmowa jest nagrywana, więc gdyby o kody z SMS-ów poprosił, zostałby przez mBank ukarany. Fakt, oszust o kody nie prosi — nie musi. Będzie mieć do nich dostęp, bo po instalacji Quick Support widzi wszystko to, co ofiara.

 

Jak nie stać się ofiarą?

Aby nie stać się ofiarą, zapamiętaj:

Jeśli zadzwoni do Ciebie ktoś z banku, rozłącz się. A następnie sam zadzwoń na infolinię swojego banku. Numer weź ze strony internetowej. Jeśli telefon z banku był prawdziwy (a może być, bo pracownicy banków czasem dzwonią do klientów np. w celu potwierdzenia jakiejś operacji) to konsultant z infolinii na którą dzwonisz będzie wiedział o co chodzi.

Powyższa porada wystarczy, aby ochronić się przed tym atakiem. Ale dla własnego bezpieczeństwa, już teraz zrób jeszcze coś. Przelej część swoich oszczędności na inny rachunek w innym banku. Gdybyś kiedyś mimo wszystko padł ofiarą oszusta (albo awarii banku), nie stracisz dostępu do całości swoich środków.

To prawda, że wszystkie ofiary z którymi rozmawialiśmy twierdzą, że rozmówca miał ukraiński akcent. Wykrywanie tego przekrętu bazując na tej cesze jednak odradzamy, bo po pierwsze, zaraz może do Was zadzwonić Polak, którego ta szajka zatrudni, a po drugie na prawdziwych infoliniach różnych instytucji coraz częściej pracują imigranci z Ukrainy i posiadanie przez kogoś tego akcentu nie oznacza, że to “oszust, który chce Cię okraść”.

Wciąż zbieramy informacje na temat tego ataku od ofiar lub niedoszłych ofiar. Jeśli odebrałeś podobny telefon Daj nam znać.

 

Okradli mnie w ten sposób, co robić?

Jeśli padłeś ofiarą tego oszustwa, mimo wszystko zgłoś reklamację do banku i udaj się na policję. Nie bagatelizuj tych dwóch kroków, nawet jeśli straciłeś tylko 500 złotych w jednej transakcji Blika. Im więcej zgłoszeń, tym lepsza reakcja różnych instytucji.

Oszuści dzwonią na dane pochodzące z różnych wycieków, więc oznacza to, że co najmniej twój numer telefonu i dane osobowe skądś wyciekły. Załóż najgorsze i przygotuj się na kradzież tożsamości i wszystkie konsekwencje z tym związane. Niestety, w Polsce nie ma jednego miejsca, gdzie można kradzież tożsamości zgłosić i przed tym wszystkim się ochronić…

Aby zminimalizować ryzyko kredytów, chwilówek i przejmowania kont w różnych serwisach (skrzynka pocztowa, serwisy społecznościowe, aukcyjne, itp.) musisz wykonać kilkadziesiąt czynności.

Najbardziej aktualna wiedza z tego zakresu, wraz ze wskazaniem co zrobić krok-po-kroku i z jakich usług warto, a z jakich nie zawsze warto korzystać znajduje się w tym mini-szkoleniu video. Dowiesz się z niego także, jak sprawdzić, co na Twój temat już wyciekło do sieci. Do końca dnia, z kodem TAMA możesz wziąć udział w tym szkoleniu za połowę ceny.

Skala tych ataków jest bardzo duża!

Od pół roku otrzymujemy średnio po kilkadziesiąt zgłoszeń tygodniowo w sprawie takich telefonów. Jest to więc plaga. Ktoś ewidentnie dzwoni do ludzi z tym przekrętem dzień w dzień.

Dodatkowo, istnieje też wariant “na kryptowaluty”, gdzie zamiast pracownika banku, dzwoni ktoś z giełdy bitcoina, na której rzekomo mamy konto. Mówi, że giełda się zamyka, więc żeby nie stracić środków, należy podać rachunek na który oni te bitcoiny przeleją. Oszust podaje poprawne nazwisko i inne dane ofiary, do której dzwoni. Chytre osoby, które myślą, że właśnie bitcoiny spadły im z nieba, kontynuują rozmowę i tracą oszczędności swojego życia, ponieważ elementem odbioru rzekomych bitcoinów jest konieczność weryfikacji tożsamości ofiary. Jak realizowana? Ano przez specjalną aplikację Quick Support, która pozwala oszustom przejąć kontrolę nad komputerem naiwnej ofiary i okraść jej rachunek bankowy z wszystkich środków!

Rozmawialiśmy z ofiarami tych oszustw. To zarówno ludzie starsi i mniej techniczni, jak i młodsi, obyci z technologią, którzy uwierzyli że faktycznie ktoś im zainfekował urządzenie (bo tyle się mówi o tych wirusach). Wschodni akcent też nie budzi podejrzeń, bo przecież w Polsce coraz więcej sąsiadów zza wschodniej granicy pracuje i mieszka obok nas.

Dlatego znów mamy prośbę. Prześlijcie linka do tego artykułu swoim bliskim, dajcie im namiar na nasz bardzo przystępny filmik objaśniający to oszustwo.

Chcesz być informowany o nowych oszustwach w wyniku których możesz stracić pieniądze? Zapisz się na nasz ostrzegawczy newsletter. Kiedy widzimy nową metodę stosowaną przez internetowych złodziejów, ostrzegamy przed nią jako pierwsi:




    Bez obaw, Twoich danych nikomu nie przekażemy ani odsprzedamy. Raz na jakiś czas, poza ostrzeżeniami o aktywnych atakach możesz od nas dostać inne informacje dotyczące bezpieczeństwa (np. namiar na przydatny artykuł lub zaproszenie na webinar). Newsletter jest bezpłatny i możesz się z niego wypisać w każdej chwili. Jeśli lubisz czytać o RODO, kliknij tutaj.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

155 komentarzy

Dodaj komentarz
  1. ID pracownika?
    Tak slaby konsultant, ze po 5s idzie sie poznac.

    • To prawda, słuchając tego na spokojnie to od razu wszystko wiadomo. Ciężko było by się nabrać. Tylko często łapią osoby, które są w trasie, czymś zajęte albo mają słabszy dzień. I słyszą przerażające informacje, że właśnie kasa schodzi z konta. Racjonalne myślenie się wyłącza.
      Zresztą osoby czytające Niebezpiecznika są nieco bardziej odporne pewnie ale wszystko zależy od socjotechniki – każdego da się podejść.

    • Nie każdego. Działa efekt skali. Wystarczy, że 1 na 100.

    • > To prawda, słuchając tego na spokojnie to od razu wszystko wiadomo.
      > Ciężko było by się nabrać. Tylko często łapią osoby, które są w trasie,
      > czymś zajęte albo mają słabszy dzień.

      O ile samemu bedac podmiotem tego typu dzialan trudniej sie zorientowac (emocje, zaskoczenie) wydaje mi sie, ze prawdziwym problemem sa roznego sortu ynteligenci bardzo spYRtnie idacy na skróty w normalnych (rzeczywistych) sytuacjach. Co mnie osobiscie moglo by pomoc uniknac zostania ofiara takiego oszustwa jest kilka zasad ktorych zawsze sie trzymam w relacjach z bankiem, policja czy innymi instutucjami – a to właśnie próby rozmontowywania prawidlowych reakcji dla wlasnej wygody ze strony cwaniaków z tych wlasnie prawdziwych instutucji jest powodem przez ktory ludzie nie nabieraja prawidlowych nawykow (dzialania marketingowe, “sponsorowanie” oprogramowania, “ułatwianie”, etc. etc.).

      Natomiast banalne podszywanie sie pod inne numery telefonu to absolutna granda, operatorzy i producenci sprzetu maja juz na ten moment w 3 du* mozliwosci zeby temu zapobiec i maja to gdzies… gdzie inni wykorzystuja ten system jako wiarygodny sposob identyfikacji i zatwierdzeń. Chora interakcja.

    • @WkurzonyBialyMis90210
      Jakie to są sposoby?

    • Telefon? SMS? (tzw. komunikacja) i zakladanie, ze osoba zatwierdzajaca tranzakcje po drugiej stronie jest tym kim mowi ze jest “poniewaz cyferki sie zgadzaja”?

