Vishing, czyli phishingowa rozmowa telefoniczna, która ma na celu pozyskanie wrażliwych danych, to metoda oszustwa wykorzystywana przez przestępców. W przypadku telefonicznych scamów vishing często idzie w parze ze spoofingiem (jego pełna nazwa to Caller ID Spoofing), czyli podszywaniem się pod numery telefonu banków, firm, instytucji czy też osób prywatnych. 

W przypadku spoofingu oszuści wykorzystują luki w protokołach VoIP, co pozwala na wykonywanie połączeń telefonicznych za pośrednictwem internetu. Następnie mogą dowolnie modyfikować numery i podpisy wyświetlane podczas połączenia przychodzącego. Oznacza to, że numer telefonu widoczny podczas połączenia niekoniecznie przedstawia prawdziwą tożsamość rozmówcy. Na przykład, jeżeli zobaczysz numer swojego znajomego, nie oznacza to, że to on do ciebie dzwoni.

Jak przygotować się na wypadek próby takiego oszustwa? Najpierw warto dokładniej poznać rodzaje telefonicznego scamu. Przykładowe metody to: 

• „Na wnuczka”. Oszust udaje bliską osobę w potrzebie. Prosi o pożyczenie pieniędzy, które szybko odda.
• „Na policjanta”. Osoba podszywająca się pod funkcjonariusza kontaktuje się ze starszymi osobami, aby te pomogły mu w rozpracowaniu zorganizowanej grupy przestępczej. 
• „Na pracownika banku”. Przestępcy dzwonią z informacją o rzekomej podejrzanej transakcji zarejestrowanej na naszym koncie. W celu zapewnienia bezpieczeństwa środków proszą o podanie poufnych danych logowań lub o zainstalowanie oprogramowania do zdalnej weryfikacji. Dla uwiarygodnienia swojego przekazu operują naszymi danymi pochodzącymi z wycieków, takimi jak numer PESEL czy nazwisko panieńskie matki. 

Obecnie coraz częściej słyszy się również o oszustwach, które wykorzystują sztuczną inteligencję do klonowania mowy i podszywania się pod bliskie osoby ofiar, np. w celu upozorowania porwania i wyłudzenia okupu.

Jak rozpoznać oszustwo „na pracownika instytucji”?

Istnieje kilka sposobów, które pozwalają na uchronienie się przed telefonicznym oszustwem. Jak podkreśla Urząd Komisji Nadzoru Finansowego (UKNF), w dzisiejszych czasach dane są walutą, dlatego należy ich uważnie strzec. Z tego względu w przypadku kontaktu ze strony banku, instytucji czy firmy należy pamiętać, że: 

• Pracownik dzwoniący w imieniu banku nigdy nie zapyta o dane do logowania, pełen numer PESEL, kody weryfikacyjne kart bankomatowych czy hasła 3D Secure służące do potwierdzenia transakcji internetowych. 

• Nie należy instalować żadnych dodatkowych oprogramowań czy aplikacji na telefonie lub na komputerze. Podczas rozmowy cyberprzestępcy mogą próbować nakłonić nas do ściągnięcia programów umożliwiających zdalny dostęp do urządzenia. W tym celu przekonują, że jest to np. najnowsza aktualizacja aplikacji bankowej gwarantująca bezpieczeństwo albo aplikacja do zdalnej weryfikacji. Pamiętajmy, że pracownik banku również o to nigdy nie poprosi. 
• Podczas rozmowy zwracajmy szczególną uwagę na treści przychodzących SMS-ów i komunikatów. Oszust może wmawiać nam, że są to kody potwierdzające naszą tożsamość, które należy podyktować. W rzeczywistości z wiadomości może wynikać, że akceptujemy przelew albo dodajemy nowe zaufane urządzenie do swojego konta bankowego. 
• Jeśli pojawiają się jakiekolwiek wątpliwości dotyczące prawdziwej tożsamości rozmówcy, należy się rozłączyć i skontaktować ze swoim bankiem. Miejmy na uwadze, aby w tym celu nie korzystać z numeru figurującego w historii połączeń, lecz z danych kontaktowych z oficjalnej strony internetowej lub aplikacji bankowej. Zanim podejmiemy próbę kontaktu z bankiem, odczekajmy minimum 30 sekund po rozłączeniu. 
• Numer telefonu lub nazwa instytucji wyświetlająca się na ekranie telefonu nie jest potwierdzeniem tożsamości rozmówcy. 
• Podczas próby internetowego oszustwa osoba, z którą rozmawiamy, może kreować poczucie pośpiechu i przekonywać o konieczności natychmiastowego działania. W tej sytuacji nie można ulegać emocjom i trzeba zachować szczególną ostrożność. 

Udoskonalona metoda „na wnuczka”, czyli oszustwo wykorzystujące klonowanie głosu

Obecnie rośnie zagrożenie scamem wykorzystującym sztuczną inteligencję (AI) do udoskonalania telefonicznej metody oszustw „na wnuczka”. Klonowanie głosu jest procesem polegającym na użyciu AI do kreowania mowy dowolnej osoby, której próbkę głosu posiadamy. Jak się okazuje, sklonowanie głosu jest proste, tanie i coraz trudniejsze do identyfikacji, co zaczęli wykorzystywać przestępcy. Z tego powodu warto być gotowym na ewentualne zagrożenia i wiedzieć, jak zareagować.

O tym, jak rozpoznać mowę stworzoną przy pomocy sztucznej inteligencji, pisaliśmy w naszym artykule dla CyberDefence24. Wskazaliśmy tam kilka sposobów pomagających rozpoznać oszustwo telefoniczne wykorzystujące klonowanie głosu:

• Kiedy rozmawiamy z kimś, kto podaje się za bliską nam osobę, warto zweryfikować jego tożsamość. W tym celu należy zadać pytanie o szczegóły z prywatnego życia, na które odpowiedź znać powinna tylko wąska grupa osób. Przykładowo, może to być pytanie o planowany wakacyjny cel podróży lub imię ulubionego pupila. 
• Sposobem, który pozwala na łatwą i sprawną weryfikację rozmówcy, jest bezpośrednie skontaktowanie się z bliską osobą, za którą podaje się człowiek po drugiej stronie telefonu. W tym przypadku należy wybrać środek komunikacji, co do którego jesteśmy pewni, że należy do bliskiego.
• Eksperci z organizacji factcheckingowej VerifyThis wskazują na możliwość ustalenia z bliskimi lub ze współpracownikami sekretnego słowa-hasła, o którego podanie możemy poprosić przed przekazaniem poufnych informacji. 
• Podczas rozmowy telefonicznej zwróćmy szczególną uwagę na podejrzane prośby o przekazanie gotówki, zwłaszcza w sposób utrudniający zlokalizowanie odbiorcy. Przykładowo, mogą być to prośby o kody BLIK, przelewy w kryptowalutach czy hasła do kart podarunkowych. 

Pamiętajmy, że przypadku podejrzenia telefonicznego scamu warto powiadomić o nim instytucję, pod którą podszywali się rozmówcy. Z kolei jeśli dojdzie do przestępstwa, należy niezwłocznie poinformować o nim policję.