W artykule Otomoto – jak wystawiając ogłoszenie wystawiamy swoje dane na tacy oszustom opisałem próbę phishingową, która nastąpiła dosłownie w kilka minut po wystawieniu ogłoszenia w tym portalu.
Na tym jednak próby kontaktu ze strony złodziei się nie skończyły. Już następnego dnia rano spotkałem się z kolejnym stosowanym od dłuższego czasu na masową skalę oszustwem. Odebrałem telefon od pani, która przedstawiła się jako pracownica banku i zapytała mnie czy składałem w dniu dzisiejszym wniosek o kredyt.
Telefon z banku – wziął pan kredyt
Już w pierwszych kilku słowach wschodni akcent rozmówczyni zdradził mi z czym mam do czynienia. Kontynuując więc rozmowę podszedłem do laptopa i uruchomiłem nagrywanie by móc się z wami podzielić przebiegiem całej rozmowy. Trwała ona ponad 50 minut zanim rozmówczyni zorientowała się, że podawane przeze mnie dane dotyczące mnie i mojego rachunku są nieprawdziwe.
Niestety po ponad 30 minutach rozmowy uruchomiłem przeglądarkę, w której na jednej z zakładek miałem otwartą playlistę z YouTube. Zaczęła się ona odtwarzać, a ja w pośpiechu zamiast zatrzymać odtwarzanie ściszyłem jedynie dźwięk w komputerze. Efekt tego był taki, że program OBS, którym nagrywałem rozmowę przez mikrofon zarejestrował również dźwięk z przeglądarki zagłuszając resztę rozmowy. Posłuchajcie jednak ku przestrodze tych pierwszych 30 minut, a resztę zrelacjonuję poniżej.
Jak już wspomniałem rozmowa zaczęła się od pytania czy składałem w dniu dzisiejszym wniosek kredytowy. Po udzieleniu odpowiedzi przeczącej dowiedziałem się, że niestety bank taki wniosek w moim imieniu otrzymał i zaakceptował, a co gorsza, we wniosku tym jako odbiorca kredytu była wskazana inna osoba.
Zabezpieczenie pola walki
W początkowej fazie rozmowy, jak i później wielokrotnie podczas jej trwania oszuści upewniali się, że jestem w pomieszczeniu sam, że nikt nie słyszy mojej rozmowy i nie będzie w stanie nam jej przerwać. Straszyli mnie m.in. informacją, że przerwanie połączenia zostanie uznane za odmowę współpracy i bezpowrotnie zaprzepaści moją szansę na odzyskanie środków z udzielonego kredytu. Co więcej będę musiał spłacać ratę w wysokości 1801 zł miesięcznie.
Informowali mnie też powołując się na art. 171 ust. 5 Prawa Bankowego, że jeśli opowiem komukolwiek o naszej rozmowie będę zagrożony karą 3 lat pozbawienia wolności lub grzywną do miliona złotych. Aby uwiarygodnić ten scenariusz kazali mi wyszukać w Internecie powyższy artykuł i odczytać go na głos oraz zadeklarować przyjęcie go do wiadomości.
Artykuł taki w ustawie Prawo Bankowe rzeczywiście występuje, ale dotyczy on ujawnienia tajemnicy bankowej np. przez pracownika banku. Nie ma zatem żadnego związku z sytuacją, w której klient banku podzieliłby się np. z członkiem rodziny informacją o tym, że został okradziony.
Aby uniknąć przypadkowego zakończenia połączenia rozmówczyni pytała mnie nawet o procentowy poziom naładowania baterii w telefonie.
Vishing
Głównym celem rozmowy był jednak vishing (voice phishing), czyli zebranie informacji, dzięki którym oszuści byliby w stanie uwierzytelnić się w banku i wykonać w moim imieniu jakąś operację. Rozmówczyni w trakcie rozmowy próbowała ustalić m.in.:
- w jakim banku mam konto
- jaka jest nazwa mojego konta
- jakie są 4 ostatnie cyfry w numerze konta
- jaką aktualnie kwotę widzę na swoim koncie
- jaka była ostatnio wykonywana transakcja i na jaką kwotę
Pytała też o wysokość mojego wynagrodzenia, wiek oraz czy posiadam jakieś kredyty, chwilówki lub inne zobowiązania – prawdopodobnie w celu ustalenia wysokości kredytu, o który oszuści mogliby wnioskować w moim imieniu.
Uwiarygadnianie historii
Aby przekonać mnie, że zaciągnięcie kredytu na moje dane rzeczywiście miało miejsce i było możliwe bez mojego udziału oszuści zadawali też szereg pytań. Miały one na celu zasugerować mi, że moje poufne dane mogły wyciec w jakiejś instytucji publicznej, którą odwiedzałem w ostatnim czasie, od mojego pracodawcy lub też za pomocą złośliwego oprogramowania. Pytali czy nie otrzymywałem podejrzanych wiadomości, czy nie klikałem w linki lub nie zaobserwowałem dziwnego zachowania przeglądarki lub telefonu.