  2. Ten oszust ma akcent jakby był zza wschodzniej granicy. Podobni do mnie dzwonią regularnie ze spółki bitcoin ws mojego konta handlowego ;-)

    • Oboje oszustów, z tym, że drugi lepiej się maskuje, ale można się dosłuchać zmiękczania.
      Współczuję wszystkim, którzy się nabrali. Podstawowa zasada to “nie instaluj aplikacji na żądanie rozmówcy” i nie należy jej łamać nigdy, przenigdy.

    • @Kenjiro , nie oboje tylko obaj! Dwie dziewczyny – obie, dwóch facetów- obaj, facet i dziewczyna – oboje !

    • > nie instaluj aplikacji na żądanie rozmówcy

      Moj byly (i to prawie natychmiastowo po zaistnieniu sytuacji) bank (bank, nie oszusci) wymuszal zainstalowanie dodatkowego specyficznego softu… Jak to wygladalo:

      Jest sobie bank, bardzo nowoczesny (wzglednie niedawna sytuacja, malo kto pwenie kojazy bo nie w polsce) zamykanie fizycznych oddzialow, zniechecanie to bankomatow, bo chmura i te sprawy.
      1. Wiec pewnego razu bank robi sobie “upgrade” bankowosci internetowej, interfejs super nowoczesny wsiu-bziu, prawie scifi.
      2. I ten interfejs ni hu* nie dziala – co sie okazuje, trzeba zainstalowac software of firmy ktora robila bankowosc. Trzeba i mus: “bo wzgledy bezpieczenstwa”, bez tego nie masz dostepu do bankowosci (praktycznie rzadnego – w koncu sa “nowoczesnosni”) nie maja twojego płaszcza i co im pan zrobisz…
      3. WkurzonyBialyMis90210 jakos przebolal te pare tygodni z aplikacja zanim przeniósl sie do nowego banku (no szybciej sie nieda, chyba ze ktos wie jak przeniesc numer konta…) ale nie byl by soba gdyby nie sprobowal ogarnac o co biega.
      4. I tutaj jest wisienka na torcie – *nowy* portal wymuszal zainstalowanie aplikacji 3rd party, poniewaz orginalny komponent obecny w systemie byl niedostepny ze wzgledow bezpieczenstwa! Efektywnie zmuszali uzytkownikow do zainstalowania sobie dziury, w ten sposob wciskajac im swoja go* apke, zaslaniajac sie wymogami bezpieczenstwa (co generalnie jest praktykowane w branzy (chociaz zazwyczaj wymusza sie latki a nie wlasny szajs doslownie wymagajac dziur (prosty i tani mechanizm)))

    • @WkurzonyBialyMis90210 LOL. To nie bank, a jakis krzak parabankowy. Ale nic mnie nie zdziwi – ludzie inteligencja nie grzesza i beda trzymac kase nawet w Amber Gold i innych tforach jak mBank czy Polbank. A pozniej placz i zdziwienie “bo przeciez mieli reklamy w TV i strone na FB”. Durni nigdy nie brakuje.

  3. Do mnie dzwonili dwa razy rzekomo z “giełdy kryptowalut”, gdzie podobno zakładałam kiedyś konto (“firma Blockchain, pamięta pani”), i podobno czekają na mnie środki. Oczywiście sprawa śmierdzi z daleka i się rozłączyłam, ale żałuję, że nie pociągnęłam tej rozmowy dalej, choćby po to, żeby zmarnować im czas.

    Zastanawia mnie inna kwestia: zakładając, że taką rozmowę nagrałam i poprosiłam o więcej szczegółów, to czy zgłoszenie próby wyłudzenia na policję by coś dało? Czy policja jest w stanie jakkolwiek dotrzeć do tych oszustów i czy się tym w ogóle zainteresują, skoro poszkodowanego nie ma?

    • O właśnie, ja wczoraj taki telefon odebrałem

    • Nieudana próba oszustwa jest próbą oszustwa, a to jest karalne.

    • Nie, można jedynie zgłosić wymuszenie, ale jeżeli nie doszło do kradzieży, to żadna procedura nie zostanie wszczęta w wyniku takiego zgłoszenia.

    • @Ewelina,
      To troche tak, jakby policja scigajac seryjnego morderce swietnie zacierajacego swoje slady, aktywnie ignorowala (rece na uszy i lalalalalala) niedoszla ofiare ktora: swietnie mu sie przyjrzala, zrobila zdjecie, podwedzila dowod osobisty i wszczepila implant z GPS’em kiedy spal “bo przecież przeżyła wiec czego sie burzy…”.

      @v.????
      Nie wiem czy to prawda (jesli tak to absurd) ale wyznaje taka zasade, ze generalnie staram sie ignorowac anonimowe porady wszelkiego typu – ktore sa zbyt przystajace do lini tego co moglby oswiadczyc “rzecznik najlepszego interesu świata przestępczego”… Tak z czystej zlosliwosci :p

      “Snitches get stitches”? Chyba raczej: pruj się jak poduszki na pidżama party sportsmenek z byłego NRD :) patrz. “FLJaZQ_ScHY” na YT

    • Poczytajcie sobie
      https://www.karh.pl/prawo-karne/usilowanie-oszustwa/

  4. Rozumiem iż aby oszuści okradli swoją ofiarę musieliby również otrzymać od ofiary kody weryfikacyjne potwierdzające “testowe” autoryzacje przychodzące na telefon ofiary ?
    Lub ofiara musiałaby im podać kod weryfikacyjny który dostała na telefon aby zmienić na przykład numer telefonu w systemie dla MFA

    • “Rozumiem iż aby oszuści okradli swoją ofiarę musieliby również otrzymać od ofiary kody weryfikacyjne potwierdzające “testowe” autoryzacje przychodzące na telefon ofiary ?”
      Tak, i po to właśnie używają tych aplikacji do zdalnego dostępu do telefonów (TeamViewer QuickSupport lub AnyDesk) żeby te kody odczytać prosto z telefonu ofiary, dosłownie na jej oczach.
      Dla odwrócenia uwagi mówią, że to nieaktualne kody z zablokowanych transakcji.

    • Do redakcji #niebezpiecznik . Od dłuższego czasu wpajacie nam informacje, że płatności kartą w Internecie są bezpieczne bo jest chargeback. Jednak ten przykład pokazuje, że są inne zagrożenia tej metody płatności, które w mojej ocenie ją dyskwalifikują. Kartę z reguły wymienia się co 3-4 lata. Raz skradzione dane karty mogą zatem służyć przestępcom przez cały ten czas. Czy nie lepszy zatem jest Blik że swoim zmiennym, jednorazowymi kodami ?

    • Co ma piernik do wiatraka? W tym fraudzie możesz nawet płacić czekiem – sposób płatności nie ma znaczenia, bo okradasz się sam. Płacenie karta nadal jest najkorzystniejszą dla konsumenta metodą. Żaden inny sposób płatności nie chroni przed tyloma zagrożeniami.

    • Ano ma to, że dzwoniący się uwiarygadnia jako pracownik banku podając poprawny numer aktywnej karty płatniczej. Przy czeku czy bliku nie mógł by tego zrobić. A ktoś kto odbiera takie połączenie, w stresie sprawdzi swoją kartę i być może uwierzy w słowa “doradcy” na podstawie właśnie poprawnego numeru karty.

  5. gość brzmi jak Ukrainiec. nie tylko przez wymowę i odmienianie końcówek ale też słowa bardzo naleciałe z Ukraińskiego / Rosyjskiego.

    • W zaprezentowanych przypadkach kłaniają się podstawy socjotechniki. Nawet nie tej wyuczonej, co jedynie wynikającej z elementarnej inteligencji. Słysząc ten miękki (wschodni) akcent u typa, który przedstawia się polskim imieniem i nazwiskiem – od razu zapala się czerwona żarówka. Oczywiście – to mogłaby też być wada wymowy (chociaż nigdy się z taką nie spotkałem, przez prawie 50 lat życia), ale też konstrukcja zdań, bełkotliwe tłumaczenia (które konsultanci mają wyuczone w nieskazitelnej formie), jakieś sloganowe wtręty, błędnie wypowiadane słowa angielskie, czy „mail” zamiast „imeil”… To wszystko tak śmierdzi, że przeciętnie inteligentny człowiek powinien od razu zaskoczyć.

  6. Dobrą opcją, która by utrudniła takie zabawy byłoby wysyłanie przez bank wiadomości push na aplikację banku z informacją potwierdzającą że to połączenie z banku ewentualnie zwykłe ‘ęąśćż’ ;)

    • Racja! Tak się dzieje od dobrych kilku miesięcy (roku?). Nie wiem, czy dla opcji SMS też. Ale w apce dostaję imię, nazwisko, adres oddziału z którego dzwoni.
      Jakiś inny bank też tak robi? Dla kolegi pytam.

