Techniki ataków, których celem są klienci elektronicznych kanałów dostępu do banku stają się z upływem czasu coraz bardziej wyrafinowane, a przez to na ogół trudne lub/i kosztowne do efektywnego wykorzystania. Wynika to zarówno z zastosowania przez banki skutecznych technicznych środków ochrony (na przykład sprzętowych tokenów typu ‘challenge-response’ czy kodów SMS do autoryzacji transakcji, skomplikowanych systemów wykrywania e-fraudów i innych zabezpieczeń) jak i ciągłej edukacji użytkowników w zakresie bezpieczeństwa korzystania z bankowości internetowej.
W tej sytuacji przestępcy powracają do starych, prostych i relatywnie tanich metod ataków.
Prawdziwy renesans na świecie przeżywają obecnie przestępstwa wyłudzenia wrażliwych danych przez telefon. Zjawiska te nasiliły się znacznie wraz z pojawieniem się, trwającej wciąż, światowej recesji gospodarczej. Mowa tu o zjawisku VISHINGU.
Czym jest dokładnie VISHING?
VISHING przenosi metody i taktyki przestępcze znane z bankowości internetowej pod nazwą phishingu do systemów komunikacji telefonicznej. Dlatego identyfikowany jest także nazwą „phishing telefoniczny”. Źródłosłów VISHINGU to zlepek słów z wyrażenia ‘voice phishing’ (phishing głosowy). Jak widać, zmieniło się medium, z Internetu na sieć telefoniczną, a taktyka i cel działania pozostały, ogólnie rzecz biorąc, te same.
Zatem VISHING jest rodzajem oszustwa, polegającego na wykorzystaniu telefonu do wyłudzenia od potencjalnej ofiary wrażliwych danych, takich jak choćby numery kart kredytowych, identyfikatory kont i hasła do bankowości internetowej, numery PIN do kart bankomatowych czy do bankowego systemu IVR, daty ważności kart oraz numery CVV itp.
Skradzione dane są wykorzystywane bezpośrednio do wyprowadzenia środków z rachunku klienta, opłat za zakupy przy pomocy przejętych kart kredytowych lub też do dalszej odsprzedaży przez visherów-hurtowników innym przestępcom funkcjonującym w kolejnych ogniwach przestępczego łańcuszka.
Powodzenie oszustwa bazuje na zaufaniu klienta do systemów telefonicznego kontaktu z bankiem, a to zaufanie przestępcy potrafią podnieść takimi metodami jak podszywanie się pod dowolny, zaufany numer strony inicjującej połączenie (tzw. Caller ID) czy wykorzystywanie profesjonalnych systemów typu IVR. Do popełniania przestępstw mogą być na przykład wykorzystywane źle zabezpieczone systemy Voice over IP (telefonia oparta o łącza sieci teleinformatycznej), których nie brakuje na całym świecie.
Typowy atak VISHING-owy wygląda następująco:
Agresorzy budują własny lub przejmują należący do innego podmiotu system wiadomości głosowych i wykorzystują go do wykonywania połączeń do potencjalnych ofiar ataków. Numery potencjalnych ofiar ataków często także zdobywane są nielegalnymi metodami (wycieki danych, wyłudzenia, ataki na systemy itp).
Potencjalna ofiara ataku odbiera telefon i jest informowana przez automatycznych system wiadomości głosowych na przykład o problemach z kartą kredytową, podejrzanych operacjach na rachunku bankowym lub innych nieprawidłowościach.
Komunikat zawiera instrukcję natychmiastowego skontaktowania się z bankiem w celu wyjaśnienia nieprawidłowości. Podaje oczywiście numer telefonu do kontaktu.
Potencjalna ofiara wkrótce staje się faktyczną ofiarą ataku, bowiem oddzwaniając do rzekomego banku jest proszona przez system IVR o wprowadzenie poufnych danych takich jak choćby numery PIN, numery kart kredytowych, kody CVV itp. Oficjalnie komunikat w systemie IVR uzasadnia potrzebę podania tych danych celem uwierzytelnienia użytkownika. W rzeczywistości są one przejmowane przez agresorów i wkrótce potem wykorzystane do dokonywania oszustw.
Jak uchronić się przed VISHINGIEM?
Nie należy podawać numerów kart kredytowych ani żadnych innych poufnych danych nikomu, kto wcześniej nie został przez nas poprawnie zidentyfikowany.
Jeśli istnieje choćby ceń wątpliwości, że osoba dzwoniąca do nas podszywa się pod pracownika banku, należy zapytać o możliwość oddzwonienia na znany nam numer banku (nie na numer podany nam przez osobę dzwoniącą do nas).
W przypadku podejrzeń o wyłudzenie danych należy zgłosić ten przypadek policji oraz powiadomić bank o tym fakcie.
Janusz Nawrat
Dyrektor Biuro Bezpieczeństwa Informacji i Systemów Informatycznych
Raiffeisen Bank Polska
Źródło: Raiffeisen Bank Polska