Rozmówczyni sprawnie podchwyciła też zmyślony przeze mnie wątek o wizycie u notariusza i sprzedaży mieszkania. Wskazała to jako kolejną możliwość do wycieku moich danych.
Spoofing
Jednym z elementów sprzedawanej mi historii była informacja o powiadomieniu NBP oraz BIK-u o zaistniałym incydencie. W trakcie rozmowy zostałem kilkukrotnie zapytany czy otrzymałem SMS z BIK-u. Tutaj wyjątkowo odpowiadałem zgodnie z prawdą (wszystkie pozostałe dane były zmyślone), że nie otrzymałem takiego SMS-a. W końcu jednak SMS dotarł. Jako nadawca wiadomości widniał „BIK”, co spowodowało, że powiadomienie trafiło do wątku z inną wiadomością, którą wcześniej rzeczywiście otrzymałem od BIK-u:
Oczywiście nadawcą w rzeczywistości nie był BIK. Przestępcy wykorzystali tutaj klasyczny spoofing – podszyli się pod nazwę nadawcy korzystając z dostępnych w Internecie bramek SMS. Miał to być kolejny element uwiarygadniający powagę sytuacji.
Co ciekawe, nie wykorzystali tej samej techniki aby sfałszować numer telefonu, z którego dzwonili. Pomimo, iż technicznie jest to możliwe i w tego typu oszustwach wcześniej wielokrotnie przestępcy wykorzystywali np. numer 997 lub numery infolinii bankowych. Tym razem jednak połączenie pochodziło z numeru w krakowskiej strefie numeracyjnej. Nie będę go tutaj podawał gdyż możliwe jest, że był to numer na kartę zarejestrowany na przypadkową osobę, która padła ofiarą innego oszustwa lub kradzieży danych.
Coś pan kręci
W końcowej fazie połączenia rozmówczyni poinformowała mnie, że ma informację z banku NBP (do którego niby przekazywane było zgłoszenie), iż podany przeze mnie stan konta jest nieprawidłowy. Prawdopodobnie w tym momencie następowały już próby uwierzytelnienia się w banku podanymi przeze mnie danymi.
Poprosiła mnie zatem o ponowne zalogowanie się na moje konto i podanie widniejące na nim kwoty. Tym razem podałem wartość mniejszą o dokładnie tysiąc złotych (poprzednia była oczywiście zmyślona, ale zapisałem ją sobie). Myślałem, że rozmówczyni uznana, iż wcześniej się przesłyszała i poprawi podaną wartość. W tym momencie jednak wyraźnie się poirytowała – „coś pan kręci” usłyszałem.
Próbowałem zasugerować, że może kwota na koncie w międzyczasie uległa zmianie bo zostały rozliczone jakieś płatności z karty, które wykonywałem w ostatnich dniach. Z pełną stanowczością odparła, że to nie możliwe i że coś się tutaj nie zgadza. Zapanowała dłuższa cisza, po czym znowu padło „coś pan kręci” i połączenie zostało zakończone.
Rozmowa trwała 47 minut.
Wnioski
Zarejestrowany przeze mnie i opisany scenariusz oszustwa nie jest niczym nowym. W Polsce od lat jest on skutecznie stosowany przez przestępców i niestety wiele osób straciło w ten sposób oszczędności swojego życia. Jeśli macie taką możliwość podzielcie się tym artykułem i nagraniem ze swoimi bliskimi i znajomymi by ostrzec ich zawczasu.
Jeśli pracujecie w branży IT/Security macie moją zgodę na wykorzystanie tego artykułu i nagrania we własnych materiałach edukacyjnych i szkoleniowych. Spróbujmy chociaż trochę utrudnić życie złodziejom.
Na koniec chciałbym prosić o unikanie pochopnych skojarzeń typu wschodni akcent = Ukraińcy. Ze względu na sytuację geopolityczną jest to pierwsze skojarzenie, ale tego typu grupy przestępcze były identyfikowane również w Kazachstanie, Gruzji i wielu krajach Azjatyckich. Pod koniec 2025 roku kilkunastoosobowa grupa przestępcza parająca się tym procederem została również rozbita na terenie Polski.
Zainteresowanym polecam uwadze również obszerny artykuł opisujący kulisy działania tego typu grup. Telefonistki są w nich często ofiarami wyzysku, handlu ludźmi a nawet tortur. Ich pochodzenie i akcent często nie ma żadnego związku z rzeczywistymi organizatorami tego przestępczego procederu.
Zostaw e-mail aby otrzymać powiadomienia o nowych wpisach oraz dostęp do materiałów przygotowanych wyłącznie dla subskrybentów.