  7. Całkiem dobra polszczyzna jak na osobę ze wschodu, czyli oni to prawdopodobnie robią z terytorium PL.

    • A na pewno z kimś z PL współpracują. Bo wyjęcie kasy przez Blika (o tym będzie w kolejnym odcinku) robili z któregoś z oddziałów pewnego banku.

    • “A na pewno z kimś z PL współpracują. Bo wyjęcie kasy przez Blika (o tym będzie w kolejnym odcinku) robili”
      To mogą być nieświadome osoby, zwerbowane przez fałszywe ogłoszenia o pracę.
      “z któregoś z oddziałów”
      Nie udało się ustalić z którego?

  8. Ja wczoraj miałem telefon odnośnie tego, że rejestrowałem się gdzieś na bitgiełdzie i dostałem bonus na start. I firma Blockchain (sic!) obracała tymi środkami, bo ja nie używałem konta i zgodnie z prawem należy mi się wynagrodzenie w wysokości 0,19 BTC. Żeby wypłacić środki poprosiła mnie o wyszukanie anydesk w google – po tym wyśmiałem ją i się rozłączyłem, ale dzwoniła jeszcze dwa razy. Podobnie jak tutaj słychać było wschodni akcent.

  9. A co na to Play Protect? Nie wykryje aplikacji niepożądanej na telefonie? Jaka jest skuteczność tego oprogramowania jeżeli rozmawiamy o androidzie?

    • To jest jak najbardziej pożądana aplikacja, służąca do zdalnej kontroli nad urządzeniem. Tu po prostu jest wykorzystywana w trochę inny sposób niż “zdalna pomoc” ;-)

  10. Masakra. Sam bym się na to złapał. Skoro potrafią podszyć się pod infolinię banku to mogą wszystko. Ale jaką mendą trzeba być żeby coś takiego robić

    • Złodziejstwo istnieje od początku ludzkości, tylko metody sie zmieniaja.

  11. To samo było opisywane w “Sztuce Podstępu”…

  12. “Pana konto jest zakażone”, jakie to pocieszne ;)

  13. I ten ukraiński akcent naprawdę nie wzbudza żadnych podejrzeń? Podczas rozmowy nikt nie sprawdził w aplikacji bankowej czy rzeczywiście poszedł przelew?

    • Poruszasz ciekawy wątek. Załóżmy, że nawet ktoś zaczyna wątpić. Co się wtedy dzieje? Oto relacje od innych czytelników:
      – sprawdziłem w aplikacji, czy ten przelew faktycznie wyszedł. Nie było go widać. Powiedziałem to “konsultantowi” a ten, że oczywiście, że nie widać, bo to fałszywy przelew, więc oni go usunęli i teraz tylko dział bezpieczeństwa go widzi, a jego rolą jest aby sprawdzić, czy moje urządzenie jest wolne od wirusów.
      – ukraiński akcent nie budził moich podejrzeń, bo wielu imigrantów z Ukrainy pracuje w Polsce. Pracują zazwyczaj na niskopłatnych posadach, więc to że są w callcenter jest dla mnie normalne.

    • Ukraiński akcent u Dariusza Świętochowskiego – sorry, ale alarm wyje natychmiast :)

    • W moim przypadku sprawdziłem – i przelew na taką kwotę rzeczywiście przeszedł! Trafili z kwotą (350 zł). Co prawda przelew był kilka dnie przed całą akcją i na revoluta, ale od razu włączyło mi myślenie “czyżby złodziej podmienił opis/numer konta?”. Dopiero w dalszej części rozmowy poukładałem sobie to w głowie i powiedziałem “konsultantowi” że nie widzę takiego przelewu. On na to, że lista przelewów się nie zsynchronizowała z aplikacją mobilną.

  14. Dzwonią co najmniej od dwóch tygodni – głównie w sprawie kryptowalut. Nie tylko z Polski, ale też innych krajów UE – ja miałem telefony z UK, Niemiec a nawet Estonii.
    Szybko ich zbywam, po czym numer daje na czarną listę, ale niektórzy są uparci – w piątek z tego samego numeru dzwonili do mnie 23 razy, w sobotę 27 razy. Przy czym w piątek co 2 minut podejmowali 3 próby, w sobotę co pół godziny 6 prób. Można tylko liczyć że przy takiej olbrzymiej skali zjawiska zainteresują się tym media i organy ścigania.

    • Scamy z bankami widzimy w dużym natężeniu od października 2020. Kryptowalutowe telefony były duuuużo wcześniej. Ale faktycznie, ostatnio się nasiliło. Może zatrudnili nowych Świętochowskich?

  15. Szkoda że policja jest wykorzystana do pilnowania ptactwa i wystawiania mandatów. Powinna zająć się czymś ambitniejszym.

  16. Przydałby się taki nasz polski Jim Browning. Albo może by któraś z wiodących telewizji zrobiła materiał podobny to tego BBC https://youtu.be/7rmvhwwiQAY
    A może w radiu zamiast dzwonienia po słuchaczach i wkręcania w jakieś głupoty zrobić coś takiego, co zrobił ScammerRevolts https://youtu.be/DLzgQ35s9Os
    Panowie z Niebezpiecznika, podejmiecie się takiego wyzwania?

    • Nie jesteśmy radiem ani telewizją, ale zawsze chętnie pomagamy każdej stacji. Więc jeśli czyta to jakiś wydawca/dziennikarz — zapraszamy na media@niebezpiecznik.pl. Pomożemy jak możemy.

  17. Do mnie też zadzwonili z pytaniem czy logowałem się do konta z Hamburga.
    Niestety ich skrypt nie uwzględnił podania twierdzącej odpowiedzi i rozmowa się zakończyła.

  18. Czy aplikacja na telefonie może wykryć, że pracuje na zdalnym pulpicie i wyświetlać ostrzeżenie o niedozwolonej formie użycia? Aplikacje bankowe może powinny mieć takie zabezpieczenie, jeśli jest możliwe.

    • Nie idźmy w tą stronę. To aplikacja banku ma myśleć za użytkownika i monitorować co on robi na telefonie? Skoro nie wiesz co to aplikacja typu anydesk, teamviewer itp to ich nie instalujesz. Skoro ktoś testuje różne apki na telefonie to lepiej jak kupi sobie osobny telefon do bankowości i tylko do tego.
      Jakiś oszust mówi że to wymóg regulaminowy to poproszę punkt regulaminu. Obniżamy poziom uległości i jednocześnie podwyższany poziom asertywności.

  19. U mnie zapytał o dowód osobisty. Powiedziałem, że 5 lat temu zgłosiłem jako kradziony i nie mam. Rozłączył się – temat z głowy :D :D :D

  20. Naprawdę nie wiem kim trzeba być oraz co i w jaki sposób robić w internecie żeby otrzymywać tego typu połączenia, emaile…

    • Np. mieć konto w serwisie internetowym. Nie masz w żadnym?

    • Oczywiście, że mam. Nawet setki. Ale nigdy nikt nie dzwonił do mnie próbując wyłudzić informacje. Spamu praktycznie nie otrzymuję. Podobnie moi znajomi. Jedyne rozwiązanie jakie wpadło mi do głowy to to, że ludzie sami podają swoje e-maile, adresy, telefony i inne prywatne dane w miejscach dostępnych dla każdego (tu indeksowane przez wyszukiwarki i niewymagające autoryzacji). Nie wiem, może jestem jakiś nienormalny, że nie szastam danymi na prawo i lewo.

    • Też się kiedyś nad tym zastanawiałem. Okazuje się, że Wystarczy być zwykłym człowiekiem i robić zakupy przez Internet. Jak chcesz coś zamówić nie podając swoich danych? Nie wszystko mogę albo chcę kupić z wiodącej platformy aukcyjnej, a na wycieki z innych miejsc nic nie poradzisz. Niby ogarniam “internety”, ale gdy do mnie zadzwoniła osoba z ukraińskim akcentem i podała się za pracownika banku to tak sprytnie mnie zmanipulowała, że wszystko w jej historyjce mi pasowało. Na szczęście dzięki takim artykułom i akcjom informacyjnym, które wcześniej przeczytałem, w momencie gdy miałem zainstalować aplikację zapaliła się lampka ostrzegawcza.

