Nove tehnologije i različiti internet servisi koje svakodnevno koristimo često su predmet zloupotrebe sajber kriminalaca kojima je cilj da dođu u posed ličnih i finansijskih podataka. Jedan od takvih napada je višing (eng. voice phishing – vishing) – glasovni fišing u okviru koga prevarant napada žrtvu putem telefonskih poziva i servisa za internet komunikacije (na primer, Skype, Viber, Whatsapp).
U poslednje vreme učestali napadi ove vrste primećeni su u zemljama u okruženju. Imajući u vidu da bi uskoro mogli da postanu aktuelni i kod nas, stručnjaci Erste Banke savetuju da je potrebna povećana doza opreza, posebno u dolazećem prazničnom periodu kada nam je svima pažnja usmerena na lepše stvari. Zato je korisno da se već sada upoznamo sa nekim od tipičnih višing prevara koje su identifikovane u našem regionu.
Kako funkcionišu višing prevare?
Lažni bankar
Priča je obično kreirana oko problema u vezi sa računom klijenta, uglavnom u formi obaveštenja o zloupotrebi od strane bankara iz matične filijale (sa upozorenjem da klijent nikako ne ide do banke, već da bude spreman da će ga kontaktirati „novi“ ljudi). Klijent se obaveštava da je slučaj navodno pod policijskom istragom i da je neophodno tretirati ceo slučaj kao strogo poverljiv. Tu se završava prvi poziv. Drugi poziv je od lažnog policajca, koji potvrđuje prvi deo priče.
Klijent biva ubeđen da je zbog poverljivosti policijske istrage veoma važno da ne otkriva svojoj banci podatke o istrazi, čime se sprečava da pozove kontakt centar ili da se raspita u filijali i tako proveri navode. Treći poziv je ponovo od lažnog bankara, koji se predstavlja kao član tima za bezbednost, a kao dokaz šalje lažirani lični dokument preko čet aplikacija. Tada se predlaže neko rešenje – u nekim slučajevima klijent se ubeđuje da podigne sav novac sa računa i prebaci ga na „privremeni račun” koji je u stvari napadač unapred pripremio. Zatim sledi instrukcija da se sačekaju dalje informacije.
U svim scenarijima je korišćeno lažiranje telefonskog broja. Kada je klijent bio iz npr. Budimpešte, prikazivali su mu se brojevi filijale u Budimpešti i policijske stanice u Budimpešti. Sakupljanje podataka o klijentu koji je meta prevare obično počinje na društvenim mrežama Instagramu i Fejsbuku. Napadači preko društvenih mreža saznaju u kojoj su banci klijenti žrtve, čak i njihovu filijalu, pa prema tome kreiraju lažne brojeve telefona i lažiraju svoje profile tako da izgleda kao da su zaposleni baš tamo.
Lažni krediti
Ova prevara je već dugo prisutna na društvenim mrežama gde fizička lica i navodne finansijske institucije sa kojima sarađuju nude veoma povoljne kredite ili pozajmice. Žrtve su kontaktirane kroz komentare na društvenim mrežama uz uputstvo da se zahtev pošalje direktnim porukama putem čet aplikacija. Nakon niza poruka, žrtva ostaje uskraćena za novac koji je uplatila napadaču kao naknadu za navodnu obradu fiktivnog kredita. U poslednje vreme, zabeleženi su slučajevi ove prevare putem telefonskih poziva, uz lažiranje brojeva sa kojih dolazi poziv, tako da oni mogu biti dovedeni u vezu sa stvarnim finansijskim institucijama. Ukoliko se nađete u ovakvoj situaciji, imajte na umu da banke ne nude kredite na društvenim mrežama, niti se sa vama preko čet aplikacija dogovaraju da uplatite naknade za obradu kredita.
Tehnička podrška
Poziv započinje kao veoma hitna akcija podrške od softverskih kompanija ili IT podrške banke. Napadač traži odobrenje za pristup vašem računaru kako bi obavio neophodna podešavanja kroz neku od aplikacija za ovu namenu (npr. TeamViewer ili AnyDesk). Navodno je potrebno izvršiti podešavanja na aplikaciji za internet bankarstvo. U nastavku, napadač preuzima upravljanje aktivnostima računara, a klijentu ostaje samo da isprati kako njegov novac odlazi sa računa.
Važno je zapamtiti da banka nikad neće tražiti pristup uređaju, niti će instalirati nešto na računaru ili telefonu klijenta. Ukoliko ovo dozvolite napadaču, on preuzima kontrolu nad računarom i uzima sve podatke koji se tamo nalaze, uključujući i pristup računu u banci. Takođe, iz bezbednosnih razloga ne treba čuvati korisničko ime i šifru za pristup internet bankarstvu na računaru ili u okviru naloga za različite internet servise (npr. Google naloga).