Nowa broń oszustów. W ten sposób nie potwierdzaj swojej tożsamości

Coraz częściej do weryfikacji konsultanta, szczególnie w trakcie telefonicznych kontaktów, używa się wiadomości push w aplikacjach mobilnych. A oszuści nie pozostają obojętni na tę zmianę trendów. Eksperci z CERT Orange przestrzegają, że próbują oni dokonać wyłudzeń za pomocą fałszywych SMS-ów.

Przykładowa wiadomość SMS: Cześć, mam na imię [imię i nazwisko]. Przed dalszą rozmową proszę o potwierdzenie mojej tożsamości w aplikacji mobilnej.

To zapoczątkowuje najbardziej bezpieczną metodę rozmowy z konsultantem bankowym. Potwierdzenie tożsamości przez aplikację daje klientowi pewność, że nie ma do czynienia z oszustem. Nowe SMS-y, które spływają na numer 508 700 900 do CERT Orange Polska, dowodzą, że przestępcy próbują obejść te zabezpieczenia – zauważa CERT Orange.

Dalsza część artykułu pod materiałem wideo

Opłakane konsekwencje

Co może się wydarzyć, gdy oszust zdoła przekonać ofiarę do tego, że SMS-owe potwierdzenie jest rzeczywiste? Z doświadczenia CERT Orange wynika, że oszuści w takim przypadku przechodzą do instalacji oprogramowania do zdalnego pulpitu na urządzeniu ofiary. To prowadzi do przejęcia kontroli nad sprzętem lub kontem bankowym.

Jak się zabezpieczyć? Najważniejsze to stosować zasadę ograniczonego zaufania. Prawo do tzw. nadpisów, czyli wyświetlanych nazw zamiast numeru, posiadają jedynie instytucje publiczne. Każdy inny podmiot może nadać wiadomości nazwę wyglądającą na przykład jak bank. Skutkuje to łatwą możliwością pomylenia fałszywych SMS-ów z autentycznymi. Oszuści często wymyślają kreatywne nadpisy jak „Miilennium”, „Satnander” czy „mBnak”.

Sprawdź, czy twój bank stosuje dodatkowe środki bezpieczeństwa w celu weryfikacji tożsamości konsultanta. Jeśli korzysta z powiadomień push w aplikacji mobilnej, zignoruj SMS-y mówiące o potwierdzeniu tożsamości! Zgłaszaj takie próby bezpośrednio do banku.