    • Dlatego ja mam osobną domenę i każdemu sklepowi i innym duperelom podaję inny email. Jeśli wycieknie to 1. wiem kogo podkablować do UODO (jak mi sę chce) 2. mogę ten adres wysłać indywidualnie do /dev/null

      Email typu imie_nazwisko podaję tylko w celach reprezentacyjnych poważnym podmiotom, jeśli korespondencja ma wyglądać poważnie (nie zapobiega przed wyciekami, ale silnie ogranicza).

    • “Dlatego ja mam osobną domenę i każdemu sklepowi i innym duperelom podaję inny email. Jeśli wycieknie to 1. wiem kogo podkablować do UODO (jak mi sę chce) 2. mogę ten adres wysłać indywidualnie do /dev/null”

      o kurde,
      przecież to jest genialne!

    • o kurde,
      przecież to jest genialne!

      Genialność zawsze jest ukryta w prostocie rozwiązania problemu, a nie opowiadania o tym, że taki problem jest. Bo to, że jest, to każdy zainteresowany widzi! Ale jak ominąć taką “dziurę na drodze”, to niestety już opowiadający nie chcą, albo nie umieją wskazać. A tu proszę! Ktoś będąc czytelnikiem, udzielił prostej porady. Zapewne zepsuł świetny interes wielu “doradcom” od bezpieczeństwa internetowego… :-)

  21. Czym najlepiej nagrywać rozmowy?
    Tak żeby nie było pipczenia co minutę, dobra jakość itp.

    • Na telefonach Xiaomi (przynajmniej Mi 9T) nic nie pipczy.

  22. Hmm… fajnie autor nagrania poprowadził rozmowę :) – bardzo długo. Ja bym chyba spękał i się rozłączył. Trochę ze śmiechu.

  23. Czy pieniądze w ten sposób wyłudzone jest szansa odzyskać je np. od banku??

  24. Prościej nie mieć smartfonu tylko feature phone. Ja tak robię i jakoś żyję.

    • +1

    • Uff!
      A myślałem, że tylko ja jestem dziwny. :D

  25. Kurcze, a do mnie nie dzwonia. Taka interesujaca konwersacja przechodzi bokiem :/

    • Być może wyceniasz swoje dane na nieco więcej niż 5zł/msc rabatu na usługi XYZ w zamian za zgody marketingowe.

  26. Numer nie musi być w kontaktach by świecić etykietą tekstową. Android potrafi wyszukać numer np. Wizytówkach Google (czy jak to tam się zwie) i prezentować taką nazwę.

  27. A to jakiś problem mieć naszykowaną maszynkę z TeamViewerem nafaszerowaną softem monitorującym połączenia i tylko czekać? Jakby się do tego dobrze przygotować to można by sporo info zebrać o tych złodziejach i podać służbom jak na tacy (bo przecież oni sami w życiu tego nie ogarną)…

  28. Od wczoraj dzwonią do mnie kilka razy dziennie z numerów telefonów STACJONARNYCH, co ciekawe telefon oznacza je jako “potencjalne oszustwo”. Z ciekawości jeden odebrałem, a tam kobieta z PKO BP (gdzie mam konto) która podaje moje imię i nazwisko i zaczyna gadkę o wyłudzeniu czy oszustwie.

  29. […] – serwis zajmujący się bezpieczeństwem w sieci – w swoim artykule opisuje zaś metodę działania […]

  30. “Ale dla własnego bezpieczeństwa, już teraz zrób jeszcze coś. Przelej część swoich oszczędności na inny rachunek w innym banku. Gdybyś kiedyś mimo wszystko padł ofiarą oszusta (albo awarii banku), nie stracisz dostępu do całości swoich środków.”
    Dobry pomysł z tym, że bezpieczniej jest gdy:
    Pierwszy rachunek jest z dostępem przez telefon oraz internet i trzymamy na nim taką ilość środków, których utrata nie będzie bardzo bolesna. Przy ocenie ryzyka tego rachunku należy wziąć pod uwagę możliwość uzyskania kredytu w kilka minut.
    Do drugiego rachunku nie mamy dostępu przez telefon oraz internet.
    W ten sposób mamy wygodę (pierwszy rachunek) oraz bezpieczeństwo (drugi rachunek).

  31. Dzięki za nagranie, wiele osób ustrzeże się dzięki temu, ja kilku osobom pokażę na pewno.

    • Moim zdaniem wiele instytucji finansowych ale nie tylko same uprawia patologie. Wielokrotnie odbierałem telefony i konsultant prosi mnie o pesel, datę urodzenia żeby się zautentykowac. Najczęściej działy windykacji, hiper promocja itd. ;) Większość ludzi pewnie powie, ale … Dzwonisz do mnie to ty się zautentykuj że jest tym kim mówisz.
      Dla większości obecnych tutaj może się to wydawać logiczne ale to jest mały procent posiadaczy kont bankowych i klepią dane komuś po drugiej stronie kabla. Może się mylę i jest jednak paranoikiem.

  32. Dlaczego operatorzy pozwalaja na takie połaczenia?

  33. Warto wspomnieć jak to wygląda w Stanach. Tutaj na porządku dziennym jest gdy pracownik banku dzwoni do nas po potwierdzenie czegoś i wymaga żebyś się mu uwierzytelnil czterema ostatnimi cyframi SSN (najbardziej tajny numer osobisty jaki można mieć w USA, coś jak PESEL). Nie podasz? Za trzy dni się dowiesz że czek za czynsz nie przeszedł.

    Chcesz zrobić refinansowanie kredytu na dom? Pracownik banku kredytowego dzwoni po kilkunastu tygodniach od aplikacji (jak już całkiem zapomniałeś że o coś aplikowałes) i każe zainstalować jakąś chińską aplikację do wideorozmów (żeby zdalnie obejrzeć dom) która prosi o uprawnienia do lokalizacji i dostęp do kontaktów. Nie zainstalujesz? Zostań ze swoim starym bankiem i płać $500 miesięcznie więcej raty na dom.

    Na szczęście przelewy tutaj idą po kilka dni, więc jak pieniądze zaczną znikać to jest czas na reakcję.

    • No w USA tzw robocalls czy innego scamu jest jeszcze więcej niż w Polsce. A usługi bankowe zatrzymały się gdzieś w latach 70 XX wieku.

    • “najbardziej tajny numer osobisty jaki można mieć w USA, coś jak PESEL”

      PESEL nie jest najbardziej tajnym numerem osobistym. Mozna go sprawdzic w wielu miejscach (ksiegi wieczyste, KRS) i ma do niego dostep bardzo wiele osob. Ten numer mial sluzyc tylko w celech ewidencji ludnosci, a niektore instytucje zaczela go traktowac jako informacje autoryzujaca lub tajne haslo. I to jest w Polsce chore.

    • @JanuszT
      PESEL to informacja wystarczająca do tego by odnaleźć i windykować osobę. I w wielu przypadkach tyle wystarcza udzielajacemu kredytów/pożyczek albo sprzedającemu jakieś usługi (zwłaszcza via kurier). To trochę tak jak logowanie samym loginem bez hasła. Niestety, nie ma zgody jak owo hasło powinno być zaimplementowane. Jest np. e- dowód, ale dotąd uwierzytelnianiam się nim tylko na rządowych stronach, PIT, spis itp.

    • @divak2
      Udzielenie kredytu przynosi kozysci (finansowe) udzielajacemu i to nawet kiedy nie jest to oszustwo dogadane z podstawionym kredytobiorcą. Z tego powodu podmiot udzielajacy kredytu mialby motywacje zeby udzielic go nawet na piękne oczy, jak dlugo istnieje osoba ktora ten kredyt splaci – niezaleznie od tego czy jest to pozyczkobiorca czy ofiara oszustwa.

      W zwiazku z tym, osoby/instytucje udzielajace pozyczek nie maja podstaw ani prawa zeby obnizac wymagania odnosnie identyfikacji pozyczkobiorcy, a tym wlasnie jest zadowolenie sie peselem… W takich sytuacjach logicznie albo biora ryzyko na siebie, albo sa wspolnikiem przestepcy.

