Coraz więcej osób otrzymuje wiadomości SMS lub e-maile podszywające się pod banki. Często pojawia się wtedy niepokojąca myśl: skąd oszuści wiedzą, w jakim banku mam konto? W wielu przypadkach wygląda to bardzo wiarygodnie – wiadomość przychodzi rzekomo od konkretnego banku, zawiera jego nazwę, a nawet przypomina oficjalną komunikację instytucji finansowej.
W rzeczywistości przestępcy bardzo rzadko posiadają faktyczne informacje o tym, gdzie dana osoba prowadzi rachunek bankowy. Najczęściej wykorzystują połączenie kilku metod: statystyki, danych z wycieków, informacji dostępnych publicznie oraz manipulacji psychologicznej.
Najczęściej to zwykły „strzał w ciemno”
W wielu przypadkach oszuści po prostu wysyłają wiadomości do ogromnej liczby osób. W Polsce działa kilka największych banków i statystycznie duża część społeczeństwa korzysta właśnie z nich. Wystarczy więc wysłać tysiące SMS-ów z informacją o „blokadzie konta” czy „podejrzanej transakcji”, podpisanych nazwą popularnego banku, aby część odbiorców rzeczywiście była jego klientami.
To mechanizm podobny do phishingu stosowanego na całym świecie. Przestępcy liczą na to, że wśród tysięcy odbiorców znajdą się osoby, które uznają wiadomość za autentyczną i klikną w podany link lub podadzą swoje dane logowania.
Dane z wycieków i nielegalnych baz
Zdarza się jednak, że przestępcy dysponują bardziej szczegółowymi informacjami. W internecie regularnie pojawiają się bazy danych pochodzące z wycieków z różnych serwisów – sklepów internetowych, portali społecznościowych czy platform usługowych. W takich bazach często znajdują się adresy e-mail, numery telefonów czy dane osobowe.
Same w sobie nie wskazują one jeszcze banku, ale mogą posłużyć do stworzenia bardziej wiarygodnego oszustwa. Jeśli ktoś otrzyma wiadomość zawierającą jego imię, nazwisko lub numer telefonu, łatwiej może uwierzyć, że nadawca rzeczywiście posiada jego dane finansowe.
Informacje, które sami udostępniamy
Część informacji o nas jest dostępna publicznie lub półpublicznie. Zdarza się, że użytkownicy publikują w mediach społecznościowych zrzuty ekranu z aplikacji bankowej, zdjęcia kart płatniczych czy informacje o promocjach bankowych, z których korzystają.
Czasami wystarczy drobny szczegół – logo banku widoczne na zdjęciu karty, informacja o przelewie czy komentarz w dyskusji – aby ktoś z zewnątrz mógł domyślić się, z jakiej instytucji finansowej korzystamy.
Fałszywe strony i podszywanie się pod bank
Jedną z najczęściej stosowanych metod jest kierowanie ofiary na stronę internetową łudząco podobną do strony banku. Po kliknięciu w link z SMS-a lub e-maila użytkownik trafia na formularz logowania, w którym proszony jest o podanie identyfikatora, hasła czy kodu autoryzacyjnego.
W rzeczywistości dane trafiają bezpośrednio do przestępców. Często zdarza się, że strona phishingowa pozwala wybrać nazwę banku z listy – dzięki temu ofiara sama wskazuje, z jakiej instytucji korzysta.
Podszywanie się pod pracownika banku
W bardziej zaawansowanych oszustwach przestępcy kontaktują się telefonicznie, podając się za pracownika banku lub działu bezpieczeństwa. W trakcie rozmowy mogą zadawać pytania, które pozwalają im ustalić, z jakiej instytucji korzysta rozmówca. Często robią to w sposób bardzo naturalny – na przykład pytając, czy dana osoba korzysta z aplikacji mobilnej banku lub czy potwierdziła ostatnią transakcję.
Dzięki takim informacjom mogą później przygotować bardziej przekonującą próbę wyłudzenia danych.
Czy bank może ujawnić takie informacje?
W praktyce banki nie udostępniają informacji o rachunkach osobom trzecim. Dane dotyczące rachunków bankowych objęte są tajemnicą bankową i mogą być przekazywane jedynie w ściśle określonych przypadkach, np. organom państwowym działającym na podstawie przepisów prawa.
Jeżeli więc ktoś twierdzi, że zdobył informacje o rachunku bezpośrednio z banku, należy traktować to z dużą ostrożnością.
Jak się chronić?
Najważniejszą zasadą jest zachowanie ostrożności wobec wiadomości i telefonów dotyczących konta bankowego. Banki nie proszą klientów o podawanie haseł, kodów autoryzacyjnych czy pełnych danych logowania przez e-mail lub SMS.
Jeżeli pojawia się wiadomość informująca o rzekomej blokadzie konta lub konieczności pilnego zalogowania się, najbezpieczniej samodzielnie wejść na stronę banku lub skontaktować się z jego infolinią – ale korzystając z numeru dostępnego na oficjalnej stronie instytucji.
Warto też pamiętać, że w większości przypadków oszuści wcale nie wiedzą, gdzie mamy konto. Liczą przede wszystkim na pośpiech, stres i brak czujności. Zachowanie spokoju i weryfikacja informacji to najprostszy sposób, aby nie paść ofiarą takiego oszustwa.
