- W ubiegły piątek o godz. 9:16 zadzwonił telefon. Na wyświetlaczu mojej komórki pojawiła się wizytówka infolinii banku PKO BP - numer: 81 535 60 60. Mężczyzna, który do mnie dzwonił i którego nagrałam, znał moje dane osobowe - opowiada pani Alicja z Warszawy.
Kobieta dodaje, że rozmówca podał jej imię i nazwisko poprawnie. - Byłam wtedy akurat w przychodni lekarskiej, w poczekalni. Czekałam na lekarza. Źle go słyszałam. Zapytałam jednak, jak on się nazywa i o co mu chodzi? Powtórzyłam to pytanie dwa razy. Zdążył odpowiedzieć, że dzwoni z banku i chodzi o zmianę kredytu i w tej chwili musiałam się już rozłączyć - opowiada kobieta.
Po wyjściu z gabinetu lekarskiego pani Alicja zaintrygowana rozmową z "bankiem" postanowiła oddzwonić na numer, z którego wykonano wcześniej połączenie. Zgłosił się faktycznie bank PKO BP. Zdenerwowana postanowiła sprawę wyjaśnić: nie była bowiem nigdy klientką tego banku.
Dalsza część artykułu pod materiałem wideo
Bank: to nie my dzwoniliśmy!
W poniedziałek rano zwróciła się do banku PKO BP z pytaniem, skąd ma jej dane osobowe i dlaczego dzwoniono do niej w sprawie zmiany kredytu?
W odpowiedzi bank kategorycznie zaprzeczył, jakoby wykonał połączenie na wymieniony przez panią Alicję numer telefonu. Dodał również, że nie prowadzi "kampanii na kredyty ze stałą stopą oprocentowania".
W mailu do pani Alicji pracownicy z PKO BP napisali, że prawdopodobnie pod numer banku podszyli się oszuści.
- Cyberprzestępcy wykorzystują słabość technologii GSM, która pozwala im się podszyć pod dowolny numer, który wyświetli się na telefonie ofiary. Oszust realizuje połączenie ze swojego numeru, ale wpisuje inny, np. infolinii albo oddziału banku - objaśniła w mailu Joanna Fatek z PKO BP.
Dodała też, że jeśli mamy zapisany w kontaktach telefon do banku i ten sam numer wpisze oszust, to wtedy wyświetli się połączenie przychodzące właśnie z banku. - Ten mechanizm sprawia, że ludzie są dużo bardziej skłonni zaufać osobie po drugiej stronie - przyznała Fatek.
Policja? A po co?
- Trudno się nie zgodzić ze stwierdzeniem banku, że jeśli wyświetla się numer ich infolinii, to człowiek jest przekonany, że rozmawia z pracownikiem banku i staje się przez to ufniejszy. Tylko skoro bank zdaje sobie z tego sprawę i sam o tym pisze, że ktoś się pod niego podszywa i że jest to bardzo niebezpieczne, zatem dlaczego niezwłocznie nie zgłosił tego przestępstwa organom ścigania? - zastanawia się pani Alicja i dodaje: - A może przestępstwa wcale nie było?
Okazuje się, że w ostatnich dniach "bankowcy" dzwonili nie tylko do pani Alicji. W swoim najnowszym nagraniu znany youtuber Krzysztof Woźniak również przyznał, że dostał telefon z banku z ofertą zamiany kredytu ze zmiennym oprocentowaniem na kredyt ze stałym oprocentowaniem. Podobne historie opowiedzieli mu też jego znajomi.
Połączenia były wykonywane na chybił trafił - pracownicy infolinii mieli im proponować przejście na kredyt ze stałym oprocentowaniem. Wspomniani znajomi również nie byli klientami tych konkretnych banków, z których dzwoniono, część z nich nie miała zaciągniętych żadnych kredytów.
Według Woźniaka, akcja dzwonienia do przypadkowych osób może być zapowiedzią tego, że banki mają wiedzę, której zwykły Kowalski jeszcze nie ma, czyli np. tego, że inflacja będzie hamowała i stopy procentowe przestaną być podnoszone.