      Rownie dobrze ja moglbym pozyczyc komus kase na jakis ulamek procenta ponizej lichwy, na 5 lat, a potem domagac sie kasy od (real) ciebie, bo powiedzial ze jest divak2 a ja mu uwierzylem bo mial bardzo szczery usmiech. W koncu czemu mialbym nie wierzyc jesli i tak odzyskam swoja kase (z procentem!) od ciebie? Moze sporo na tym zyskalem ale mozesz mi naskoczyc bo “padłem ofiara *podstepnego* oszustwa”…

    • @Wkurzony
      Właśnie o tym piszę. Nikomu nie zależy na ustalaniu czy osoba biorąca kredyt/kupująca usługę/podpisująca umowę przestawia swój PESEL, czy należący kogoś innego.

      To taki w zasadzie hint dla każdego kolejnego rzadu.

  34. Słaby ten artykuł, od razu zaproponujcie zlodziejowi kawkę i oddajcie mu oszczędności życia, kto normalny udostępnia pulpit przez teamwiuwer? No ludzie?

    • A kto normalny (czyli: nie-informatyk) wie co to teamwiuwer i że nie można?

    • Hm… A odróżniasz „słaby artykuł” od „słabego pomysłu na przekręt” – bo chyba to miałeś na myśli? Skoro taki scam występuje na masową skalę od kilku miesięcy i są ludzi, którzy w ten sposób stracili kilkaset tysięcy to zaryzykowałam stwierdzenie, że warto na ten temat skrobnąć tekst. Nawet jeżeli miałoby się okazać, że masz rację i ofiary są nienormalne.

  35. Ostatnio miałem telefon z banku (tego prawdziwego – chyba) i na moje pytanie o to jak ja mogę ich zweryfikować abym wiedział że rozmawiam z bankiem a nie z oszustami to usłyszałem, że nie ma możliwości aby mi cokolwiek powiedzieli do czasu aż się nie uwiarygodnię że to ja

  36. Tym bardziej, że na infoliniach banków coraz częściej pracują Ukraińcy np. Alior Bank

  37. Czemu przestrzegacie przed instalacją aplikacji? Przecież to aplikacja która ma swoje zastosowania. To tak jakby przestrzegać kupowania łomu w castoramie, bo złodzieje z tego korzystają… Przecież aplikacja nie działa w ten sposób, ze po zainstalowaniu TeamViewera od razu mam zainfekowany telefon.

    Oprócz instalacji musi odbyć się dodatkowo przekazanie kodu autoryzującego.

    • Takie zdanie jest w filmie, bo jest on skierowany jest do osób, które tej aplikacji nie potrzebują, a dodatkowo sama wypowiedź pada w kontekście ataku, a nie ogólnie aplikacji. Jeśli ktoś tak jak Ty, wie co to jest za aplikacja, to zapewne zrozumie też potrzebne tutaj uproszczenie. Gdybyśmy chcieli być superpoprawni to, wbrew temu co piszesz, musielibyśmy jeszcze podać wszystkie inne scenariusze/warianty po instalacji, czyli rozwinąć, że potrzeba nie tylko a) kodu, o którym wspominasz, ale taże, w zależności od różnych modeli telefonów i systemów operacyjnych b) odpowiednich uprawnień c) doinstalowania dodatku. To techniczne mambodżambo, nieistotne w kontekście ostrzeżenia przed tym atakiem, zwłaszcza, że jak ktoś da się przekonać, żeby zainstalować którąś z tych aplikacji, to da się także przekonać żeby podać a) i ustawić b) i c)

    • A redakcja nie wpadła na pomysł, że po tak postawionej sprawie np koleżanka, której chciał bym pomóc zdalnie z telefonem po tym jak poproszę ją o zainstalowanie teamviewera potraktuje mnie jak przestępcę ? “Bo ona sluchala na takim portalu, ze teamviewera to uzywaja przestepcy”

    • Potrenuj socjotechnikę, jak koleżanka nie ma do Ciebie zaufania.

    • Idac tym tropem mozna obronic *kazdy* malware – bo trojany to praktycznie remote desktop plus health check na zakarzonej populacji, a programy szyfrujace czy niszczace dane moga byc wykorzystywane do ochrony prywatnych informacji…
      Podobnie obdarowywanie osadzonych wojskowym i narzedziami do ciecia metali moze byc uznane za “zaoferowanie zaufania” czy probe rozwijania ich zainteresowan w kierunku rusznikarstwa (uczciwej kariery).

    • @Pawel,
      Dwoisz sie i troisz (bo trzeba jednak pewnej ginnastyki zeby uracjonalizowac totalna bzdure zamieniajaco warunki konieczne z wystarczajacymi) z tym absurdem a wnioski sa tylko 2:
      A. Jestes osoba ktora z powodu ograniczen intelektualnych moze nie powinna sie wypowiadac w takich kwestiach?
      B. Jestes przestepca, wspolnikiem lub osoba ktorej z innych wzgledow zalezy na ich sukcesie…

      En garde!

      Ps. Durnota wyszukiwarek bedzie koncem ludzkosci, tylko dlatego ze istnieje cos popularnego i o podobnej nazwie, cale koncepty i dziedziny odchodza w nicosc…

  38. Już w pierwszych sekundach rozmowy można delikatnie wychwycić wschodni akcent oszusta.
    Nieźli są.

  39. Serio, sposób rozmowy świadczy że od razu mamy do czynienia z oszustem! Na to może się nabrać ktoś kto nigdy z infolinią nie rozmawiał. Potoczne frazy w mowie, ukraiński akcent, nadmierny słowotok, aplikacja akurat na tą sytuację, wycofywanie się z pytań na które powinien znać odpowiedź, brak argumentów merytorycznych dla przedstawianych żądań. Słabe w pytę! Zakażone konto….hehhehehe, umysł ma zakażony ten konsultant.

  40. To teraz wiem skąd stać przybyszów ze wschodu na hybrydowe auta. W dzień telefony z “banku” w nocy dla przykrywki pracuje na bolt/uber itp. co drugi ma priusa czy inną hybrydę.

    • To kiedy oni śpią?

  41. To jest akcent Romów z Niemiec. Tak mówi mój wnuczek urodzony w Niemczech.

  42. Zastanawiam się dlaczego nikt nie jest zbulwersowany faktem że całe to oszustwo to (skuteczny) atak na infrastrukturę operatora telekomunikacyjnego. Przecież do ofiar dzwoniono z poprawnego, bankowego numeru telefonu. Czy naprawdę nie ma technicznej mozliwości blokowania takich połaczeń (z voip) na poziomie operatora?

    • To nie jest atak na infrastrukturę tylko wykorzystanie tej infrastruktury. Nota bene jest to celowo w ten sposób zrobione, żeby umożliwić “konsultantom z infolinii” agresywny marketing.
      Największym oszustwem jest tutaj kłamstwo ze strony banków, że “klientowi ukradli pieniądze z konta”. Wbrew kłamstwom banków pieniądze z konta można ukraść tylko bankowi i to bank ponosi odpowiedzialność za bezpieczeństwo powierzonych mu pieniędzy (kto nie wierzy niech sobie sprawdzi Prawo bankowe).
      Możliwość blokowania takich połączeń jak najbardziej jest, co więcej od jakiegoś już czasu w całej UE jest to wręcz prawny obowiązek operatorów, ale dopóki banki i telekomy mogą zarabiać na tym procederze pieniądze a konsekwencje oszustw mogą bezkarnie (i bezprawnie!) przerzucać na klientów, dopóty będą to robić.

  43. Trochę clickbajtowy tytuł. Myślałem, że będzie wywiad z przedstawiecielem obecnego lub jednego z poprzednich rządów a tu same płotki.

    • Hm… A odróżniasz „słaby artykuł” od „słabego pomysłu na przekręt” – bo chyba to miałeś na myśli? Skoro taki scam występuje na masową skalę od kilku miesięcy i są ludzi, którzy w ten sposób stracili kilkaset tysięcy to zaryzykowałam stwierdzenie, że warto na ten temat skrobnąć tekst. Nawet jeżeli miałoby się okazać, że masz rację i ofiary są nienormalne.

  44. Cześć, wiecie czy jest jakiś sposób aby nagrywać rozmowy telefoniczne na iOS? W razie podobnej sytuacji mogłoby się przydać.

  45. …czyli mając dwa telefony tj. jeden podstawowy na który przychodzą SMS-y autoryzujące z banku a drugi z smartfonowy z aplikacjami bankowymi jeszcze jestem bezpieczny.

  46. Z takim akcentem… :-)

  47. “Pracownik techniczny” miał wykonać “skanowanie antywirusowe”, tymczasem wykonywał przelewy, zaciągał kredyty itp. To wszystko się działo na oczach ofiary. Jak to możliwe że ludzie nie widzą w tym nic podejrzanego i pozwalają na to?

