Vishing (voice phishing) to rodzaj oszustwa polegającego na kontakcie telefonicznym z wykorzystaniem najczęściej tzw. spoofingu, czyli podszycia się pod dowolny numer telefonu. Zazwyczaj oszuści podszywają się pod pracowników infolinii banku, instytucji państwowej lub organów ścigania w celu wyłudzenia danych i nakłonienia swojego rozmówcy do wykonania określonych czynności. Vishing w Polsce jest często spotykanym rodzajem oszustwa, a wykorzystana w tym scenariuszu inżynieria społeczna z naciskiem na wywieranie presji, strachu czy niepewności jest bardzo skuteczna. 

[Krok 1] Oszustwo rozpoczyna się od kontaktu telefonicznego z wybraną osobą. Oszust podszywając się pod pracownika banku przesyła danej osobie wiadomość SMS, aby potwierdzić swoją tożsamość.

Przykład wiadomości SMS uwiarygadniającej oszusta

Oszust informuje rozmówcę o próbie wykonania przelewu z jej rachunku lub o zaciągniętej na jej dane pożyczce krótkoterminowej. Jego celem jest przekonanie rozmówcy, że dzwoni on w celu zapobieżenia utraty przez niego środków. Takie działanie ma na celu uśpić czujność rozmówcy, wyłudzić od niego dane i nakłonić, by postępował zgodnie z wydanymi poleceniami przez oszusta. 

[Krok 2] Oszust podszywający się pod pracownika banku po przeprowadzeniu wstępnej rozmowy przełącza daną osobę do działu technicznego lub departamentu bezpieczeństwa banku. Następnie osoba ta zostaje poproszona o zainstalowanie programu do zdalnego zarządzania pulpitem. Jeżeli nie potrafi wykonać tego polecenia lub po prostu nie korzysta z bankowości internetowej, wówczas oszust pod pozorem zabezpieczenia jej środków poleca jej wykonanie przelewu na wskazany przez niego rachunek techniczny. Jeżeli dana osoba nie może wykonać również tej czynności, a ma zainstalowaną aplikację banku, to oszust może sugerować jej podanie kodu BLIK. Może także poprosić o wypłatę środków w bankomacie, a następnie dokonanie ich wpłaty we wpłatomacie na podany przez niego rachunek.

[Krok 3] Gdy taka osoba zainstaluje program do zarządzania zdalnym pulpitem, oszust poprosi ją, aby zalogowała się do bankowości elektronicznej w celu weryfikacji operacji na swoim rachunku. Wszystkie dane uwierzytelniające wpisywane przez tą osobę będą widoczne dla oszusta. Następnie może on zaciągnąć kredyt w imieniu tej osoby, a ją poprosić o autoryzację poprzez podanie kodu otrzymanego w wiadomości SMS od banku lub w aplikacji mobilnej. 

Przykład strony internetowej stworzonej przez oszustów

Pamiętaj o kilku podstawowych zasadach bezpieczeństwa:

• przede wszystkim kieruj się zasadą ograniczonego zaufania – nigdy nie masz pewności kto może znajdować się po "drugiej stronie słuchawki”,
• pamiętaj, że pracownik banku nigdy nie prosi o:
  • podanie pełnych danych osobowych, numeru PESEL, serii i numeru dowodu osobistego,
  • loginu i hasła do bankowości internetowej, 
  • numeru karty płatniczej, daty jej ważności oraz numeru CVV/CVC,
  • zrealizowania przelewu na wskazany przez niego rachunek,
  • podanie kodu SMS autoryzującego operację finansową,
  • instalowanie aplikacji na twoim urządzeniu, 

• jeżeli nie masz pewności z kim rozmawiasz, rozłącz się z rozmówcą i samodzielnie zadzwoń do instytucji, której przedstawiciel do Ciebie zadzwonił.

Schemat oszustwa