Atac de tip vishing prin impersonalizarea numerelor de telefon ale băncilor
Spoofing-ul numărului de telefon este o tehnică de înșelăciune prin care un atacator își modifică numărul de telefon astfel încât să apară ca și cum apelul provine de la un alt număr de telefon.
Această metodă este utilizată pentru a induce în eroare victima, determinând-o să creadă că interlocutorul este o entitate legitimă, cum ar fi o bancă sau o instituție. Această tactică este adesea folosită pentru a extrage informații personale sau financiare sensibile.
Termenul „spoofing” a apărut pentru prima dată în anii ’80, asociat cu conceptul de „caller ID spoofing”. Inițial, tehnologia caller ID (identificatorul apelantului) a fost creată pentru a ajuta oamenii să vadă cine îi sună înainte de a răspunde la telefon. Cu toate acestea, odată cu răspândirea acestei tehnologii, unii indivizi au început să modifice modul în care numărul lor de telefon apare pe telefoanele apelanților. Acest lucru a fost făcut inițial pentru diverse glume și nu neapărat cu rea intenție.
Pe măsură ce tehnologia a evoluat, și capacitatea de a schimba identitatea a devenit mai sofisticată și mai accesibilă, ceea ce a dus la utilizarea ei în scopuri mai puțin inocente, precum fraudele și alte activități ilegale. Așadar, termenul de „spoofing” a început să fie asociat mai mult cu activitățile de înșelăciune și fraudă.
În contextul mai larg al securității informatice, spoofing-ul poate implica diverse forme de falsificare a identității, fiecare fiind utilizat pentru a manipula sistemele și a obține acces neautorizat la rețele sau informații. Aceste practici au devenit o preocupare majoră în domeniul securității cibernetice pe măsură ce au început să fie folosite în moduri din ce în ce mai dăunătoare și complexe.
Recent, am investigat o serie de rapoarte primite din partea comunității și am identificat o creștere alarmantă a tentativelor de fraudă folosind metode de spoofing, unde numere de telefon ale instituțiilor bancare sunt folosite pentru a induce în eroare victimele. Aceste apeluri pot fi atât de convingătoare încât chiar și cei mai vigilenți indivizi pot fi păcăliți să ofere informații confidentiale.
Noul mod de operare în escrocherii constă în contactarea telefonică de către indivizi care se prezintă drept reprezentanți ai unor instituții bancare cunoscute, cu privire la anumite operațiuni financiare presupuse a fi inițiate de către persoana contactată, cum ar fi aprobarea unui credit de nevoi personale sau investigarea unor plăți suspecte. Când victima contesta acesre acțiuni, îi sunt solicitate informații personale și financiare sub pretextul unor verificări suplimentare sau alertarea “departamentului antifraudă” ori a “Poliției Economice”.
Numărul folosit de către atacatori este chiar cel publicat de către bănci pe site-ul oficial în secțiunea de contact. Astfel, victima este indusă în eroare, crezând că este contactată într-adevăr de către respectiva bancă. Uneori, apelurile sunt efectuate de pe numere de telefon asemănătoare cu cele ale băncii (diferă o cifră sau două) pentru că de regulă băncile au un număr de telefon de contact unde pot primi apeluri, dar call center-ul folosește alte numere asemănătoare, poate chiar din aceeași plajă de numerotație.
Tehnicile de înșelăciune pot avea diverse grade de complexitate, în funcție de bugetele investite de către atacatori și scopul acestora.
Integrarea spoofing-ului cu tehnologii precum clonarea vocii sau videoclipurile deepfake poate duce la scenarii în care victimele sunt apelate video și ceea ce văd sau aud pare incredibil de autentic. În aceste apeluri, vocea și imaginea unei persoane cunoscute sau a unui consilier bancar pot fi simulate cu precizie, crescând semnificativ riscul de înșelăciune.
Instituțiile bancare reamintesc constant că nu solicită niciodată detalii personale sau financiare prin telefon. Un angajat al băncii are deja toate datele interlocutorului și cel mult confirmă cu acesta date de identificare în relația cu banca pentru a fi sigur că interlocutorul este într-adevăr persoana autorizată cu care să discute.
Verificarea independentă a numărului de telefon al instituțiilor printr-o sursă de încredere înainte de a oferi orice informație este un pas important în protejarea propriei securități. De asemenea, este important să raportăm orice apel suspect la autoritățile competente sau la instituțiile afectate.
Poliția Română, Directoratul Național de Securitate Cibernetică și Asociația Română a Băncilor au un proiect numit #SigurantaOnline, campanie de educație digitală care oferă cele mai bune practici de securitate cibernetică, prin accesarea platformei sigurantaonline.ro.
Pe scurt …
- Verificați sursa apelurilor: Nu luați de bune apelurile care pretind că provin de la bănci sau alte autorități. Verificați întotdeauna autenticitatea apelurilor printr-un canal de comunicare separat și oficial, înainte de a oferi orice informații personale sau sensibile.
- Nu furnizați date personale la telefon: Instituțiile financiare nu vor cere niciodată informații sensibile, cum ar fi datele cardului bancar sau parole, în cadrul apelurilor telefonice inițiate de ele. Evitați să răspundeți la astfel de solicitări și închideți apelul imediat.
- Raportați apelurile suspecte: Dacă primiți un apel care vi se pare dubios, informați imediat instituția în numele căreia se pretinde că a fost efectuat apelul. Aceasta ajută la identificarea rapidă a tentativelor de fraudă.
- Notificați autoritățile dacă ați fost victima fraudelor: Dacă ați divulgat accidental date personale sau ale cardului, contactați imediat banca pentru a bloca accesul la conturi și raportați incidentul la Poliție și la Directoratul Național de Securitate Cibernetică.
- Spuneți și altora despre aceste practici: Împărtășiți informații despre metodele de prevenire a fraudelor cu prietenii și familia pentru a crește conștientizarea și a reduce numărul potențial de victime ale acestor atacuri.
Dacă v-ați divulgat accidental datele cardului bancar, este esențial să contactați imediat banca pentru a bloca orice tranzacții neautorizate. În cazul în care constatați că ați suferit pierderi financiare ca urmare a acestui incident, este important să depuneți o plângere oficială la Poliție, fizic sau trimițând un e-mail la adresa petitii@politiaromana.ro.
De asemenea, informați Directoratul Național de Securitate Cibernetică despre situația întâmpinată, fie telefonic la numărul 1911, fie prin e-mail la alerts@dnsc.ro, pentru a contribui la prevenirea unor astfel de incidente în viitor.
CyberSkill este un proiect inițiat de Asociația Educație în Securitate Cibernetică, dedicat dezvoltării unei culturi digitale sigure și responsabile. Proiectul este conceput pentru a adresa provocările dinamice ale securității cibernetice prin educarea și responsabilizarea comunității, indiferent de vârstă sau nivelul de experiență. Misiunea CyberSkill este de a oferi acces la educație în domeniul securității cibernetice, facilitând dezvoltarea competențelor digitale necesare pentru a naviga în siguranță în spațiul cibernetic.