  48. Miałem podobny telefon. Jak usłyszeli że nagrywam, to sami się rozłączyli.

  49. Niektóre banki same prowokują takie sytuacje. Kilka tygodni temu otrzymałem telefon z mBanku – miła Pani konsultant dzwoniąca z ofertą, o której nie może mi nic powiedzieć, póki się nie uwierzytelnię. Uwierzytelnienie miało polegać, jeśli mnie pamięć nie myli, na podaniu miejsca i daty urodzenia.

    Na moją wątpliwość, że przecież w sumie nie wiem z kim rozmawiam i nie chcę podawać takich danych, z pewnym zdziwieniem stwierdziła, że przecież ona jest pracownicą banku, nazywa się X Y i jej tożsamość mogę zweryfikować dzwoniąc na infolinię banku.

    Ciekawostką jest też to, że mBank ma możliwość weryfikacji klienta bez podawania danych. Podczas jednej z rozmów z konsultantem autoryzacja odbywała się poprzez powiadomienie w aplikacji mBanku – rozmawiam z konsultantem, on wysyła powiadomienie na mój telefon w którym znajduje się informacja o potwierdzeniu danych dla celów rozmowy i tyle – sytuacja komfortowa, ja nic nie muszę podawać przez telefon, a przy tym mam pewność, że to faktycznie pracownik banku, bo inaczej nie otrzymałbym powiadomienia.

    Oczywiście taka weryfikacja doskonała nie jest, bo wymaga posiadania działającej aplikacji, odpada w przypadku utraty czy awarii telefonu. Niemniej wydaje się być całkiem dobrą opcją, ciekaw jestem czemu nie stosuje się jej częściej.

    • Miałem kiedyś (jakieś 6 lat temu) podobną rozmowę z mBankiem (potencjalnie jakąś zewnętrzną firemką, która trudniła się sprzedażą ich produktów/usług, bo kiedyś takich agencji trochę było).

      I owszem, zadzwoniłem na infolinię, która nie potwierdziła tożsamości pracownika.

      Wysłałem opis zdarzenia (z numerem telefonu, datami itp.) na kontakt@mbank.pl i w odpowiedzi otrzymałem informację, że mogę złożyć reklamację. W każdym razie nic sugerującego, że jakkolwiek przejęli się (a w szczególności jakiś departament bezpieczeństwa) zgłoszonym incydentem.

  50. Jak na Dariusza Świętochowskiego ma wybitnie “niepolski” akcent i wymowę, a jak na specjalistę to spraw bezpieczeństwa to g*no się zna (sam zresztą się do tego przyznaje w trakcie rozmowy o wifi).

  51. Witam

    Jeżeli osoba da sie nabrać i zainstaluje teamviewera lub anydesk i poda go przestępcą a posiada autoryzacje przez aplikację bankowa nie poprzez sms, to oni mogą zobaczyć kod do autoryzacji? np poprzez instalacje zdalną keymappera do odczytania naciskania klawiatury ekranu?

    • teamviewer, anydesk

      Roznica pomiedzy tymi programami a trojanami jest mniejwiecej taka jak z pistoletem kupionym od legalnego sprzedawcy przez osobe posiadajaca pozwolenie, a gnatem kupionym od kolesia z pod mostu. Czytaj: glownie estetyczna. A jesli zainstalujesz je na urzadzeniu z ktorego kozystaz do autoryzacji twoich tranzakcji bankowych to jest spora szansa ze przestepcy tez beda wstanie wykorzystac je do autoryzacji “twoich” tranzakcji bankowych…

      Takich rzeczy sie po prustu nie instaluje (poza specyficznymi sytuacjami, ale te sa generalnie inicjowane przez uzytkownika). Ci goscie co siedzieli w koniu trojanskim, mogli przeciez sie podusic, zatrzasnac a gdyby zostali odkryci bez problemu by ich wyrznieto ~ co nie znaczy ze stwazanie niepotrzebnego ryzyka nie jest glupotą…

  52. Zapytałem w kilku bankach czy jest możliwość założenia konta bez podawania numeru telefonu. Pani, czasem pan odpowiedzieli że nie, bo “system nie przyjmie” itp. Po pytaniu o podstawę prawną był wskazywany regulamin, a nie ustawa. Jednocześnie pracownicy zapewniali, że można wycofać wszelkie zgody marketingowe. W takim razie po co państwu numer telefonu klienta? “No bo jakby się coś działo z pana kontem”. A co miało by się niby dziać z moim kontem? “No nie wiem.” No to po co państwu ten numer? Jest wymagany i koniec. Oczywiście procedur weryfikacji dzwoniącego np. hasłem nie ma. Skoro tak wygląda podejście banków do kwestii bezpieczeństwa rozmów telefonicznych, to bank powinien być winien kiedy klient straci pieniądze w ten sposób.

  53. Do mnie też dzwonił niedawno pan z akcentem, a pieniądze trzymam w innym banku. No ale od razu powiedział że nazywa się Artiom Jakośtamjew or compatible, a chciał tylko żeby przeczytać i zareagować na informację którą bank przesłał w swoim systemie.

    Natomast Świetochowski z “bezpiecieństwa” bezcenny :)

  54. Taka refleksja jeszcze – przecież jak mam kartę płatniczą/kredytową przy tyłku, nikomu jej nie dawałem, a pojawią się jakieś nieautoryzowane transakcje albo przelewy, to złoży się reklamację albo chargeback i z basi. Po co się przejmować i robić coś natychmiast. “Nie mogę teraz rozmawiać, proszę zadzwonić później”. Co to w ogóle ma znaczyć, że jakiś anonimowy łoś dzwoni i każe coś zrobić ze swoim telefonem, w szczególności coś na nim instalować. To mój telefon i spixxxxlać, prawda?

  55. Ja już kilka razy miałem od nich telefon i co ciekawe na 3 numery z których dwóch numerów mój bank nie posiada CA. Jeden nr ciężko mi określić gdzie podawałem ale inny tylko i wyłącznie konto na OLX i pseudonim. Ba! bardzo dziwne, numer mają nazwisko i imię, konto w jakim banku – do jednego mi to zupełnie nie pasuje. Tylko mój operato Virgin Mobile i Premium Mobile. Czyżby stąd wykradali dane ?

  56. Metoda autentykacji osoby dzwoniącej podającej się za pracownika banku jest bardzo prosta. Jak ktoś dzwoni informując, że z banku, mówię, że ze względu na próby oszustw nie udzielam żadnych informacji i proszę o podanie numeru pod który mogę oddzwonić, aby przeprowadzić rozmowę. Proste i skuteczne.

    • I wtedy on podaje Ci swój numer, na który oddzwaniasz? Nie, powinniśmy oddzwaniać na oficjalny numer banku.

    • Jak pisałem. Bank wykonuje przelew w trakcie rozmowy, my wypytujemy banku o nasze informacje słowem klucz, trzecia cyfra PESEL, 4 pozycja hasła, ostatni przelew otrzymany i wysłany na jaką kwotę. Bank może zabrać wysłane pieniądze na poczet wiarygodności. Oszust już nie może bo nie ma takiego dostępu.

  57. Bank powinien na stronie banku pokazywać formularz, że chce się skontaktować telefonicznie i na tej stronie ustalasz sobie dokładną godzinę.
    Ewentualnie zapraszaliby do takiego formularza przy użyciu smsa, emaila.

    • Mam konto w znanym PL banku od 6 lat. Od 5 lat z nikim z tego banku nie rozmawiałem.
      Nikt do mnie nie dzwoni. Jedyny kontakt to aplikacja albo web. Tak lubię.

  58. By wyłapać szkodnika, trzeba pokazać mu jak się nie da tego zrobić.

    otrzymujemy SMS od banku jakie informacje są potrzebne do przeprowadzenia dalszej rozmowy. My pytając bank o swoje informacje skrócone bank odpowiada słowem klucz.
    Np: 9 pozycja hasła w banku, druga i przedostatnia litera imienia panieńskiego, PESEL czwarta cyfra piąta i siódma ostatni wykonany przelew i na jaką kwotę, ostatni przelew na konto zarobek. Informacje do których szczur nie ma sera. Cięższa weryfikacja uniemożliwia kontakt bez takich danych. Pytamy banku kiedy zakładaliśmy konto, bank podaje tylko jedną cyfrę dnia prawidłową bo posiadać wie kiedy zakładał a przynajmniej może ją sobie zapisać. To my pytamy banku. Po przeprowadzonej rozmowie, bank wysyła przelew w dowolnej wysokości rozmawiając z rozmówcą. Wysłane pieniądze może natychmiastowo zabrać bo przecież to bank i może to zrobić. Przestępca może wysłać przelew np w wyskošci 100 000 zł ale go już nie zabierze. W taki sposób bank udowadnia swoją tożsamość względem rozmówcy. Trzeba podejść do tego inaczej. Inne możliwości dla ludzi z brakiem dostępu do internetu którzy posiadają tylko telefon i do ludzi z dostępem do internetu. Co ja myślę o tym?, Jak juž płacimy za konto, to wymagajmy. Na pewno jest sposób by to zakończyć.

