Jak donosi "Rzeczpospolita" przedstawiciele internetowego mBanku dzwonią do klientów i proszą o wrażliwe dane. Według gazety, taki sposób postępowania bulwersuje w sytuacji, gdy klienci polskich banków coraz częściej padają ofiarą ataków phishingowych.
"– Dzień dobry, dzwonię z banku z propozycją kredytu. W celu weryfikacji proszę podać numer PESEL, adres do korespondencji i nazwisko panieńskie matki – usłyszała w piątek przez telefon część klientów mBanku. Choć brzmi to jak opis kolejnej, w dodatku niezbyt wyszukanej próby wyłudzenia wrażliwych danych, tym razem zagrożenia nie było. Telefony rzeczywiście wykonywali pracownicy mBanku, którzy w taki sposób usiłowali sprzedawać posiadaczom ROR produkty kredytowe.", czytamy w "Rzeczpospolitej". Gazeta pisze, że w obliczu ostatnich ataków phishingowych, praktyki mBanku są bulwersujące. Dziennik zwraca uwagę, że co prawda ulubionym narzędziem przestępców jest e-mail, "jednak wyłudzenia można dokonać też drogą telefoniczną. Banki edukują, by nie podawać wrażliwych danych w odpowiedzi na e-maile. Jednocześnie jednak mBank zachęca do ich podawania przez telefon.", czytamy.

"– Gdy pracownik dzwoni z propozycją do klienta, musi ustalić, czy rozmawia z właściwą osobą. Na początek musi poinformować rozmówcę o tym, w jaki sposób może się upewnić, że dzwoni do niego pracownik banku. Jeżeli klient chce poznać szczegóły spersonalizowanej oferty, operator zada mu trzy – cztery losowo wybrane pytania weryfikujące. W żadnym wypadku nie będą to pytania o ID, hasła czy numery kart i rachunków" – wyjaśnia rzecznik mBanku Magdalena Ossowska.

"Rzeczpospolita" zapytała Remigiusza Kaszubskiego, dyrektora Związku Banków Polskich, jak zareagowałby, gdyby to jego bank próbował mu w ten sposób sprzedać kredyt. "– Nie rozmawiałbym z taką osobą. Jeśli ktoś dzwoni z banku, ma wszystkie moje dane i nie musi o nie pytać. Jeżeli jest to zwykły sprzedawca, który szuka klientów, to nie dzwoni z banku. W żadnym wypadku nie powinienem się zgadzać na podawanie wrażliwych danych, takich jak np. numer PESEL, nazwisko panieńskie matki, numer rachunku, numer karty czy kod PIN" – tłumaczy Kaszubski. W ostatnich tygodniach doszło do wyłudzeń informacji osobistych od klientów Banku Zachodniego WBK. W poniedziałek 24 marca na skrzynki mailowe tysięcy internautów z Polski trafiły fałszywe wiadomości z linkiem do formularza, na którym, pod pozorem aktywacji konta, proszono o podanie numerów kart płatniczych, dat ich ważności i numerów PIN, czyli danych, o podanie których bank nigdy klientów nie prosi. Fałszywe formularze wypełniło 180 klientów BZWBK. Był to klasyczny przypadek phishingu, czyli przestępstwa internetowego polegającego na wyłudzaniu danych, dzięki którymi można uzyskać dostęp do pieniędzy innych osób.

Vishing - Phishing Telefoniczny

Wiele źródeł związanych z bezpieczeństwem IT, wskazuje na nowy rodzaj ataków wykonywanych na Klientów Banków, atakach typu Vishing - phishing telefoniczny. W wielu artykułach z początku roku 2008 możemy przeczytać o zwiększającej się liczbie ataków typu vishing dotyczących użytkowników telefonów komórkowych oraz stacjonarnych. Vishing jest podobną techniką do phishingu - polega na wysłaniu listu elektronicznego lub krótkiej informacji tekstowej (SMS-a) do użytkownika z prośbą o kontakt telefoniczny z bankiem w celu reaktywacji karty (kredytowej bądź debetowej). “Wykonując połączenie ofiara słyszy w telefonie automat zgłoszeniowy 'Witamy w banku', a następnie jest proszony o wprowadzenie numeru karty kredytowej w celu identyfikacji” - można przeczytać w stanowisku FBI. Zwiększająca się popularność sprzętu VoIP oraz darmowego oprogramowania typu “call-centre” ułatwia cyberprzestępcom zakładania fałszywych centrów telefonicznych. Często zatrudniają oni zespół, który nie jest nawet świadomy, iż pracuje dla przestępczego gangu. W przypadku logowania się do bankowości elektronicznej możemy zweryfikować witrynę odpowiednim certyfikatem SSL. W przypadku wykonania telefonu z Banku, nie ma żadnego mechanizmu związanego z weryfikacją osoby która do nas dzwoni: może być z 'naszego Banku', chociaż nie koniecznie. Mimo że organy ścigania i inne agencje bezpieczeństwa mogą monitorować numery telefoniczne, oszuści często korzystają z automatów telefonicznych, skradzionych telefonów komórkowych czy też z kont, na które się włamali. Dlatego lepiej nie dać się oszukać, niż później naprawiać szkody.

Porady, jak nie stać się ofiarą phishingu telefonicznego:

• Traktuj wszelkie niepożądane wiadomości e-mail (i telefoniczne) sceptycznie, unikaj klikania zawartych w nich łączy.

• Zanim zadzwonisz, sprawdź najpierw nieznane numery kierunkowe, korzystając z pomocy rzetelnych lokalnych firm telefonicznych. Dzięki temu unikniesz połączeń zamiejscowych, międzynarodowych i innych płatnych.

• Aby ustalić faktyczny numer telefonu centrum obsługi klienta (i inne numery), odwiedź witrynę sieci Web swojego Banku. Podczas sprawdzania informacji nie klikaj w łącza znajdującego się w wiadomości e-mail—zawsze wpisuj adres witryny sieci Web samodzielnie.

• Jeśli to możliwe, przejrzyj drukowane kopie opłaconych wcześniej faktur lub rachunków, by potwierdzić prawdziwość kontaktowych numerów telefonicznych i innych informacji. Numery telefonów centrów obsługi klienta instytucji kredytowych znajdują się też często na odwrocie kart kredytowych.

• Śledź na bieżąco najnowsze informacje o oszustwach związanych z kradzieżą tożsamości, korzystając z branżowych biuletynów poświęconych zabezpieczeniom (j. ang.), witryn internetowych dotyczących bezpieczeństwa i innych wiarygodnych źródeł.

• Analizuj swoją pocztę elektroniczną, szukając charakterystycznych znaków świadczących o próbach dokonania phishingu, takich jak słaba gramatyka, literówki, dziwne adresy internetowe, i wszelkich innych podejrzanych elementów.

Niestety w wypadku telefonu z 'naszego Banku', wiele z tych rad ciężko wykonać, tym bardziej jak mamy już Panią czekającą na weryfikację naszych danych.

Oto kilka linków dotyczących Vishingu:
http://en.wikipedia.org/wiki/Vishing
http://www.proline.com.pl/index.php?n=vishing-telefoniczny-phishing&grupa=art
http://hacking.pl/pl/news-7279-Vishing_telefoniczny_phishing.html
http://www.vnunet.com/vnunet/news/2160004/cyber-criminals-talk-voip
http://news.bbc.co.uk/1/hi/technology/5187518.stm