Nie tylko PESEL. Wyciek tych danych pomaga oszustom w kradzieży pieniędzy

Bartłomiej Drozd, powołując się na dane CERT Polska, zwrócił uwagę, że liczba przypadków phishingu w 2022 r. sięgnęła prawie 40 tys., czyli o 36 proc. więcej niż rok wcześniej.

W ocenie eksperta serwisu ChronPESEL.pl będącego partnerem Krajowego Rejestru Długów "nic nie wskazuje na to, aby w tym roku ta dynamika zmalała". Wyjaśnił, że w każdym miesiącu są ujawniane przypadki podszywania się przestępców pod instytucje lub firmy, a ich celem jest wyłudzenie poufnych danych (PESEL, login i hasło do konta w banku itp.).

- To tzw. phishing. Ale do takiego ataku potrzebne są dane kontaktowe do potencjalnych ofiar. Te zdobywa się, wykradając je ze słabo zabezpieczonych baz danych lub kupując na czarnym rynku - wyjaśnił.

Drozd stwierdził, że wiele osób lekceważy takie informacje, uważając, że sam numer telefonu nie wystarczy do tego, żeby dokonać na konto jego posiadacza wyłudzenia czegokolwiek. - Nic bardziej mylnego - przestrzegł. Wyjaśnił, że obserwuje coraz większą popularność tzw. vishingu, czyli podszywania się przez przestępców pod znaną instytucję lub firmę w rozmowie telefonicznej.

Telefony do Polaków

Ekspert zwrócił uwagę, że dzięki kampaniom edukacyjnym coraz więcej Polaków nie klika już w linki rozsyłane w e-mailach lub SMS-ach. Przestępcy zaczęli więc na dużą skalę dzwonić do potencjalnych ofiar, przedstawiając się jako reprezentanci firm lub instytucji, których są klientami - dodał. - To usypia ich czujność do tego stopnia, że w trakcie rozmowy podają im dane, które są potem wykorzystywane do wyłudzeń - zaznaczył.

Przezorni sprawdzają na wszelki wypadek, czy numer telefonu, z którego dzwoni do nich rzekomy przedstawiciel firmy lub instytucji na pewno do niej należy. - To była dobra metoda weryfikacji jeszcze kilka lat temu. Dzisiaj usługa VoIP jest tak powszechna, że pozwala na sfałszowanie numeru telefonu wyświetlającego się w telefonie ofiary - przestrzegł.

Scenariusze ataków vishingowych mają zawsze taki sam cel - nakłonienie ofiary do podania wrażliwych danych lub podjęcia określonej czynności. - Przestępcy, wiedząc, że byliśmy klientami danej firmy, bo z niej wykradli przecież nasze imię i nazwisko i numer telefonu, mogą odwoływać się w rozmowie do zawartych wcześniej transakcji, aby się uwiarygodnić, a potem nakłonić do podania wrażliwych danych - wyjaśnił. Najczęstszą metodą podszywania się jest - jak zauważył - podawanie się za pracownika banku, policjanta, pracownika sklepu internetowego lub urzędnika.

- Rzekomy policjant informuje nas np. o znalezieniu naszych dokumentów i prosi o numer PESEL, żeby potwierdzić, że faktycznie należą do nas. Pracownik banku ostrzeże, że na naszym koncie trwają próby jakiś podejrzanych transakcji i potrzebują naszych danych do ich przerwania - wskazał.

Cyberprzestępczość

W przypadku wycieków ze sklepów internetowych cyberprzestępcy mogą podawać się też za osobę odpowiadającą za nasz zakup. Wtedy poinformują nas w rozmowie telefonicznej o błędzie transakcji i poproszą o to, żebyśmy na linii podali im wymagane dane, w celu wznowienia zakupu. Urzędnik skarbowy ostrzeże o błędach w zeznaniu podatkowym i zaoferuje pomoc w ich usunięciu, żeby uniknąć kary. Aby zweryfikować, że my to my, poprosi o PESEL - wyjaśnił mechanizm działania przestępców Drozd.

Jak ostrzegł, potrafią oni tak manipulować rozmową, że bez problemu uśpią naszą czujność, a potem nakłonią do podania szeregu danych, które wykorzystają później do wyłudzeń. - Z reguły ostrzegają nas przed zagrożeniem, nalegając na szybką reakcję. Nigdy nie gódźmy się na coś takiego. Taką rozmowę należy przerwać i zadzwonić do instytucji lub firmy, na którą rozmówca się powoływał i zapytać, czy na pewno jest ich pracownikiem - podkreślił Drozd.

Podsumował, że nasze dane osobowe to nie tylko PESEL, ale też e-mail, którym posługujemy się na co dzień, czy numer telefonu.

• Powiadomienia PUSH w aplikacji mObywatel
• Aplikacja mObywatel. Już wkrótce elektroniczny dowód będzie uznawany w bankach i urzędach

PAP,pkur