    • Żartujesz sobie? Ani ta procedura nie jest bezpieczna ani użyteczna.

  59. Kradną w białych rękawiczkach.

  60. Jak zwykle dobra robota!
    Internetowego bezpieczeństwa powinno się uczyć już w szkole podstawowej. Tak akcja uświadamiania “nietechnicznych” to super sprawa. Dla nas przekręt jest oczywisty, ale dla wielu ludzi nie. Ja już profilaktycznie poinformowałem swoją rodzinę o możliwych telefonach z banków.

  61. Aliexpress i wszystko jasne. Aliexpress = jeden wielki SCAM. I tyle.

  62. Kiedy dacie film z akcją z Dawidem?

  63. Dzisiaj dzwonił do mnie numer 22 348 44 44.
    Bardzo podobna historia ale tym razem podają się za pracownika BIK i informują, że ktoś chce zaciągnąć kredyt w mBank, na moje dane. Słychać po głosie, że to jakiś Ukrainiec a upewniłem się po chwili jak koleś wypalił stwierdzeniem “fiksuje”.

  64. Słychać, że obaj panowie mają obcy akcent – imigranci ekonomiczni jak się patrzy.

  65. Może warto byłoby w takim razie zakładać automatycznie imigrantom Pegazusa? Widać, że proceder przestępczy od osób imigrujących do Polski się nasila. Kolejnym krokiem będą grupy przestępcze – niech wreszcie służby wezmą się za te dziadostwo.

  66. […] niebezpiecznik.pl, youtube.com […]

  67. Dziś postanowiłem obejrzeć film Dawida (Uwaga Naukowy Bełkot) nagrany z udziałem Piotra. Cóż za przypadek, że oszuści zadzwonili właśnie w trakcie seansu. Miałem trochę wolnego czasu, wiec grałem na zwłokę. Ubaw przedni. Zwłaszcza jak odkryłem karty i powiedziałem, że wiem że to oszustwo. Groźbom końca nie było… Róbcie takie materiały. Ku przestrodze, bo nawet najlepszy może paść ofiarą.

  68. Trzeba być niedorozwiniętym umysłowo aby się na takie coś złapać

  69. […] to reakcja Krzyśka. Pod dowolny numer telefonu da się podszyć. Pokazywaliśmy to niedawno, ostrzegając przed ostatnią falą wyłudzeń, w których złodzieje podszywali się pod […]

  70. Do mnie przed chwilą dzwonil telefon z Bank Millennium S.A. (22 598 4040), najpierw automat czy potwierdzam przelew, jak wcisnalem ze nie rozlaczyl sie i odrazu ponownie zadzwonil konsultant z biura bezpieczenstwa banku (801 331 331) z akcentem ze wschodu, no najlepsze to jest to ze nie mam i nie miałęm tam konta, oczywiście znał moje imie i nazwisko i nic więcej.

  71. Kiedy słucham wszystkiego “na chłodno”, nie mogę uwierzyć w to, że sama dałam się wkręcić. Ja, osoba, która zna zasady bezpieczeństwa w sieci i przestrzega innych, o ironio, czytała Caldiniego i ma świadomość metod wpływu na zachowanie drugiego czlowieka. Chyba nigdy nie brałam pod uwagę tego, że sama mogę stanąć w obliczu zagrożenia, że to może przydarzyć się mi. Nie przygotowałam się na to psychicznie. Stres, emocje wyłączają racjonalne myślenie. Zwłaszcza, że kilka tygodni wcześniej zaniepokoił mnie pewien incydent, który dał mi prawo przypuszczać, że rzeczywiście ktoś mógł uzyskać dostęp do mojego konta. Dotarłam do etapu, w którym dałam dostęp oszustowi do mojego smartfona, zalogowałam się do aplikacji, przez co mógł przechwycić mój pin. Kiedy oszust chciał, bym zalogowała się do strony banku poprzez przeglądarkę, myślenie wróciło. Rozlaczyłam się, usunęłam aplikacje, zadzwoniłam do banku, by zablokować konto, przywróciłam telefon do ustawień fabrycznych. Nic nie zniknęło. Jak wspomniałam wcześniej znam zagrożenia, które czają się w sieci. Mimo że zmieniłam pin, hasła, boję się, że mój telefon mógł faktycznie zostać zainfekowany przez “szanownego pana konsultanta”. Czytałam, że głównym celem przekrętu jest autoryzowanie “testowych” transakcji przez samą ofiarę, jednak czy słyszał ktoś o tym, żeby przesyłali przez aplikację wirusy szpiegujące? Jakie konsekwencje mogłam/mogę ponieść na etapie scenariusza, na którym przerwalam sztuczkę oszusta? Bardzo proszę o radę.

  72. […] temu ostrzegaliśmy Was przed atakami “na pracownika infolinii banku”. Złodzieje dzwonili do Polaków z poprawnych numerów bankowych infolinii, cytowali im ich dane […]

  73. Moja żona właśnie padła ofiarą takiego scamu. Czujnie nie chciała podać żadnych danych wrażliwych, uparła się, że sama oddzwoni na infolinię, aby temat wyjaśnić, wiec zawodnik się rozłączył. Akurat byłem w domu i jednym uchem usłyszałem tą rozmowę. Mądralom, którzy tak niedowierzają, że można się na to złapać, powiem, że emocja jest zupełnie inna gdy spokojnie słuchasz nagrania z YT, a inna gdy sprawa dotyczy bezpośrednio Ciebie lub bliskiej osoby, nawet jeśli się o tym scamie wcześnie czytało. Fakt że oszust znał Imię i nazwisko osoby, do której dzwonił oraz podał prawidłowe numery karty, może wprowadzić w błąd, a w końcu nie wszyscy z IT lub ludzie są po prostu ufni.
    Zatem chciałem podziękować Niebezpiecznikowi za ten artykuł. W moim przypadku złodziej trafił na osobę świadomą, ale fakt, że o tym wcześniej czytałem dodatkowo ustabilizował emocje. Szczególne podziękowania dla autora nagrania, który pomimo nieprzyjemnej sytuacji, miał na tyle zimnej krwi i fantazji, aby dziada nagrać ;)

  74. […] akcentem) dzwonią do Polaków i okradają ich metodą “na pracownika banku” pisaliśmy szerzej w maju. Nagraliśmy nawet film, który na YouTube obejrzało ponad 640 000 osób. Większa świadomość […]

  75. W internecie mamy możliwość sprawdzenia tożsamości strony dzięki SSL (to taka kłódeczka w pasku przeglądarki, która potwierdza, że łączymy się ze stroną banku, a nie hackera). Natomiast telefonia nie doczekała się takiej technologii. Dlaczego?

    Jest co prawda Aplikacja Google Phone, sprzężona z bazą firm z Google Maps, więc jak dzwoni ktoś z firmy X, to na ekranie pojawia się nazwa tej firmy przypisanej do telefonu z ich bazy. Ale jest też technologia podszywania się przed identyfikator dzwoniącego (Caller ID spoofing), coraz bardziej dostępna dzięki Voice over IP (tutaj krótki techniczny filmik z przykładem jak to zrobić: https://www.youtube.com/watch?v=fkF75c3CUug). W związku z tym niż można już ufać numerowi telefonu pojawiającemu się na ekranie telefonu.

    Mamy 21. wiek. Dlaczego telefonia nie doczekała się technologii w stylu SSL do weryfikacji tożsamości dzwoniącego?