- Banki dość natarczywie zaczęły ludziom wciskać kredyty ze stałą stopą procentową. Ja i moi znajomi dostaliśmy telefony z banków, żeby zmienić swój kredyt ze zmienną stopą procentową na kredyt ze stałą stopą procentową. Co ciekawe, są przypadki, że te telefony dostawali nawet ci, którzy nie mają żadnych kredytów - opowiada Woźniak. Podkreśla, że połączenia te były przez jego znajomych zweryfikowane. Dzwonili pracownicy banków, a nie przestępcy.
Banki nie mają sobie nic do zarzucenia
Pani Alicja postanowiła zgłosić sprawę do Rzecznika Finansowego. Na infolinii urzędu połączono ją z dyżurującym pracownikiem, który poinformował ją, że podobnych zgłoszeń mają teraz bardzo wiele.
Zdaniem dr Joanny Kuleszy, ekspertki ds. cyberbezpieczeństwa z Fundacji im. Pułaskiego i prawniczki Uniwersytetu Łódzkiego, problem podszywania się pod banki jest powszechny na świecie i bardzo trudny do wyeliminowania, ponieważ za przestępczością tą stoją zwykle wyspecjalizowane grupy międzynarodowe, które posługują się narzędziami zapewniającymi im dużą anonimowość.
- Nie zwalnia to jednak banków z obowiązku ciągłego udoskonalania i zabezpieczenia swoich systemów - podkreśla nasza rozmówczyni.
Również urzędnicy Komisji Nadzoru Finansowego (KNF) w mailu do redakcji money.pl piszą, że nie istnieją w 100 proc. skuteczne zabezpieczenia chroniące przed podszywaniem się pod daną instytucję - bank, urząd, spółkę giełdową itp.
- Niestety powszechnie używane na świecie protokoły telekomunikacyjne wykorzystywane do połączeń telefonicznych, umożliwiają przestępcom skuteczne podszywanie się pod dowolny numer telefonu nadawcy. Odbywa się to poprzez wykorzystanie dostępnych w internecie serwisów, świadczących takie usługi za niewielką opłatą – czytamy w komunikacie prasowym KNF.
Bat na przestępców i telekomy
Eksperci od cyberbezpieczeństwa, z którymi rozmawiał money.pl, przyznają, że bez włączenia w walkę z cyberprzestępcami telekomów wiele zrobić się nie da. Wkrótce sytuacja ta ma się nieco zmienić. W lipcu do konsultacji społecznych trafił bowiem projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej.
Dzięki nowym przepisom przestępcom trudniej będzie podszyć się pod inne osoby lub podmioty, wykorzystując słabe punkty sieci telekomunikacyjnych.
Nowe przepisy mają zobowiązać firmy telekomunikacyjne do "podejmowania proporcjonalnych środków technicznych i organizacyjnych w celu zapobiegania nadużyciom i ich zwalczania".
Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT NASK) ma za zadanie analizowanie SMS-ów i tworzenie wzorców wiadomości, w których nadawca podszywa się pod kogoś innego (smishingowych) i informowanie o tym fakcie policji, Urzędu Komunikacji Elektronicznej oraz firm telekomunikacyjnych. Te zaś będą musiały niezwłocznie zablokować ich wysyłanie.
Projekt dopuszcza też blokowanie samodzielnie wiadomości, które operator telekomunikacyjny uzna za smishing.
Ponadto projekt nakłada na telekomy obowiązek zablokowania połączenia głosowego albo ukrycia identyfikacji numeru dla użytkownika końcowego w przypadku wystąpienia CLI spoofing (podszywania się pod osobę dzwoniącą).
CSIRT NASK ma też prowadzić jawną listę ostrzeżeń dotyczącą domen internetowych wyłudzających dane. Na wdrożenie rozwiązań umożliwiających podejmowanie tych działań firmy telekomunikacyjne będą mieć sześć miesięcy od wejścia ustawy w życie.
Za niewypełnianie nowych obowiązków prezes UKE będzie mógł nakładać na telekomy i dostawców poczty elektronicznej kary do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym.
Katarzyna Bartman, dziennikarka money.pl
*Imię czytelniczki zostało zmienione