Wyciek numeru telefonu czy adresu e-mail jest równie groźny, jak numeru PESEL – przestrzegł ekspert serwisu ChronPESEL.pl Bartłomiej Drozd. Hakerzy mogą wykorzystać je, aby się uwiarygodnić i przez to wyłudzić dodatkowe dane, które posłużą np. do kradzieży naszych pieniędzy z konta.
Bartłomiej Drozd, powołując się na dane CERT Polska zwrócił uwagę, że liczba przypadków phishingu w 2022 r. sięgnęła prawie 40 tys., czyli o 36 proc. więcej niż rok wcześniej.
W ocenie eksperta serwisu ChronPESEL.pl, będącego partnerem Krajowego Rejestru Długów „nic nie wskazuje na to, aby w tym roku ta dynamika zmalała”. Wyjaśnił, że w każdym miesiącu są ujawniane przypadki podszywania się przestępców pod instytucje lub firmy, a ich celem jest wyłudzenie poufnych danych (PESEL, login i hasło do konta w banku itp.).
– To tzw. phishing. Ale do takiego ataku potrzebne są dane kontaktowe do potencjalnych ofiar. Te zdobywa się wykradając je ze słabo zabezpieczonych baz danych lub kupując na czarnym rynku – wyjaśnił.
Drozd stwierdził, że wiele osób lekceważy takie informacje uważając, że sam numer telefonu nie wystarczy do tego, żeby dokonać na konto jego posiadacza wyłudzenia czegokolwiek. „Nic bardziej mylnego” – przestrzegł.
Wyjaśnił, że obserwuje coraz większą popularność tzw. vishingu, czyli podszywania się przez przestępców pod znaną instytucję lub firmę w rozmowie telefonicznej.
Ekspert zwrócił uwagę, że dzięki kampaniom edukacyjnym coraz więcej Polaków nie klika już w linki rozsyłane w e-mailach lub SMS-ach. Przestępcy zaczęli więc na dużą skalę dzwonić do potencjalnych ofiar przedstawiając się jako reprezentanci firm lub instytucji, których są klientami – dodał.
– To usypia ich czujność do tego stopnia, że w trakcie rozmowy podają im dane, które są potem wykorzystywane do wyłudzeń – zaznaczył.
Przezorni sprawdzają na wszelki wypadek, czy numer telefonu z którego dzwoni do nich rzekomy przedstawiciel firmy lub instytucji na pewno do niej należy.
– To była dobra metoda weryfikacji jeszcze kilka lat temu. Dzisiaj usługa VoIP jest tak powszechna, że pozwala na sfałszowanie numeru telefonu wyświetlającego się w telefonie ofiary – przestrzegł.
Scenariusze ataków vishingowych mają zawsze taki sam cel – nakłonienie ofiary do podania wrażliwych danych lub podjęcia określonej czynności.
– Przestępcy wiedząc, że byliśmy klientami danej firmy, bo z niej wykradli przecież nasze imię i nazwisko i numer telefonu, mogą odwoływać się w rozmowie do zawartych wcześniej transakcji, aby się uwiarygodnić, a potem nakłonić do podania wrażliwych danych – wyjaśnił.
Najczęstszą metodą podszywania się jest – jak zauważył – podawanie się za pracownika banku, policjanta, pracownika sklepu internetowego lub urzędnika.
– Rzekomy policjant informuje nas np. o znalezieniu naszych dokumentów i prosi o numer PESEL, żeby potwierdzić że faktycznie należą do nas. Pracownik banku ostrzeże, że na naszym koncie trwają próby jakiś podejrzanych transakcji i potrzebują naszych danych do ich przerwania – wskazał.
W przypadku wycieków ze sklepów internetowych, cyberprzestępcy mogą podawać się też za osobę odpowiadającą za nasz zakup. Wtedy poinformują nas w rozmowie telefonicznej o błędzie transakcji i poproszą o to, żebyśmy na linii podali im wymagane dane, w celu wznowienia zakupu. Urzędnik skarbowy ostrzeże o błędach w zeznaniu podatkowym i zaoferuje pomoc w ich usunięciu, żeby uniknąć kary. Aby zweryfikować, że my to my, poprosi o PESEL – wyjaśnił mechanizm działania przestępców Drozd.
Jak ostrzegł, potrafią oni tak manipulować rozmową, że bez problemu uśpią naszą czujność, a potem nakłonią do podania szeregu danych, które wykorzystają później do wyłudzeń.
– Z reguły ostrzegają nas przed zagrożeniem nalegając na szybką reakcję. Nigdy nie godźmy się na coś takiego. Taką rozmowę należy przerwać i zadzwonić do instytucji lub firmy, na którą rozmówca się powoływał i zapytać, czy na pewno jest ich pracownikiem – podkreślił Drozd.
Podsumował, że nasze dane osobowe to nie tylko PESEL, ale też e-mail, którym posługujemy się na co dzień, czy numer telefonu. (PAP)
autorka: Magdalena Jarco
maja/ mick/