  76. […] osób, które odebrały telefon od fałszywego pracownika banku (atak znany od roku, przestępców przybywa z dnia na […]

  77. Hej, wczoraj dzwoniła do mnie taka babeczka przedstawiająca się jako przedstawicielka banku PKO, podała swoje imię i nazwisko (typowe polskie) i dokładnie ten sam temat jak na przedstawionym wyżej filmie. Ktoś przelał z mojego konta pieniądze i czy znam tą osobę. Dzwoniąca Pani miała wyraźny ukraiński akcent i rozmowę prowadziła dość niezdarnie (podejrzewam, że dopiero uczyła się oszukiwać). Podaje nr tel. z którego dzwoniła – być może ktoś ten proceder kiedyś ukróci: 780-321-778.
    W moim przypadku dość szybko się zorientowałem, że to próba oszustwa i zakończyłem rozmowę – co ciekawe jak powiedziałem oszustce, ze sprawdzę sobie wszystko i oddzwonię to powiedziała, że wszystko dostanę na maila, a jak się rozłączę to już nie będziemy mogli wrócić do tematu :PPP

    I na koniec jeszcze jedna rzecz – Pani dzwoniąc do mnie najpierw potwierdziła moje imię i nazwisko, poinformowała mnie, że rozmowa jest nagrywana i powiem szczerze, że początkowo trochę się dałem wkręcić…

    Uważajcie… nawet najlepsi, najbardziej obeznani mogą się dać wkręcić. Podejrzewam, że gdyby nie niezdarny sposób prowadzenia tej rozmowy przez tą oszustkę i gdybym nie był to ja tylko jakaś starsza osoba to takie oszustwo siadło by jak nic…!

    Na policję nie zgłaszałem sprawy – nie warto – oni to mają gdzieś… Próbowałem zadzwonić do banku PKO, ale tam też mało kogo to interesuje – tam tylko cisną sprzedaż lub helpline… Opowiedziałem o sprawie w najbliższym otoczeniu uczulając najbliższych, żeby uważali + niebezpiecznik.pl – to chyba wszystko co mogę zrobić !

    Uważajcie na ten numer: 780-321-778 – oszuści!

  78. Dzisiaj ktoś dzwonił do mnie z numeru +48 667-875-972 znali moje imię i nazwisko (więc pewnie z jakiegoś wycieku) akcent lekko wschodni z informacją, że mają dla mnie wypłatę w Bitcoin :-) Szkoda, że nie miałem czasu to bym pobawił się z nimi i wypytał, aby zając im z 1h czasu, a tak to tylko spławiłem odpowiadając “STOP OSZUSTOM”.

  79. Cześć.
    W piątek miałem podobny telefon.
    Zacząłem nagrywać po około minucie. Zwodziłem dzwoniącego do czasu jak poprosił o zainstalowanie TeamViever i poprosił o numer do połączenia.
    Jak mu powiedziałem, że ten wałek ze mną nie przejdzie to się rozłączył.
    Po chwili zadzwonił z innego numeru i nieudolnie próbował mi grozić.
    Fak faktem, że znał mój bank i miasto zamieszkania. Nie zarejestrowałem na początku rozmowy czy też moje personalia.

    Czy zgłaszać/gdzie? Nr telefonu pewnie na słupa.

    Prewencyjnie wykupiłem alerty BIK.
    Jak się jeszcze zabezpieczyć?

  80. Witam,

    Jakoś w lipcu dzwonił do mnie oszust i chodziło o kryptowaluty na blockchain. Niby coś tam wpłacałem a oni tym handlowali i uzbierało się ponad 0.23 bitcoina. I bardzo by chcieli żebym to wypłacił. Koleś z zagranicznym/wschodnim akcentem jak w większości tutaj przypadków. Zbywałem go, ale on co jakiś dzwonił i namawiał żeby odebrać bitcoiny heh. Wkurzyłem się i nastraszyłem go policją. No i to był chyba mój błąd bo oszust się wkurzył i zaczął do mnie wydzwaniać co 2 sekundy za każdym razem z innego numeru. Ja odbierałem te telefony i po prostu nic nie mówiłem (robiłem głuchy telefon po odebraniu). W końcu oszustowi to się chyba znudziło i przestał dzwonić. Jednak od tamtego momentu mam wrażenie, że podszywa się pod mój numer telefonu. Przychodzą do mnie smsy np. “Zadzwoń teraz: Użytkownik tego numeru zakończył rozmowę telefoniczną. Możesz do niego zadzwonić.” Tyle, że ja wcale nie próbowałem do tego numeru dzwonić. Sprawdzałem w wykazie połączeń u operatora i nie ma śladu po takich numerach. Nawet dostałem smsa “oddzwonie” i faktycznie ktoś z tego numeru zadzwonił do mnie po chwili. Porozmawialiśmy i wyjaśniłem, że nie próbowałem się z nim połączyć i czy może nie pomylił numeru. Uzyskałem odpowiedź, że na pewno nie bo wysłał automatyczną odpowiedź przy odrzuceniu połączenia. Nie wiem co robić w tej sytuacji. Numer używam już od wielu lat i używam go pod działalność jednoosobową, dlatego zależy mi na tym żeby go nie zmieniać. Obawiam się, że niedługo przyjdzie do mnie policja i mnie będą oskarżać o jakieś oszustwa bo to w końcu z mojego numeru niby było dzwonione. Nie wiem czy iść z tym na policje skoro i tak nic nie zrobią? Proszę o jakie kolwiek rady w tym temacie.

    Pozdrawiam,

  81. Fajnie, że mój komentarz został usunięty. Nie wiem z jakiego powodu a trochę tam miałem napisane. Nieważne … teraz w skrócie.

    Oszusta nastraszyłem policją i teraz podszywa się pod mój numer telefonu. Skąd wiem? Bo ludzie do mnie “oddzwaniają”.

    Co robić w takiej sytuacji? Proszę o rady.

  82. Do mnie też jakis typ dzwonił, kilka razy. Ostatnim razem od debili zaczął mnie wyzywać…
    Za każdym razem z innego numeru telefonu. Gdzie to zgłaszać?

  83. No własnie taka sytacja dzisiaj mi się zdarzyła, kropka w kropkę jak w opisie. Zorientowałam się dopiero jak Pan kazał pobrać team viewera, że przecież bank by o to nie poprosił. Trzeba uważać :/

  84. Wlasnie mialem polaczenie od oszusta z numeru 517944623. Uwazajcie. Dzieki niebezpiecznikowi nie dalem sie nabrac!

  85. żaden bank nie powinien, b ez pisemnej zgody swoich klientów udzielać kredytów ,bez fizycznego podpisu w obecności pracownika banku, zwłaszcza, gdy klient ma lat prawie 80, jest niepełnosprawny , ma poważne wady słuchu, wzroku…nie potrafi sprawnie i dokładnie obsługiwać komputera, (a wpisanie hasła sprawia trudność nie do pokonania)wobec czego korzysta najczęściej z pomocy pracowników banku udostępniając im wszystkich danych, jak np haseł dostępu, kodów itp. Jeśli bank postępuje inaczej, bierze całkoiwitą odpowiedzialność za zaistniałe zdarzenia, które zdarzają się bez wiedzy i zgody klienta. Czy banki udzielając kredytów bez fizycznej zgody osoby niepełnosprawnej, robią to celowo? Czy cyber-przestępcy współdziałając z bankiem naganiają bankom klientów?

  86. Dzisiaj dzwonili do mnie z PKO BP :P i mówi ze mam podejrzane operacje na rachunku bankowym. Problem polega na tym, że ja nie mam konta w PKO :P

  87. temat ciagle zywy – mnie ostatnio 2023.09.18 tez probowali w to wkrecic – bardzo podobny motyw dzialania – wschodni akcent, jakis viewer na kompa sciagnac i dalszy przelew niby kasy ktora mi musza zwrocic – chciali jakies certyfikaty ze mna tworzyc przed ministerstwem skarbu …hahaha….podbijam ;) nie dajcie sie

  88. […] telefonach od fałszywych pracowników banku ostrzegamy od kilku lat. Przestępcy stojący za tymi atakami są naprawdę sprytni i coraz to nowszymi sztuczkami […]

  89. […] Pod kątem cyberbezpieczeństwa, dostęp do ujawnionego w tym wycieku danych zakresu informacji może pomóc przestępcom w lepszym dopasowaniu do Ciebie ataków socjotechnicznych (np. na pracownika banku). […]

  90. […] dane mogą zostać użyte w celu przeprowadzenia dopasowanych do Was ataków socjotechnicznych (np. na pracownika banku). Jak widać, nawet jeśli w przypadku współpracowników ALAB-u nie wykradziono wyników badań […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: