Vishing polega na podszywaniu się pod pracowników banku lub innych zaufanych instytucji, np. policjantów.
Z kolei spoofing polega na podszywaniu się pod inne urządzenia lub innego użytkownika.
Jak przebiega takie oszustwo?
Oszuści stosują wyćwiczone techniki manipulacji. Podszywają się pod prawdziwe numery telefonów! Kiedy dzwonią, na telefonie klienta może wyświetlić się inny, znany numer lub nazwa banku.
Choć nie ma jednego schematu działania, przykładowa rozmowa może przebiegać tak:
- Klient odbiera telefon od oszusta.
- Oszust przekazuje klientowi informację o rzekomej płatności na jego koncie i prosi o potwierdzenie jej wykonania. Często oszuści przekazują też informację o logowaniu spoza granic Polski.
- Klient odpowiada na wszystkie pytania, których oficjalnym celem jest jego weryfikacja.
- Oszust informuje klienta, że musi zablokować rzekomą fałszywą transakcję lub przeprowadzić „zdalne skanowanie antywirusowe”. W tym celu klient ma zainstalować specjalną aplikację, np. AnyDesk lub TeamViewer.
- Klient instaluje aplikację, a jego dane trafią do oszusta – ma dostęp do konta klienta i pieniędzy na nim.
Jak się chronić?
- Nigdy nie wolno podawać loginu i hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, data ważności). To informacje poufne, powinny być znane tylko klientowi.
- Zawsze warto czytać treść SMS-ów i komunikatów z aplikacji mobilnej. Należy zwrócić na nie szczególną uwagę podczas połączenia z rzekomym przedstawicielem banku lub innej instytucji. Z ich treści może wynikać, że akceptuje się transakcję, którą przygotowali przestępcy.
- Jeżeli jakakolwiek rozmowa wzbudza wątpliwości lub niepokój klienta, niech się rozłączy. Warto odczekać minimum 30 sekund, a następnie samodzielnie połączyć się z instytucją, z której dzwonił rzekomy przedstawiciel. Koniecznie należy wpisać numer samodzielnie –nie oddzwaniać na wcześniejsze połączenie.
- Nie powinno się instalować dodatkowego oprogramowania na urządzeniach, za pomocą których klient loguje się do aplikacji bankowej.
- Nie wolno zgadzać się na alternatywny kontakt mailowy czy SMSowy. Oszust może chcieć wysłać link lub załącznik, który może zainfekować urządzenie klienta.