Recent am primit un apel telefonic care, la prima vedere, părea să vină de la o bancă cunoscută din România, Unicredit. Pe telefon am instalat aplicația TrueCaller, care identifică automat numerele de telefon pe baza agendelor utilizatorilor și a unei baze de date colaborative. Pe ecran a apărut “Unicredit” în momentul apelului. Pentru a fi sigur, am verificat rapid numărul pe internet și, într-adevăr, era alocat unei sucursale Unicredit.
Totuși, din primele 5 secunde ale apelului, mi-am dat seama că este o tentativă de scam. Modurile de abordare, tonul, și cererile formulate erau specifice tentativelor de fraudă prin telefon, așa-numitele atacuri de tip “vishing” (voice phishing).
Ce este spoofingul?
Deși numărul de telefon părea autentic, apelul nu venea de fapt de la banca respectivă. Această tehnică se numește spoofing. Spoofingul este o metodă de falsificare a identității prin care atacatorii modifică informațiile afișate la destinatar. În cazul telefoniei, atacatorul poate face să apară pe ecranul victimei un număr legitim, aparținând unei instituții cunoscute, chiar dacă apelul este efectuat dintr-o cu totul altă locație, adesea din afara țării.
Această tehnică este extrem de periculoasă pentru că oferă o falsă senzație de siguranță și autenticitate. Mulți utilizatori, văzând pe ecran numele unei bănci sau al unei instituții, tind să aibă întreaga încredere în interlocutor. Spoofingul este folosit frecvent în campanii de fraudă bancară, așa zisul suport tehnic din partea unei companii de renume, obținerea de date personale sau parole și multe alte pretexte unde practic imaginația atacatorului este singura barieră.
Cum am reacționat și cum s-a terminat apelul
Interlocutorul s-a prezentat cu un nume foarte rar. Nu voi divulga acest nume, pentru că nu acesta este scopul articolului. După câteva replici, am decis să mă prefac că nu înțeleg nimic din ce spune și i-am spus că a sunat la centrul de suport Amazon, un mic truc personal pentru a scurta conversația.
Apelul s-a încheiat repede. Din curiozitate, am căutat pe Google numele pe care l-a folosit. Am descoperit că persoana respectivă, pe care o vom numi Tudor, este agent de vânzări la un dealer auto și are expunere publică, cu multe apariții online, interviuri, profiluri sociale etc.
L-am apelat și i-am explicat că numele lui este folosit într-o campanie de fraudare. Din păcate, Tudor m-a repezit, nu a vrut să știe detalii și mi-a închis telefonul. După câteva minute m-a sunat el înapoi, nemulțumit că am numărul lui de telefon. A fost evident că niciodată nu a făcut efortul minim de a se căuta pe internet, să verifice dacă datele lui personale (inclusiv numărul de telefon) sunt publice.
După o discuție mai lungă, sper că a înțeleas că folosirea numelui său în scopuri ilegale împreună cu expunerea online pe care o are poate duce la prejudicii de imagine și reputație. Nu doar pentru el, ci și pentru compania unde activează. Din păcate, nu toată lumea are curiozitatea sau competențele de a verifica aceste riscuri.
Când numele sau imaginea unei persoane sunt folosite într-o campanie frauduloasă, pot apărea mai multe consecințe serioase, chiar dacă persoana respectivă nu are nicio legătură cu faptele:
- Prejudicii de imagine și reputație. Odată asociat cu o fraudă, chiar și fără voia ta, numele tău poate fi legat de acel context negativ. O simplă căutare online poate returna rezultate care, în ochii altora (clienți, angajatori, angajați, colaboratori), ridică semne de întrebare.
- Scăderea încrederii publice. Dacă ești o persoană expusă online (ex: agent de vânzări, manager, antreprenor), reputația este un activ esențial. Folosirea abuzivă a identității tale poate afecta încrederea pe care o au ceilalți în tine sau în compania ta.
- Expunere la plângeri sau reacții negative. Persoane care au fost păcălite pot încerca să te contacteze, să te acuze sau chiar să facă plângeri împotriva ta, crezând că ești implicat. Pot apărea situații în care ești nevoit să îți dovedești nevinovăția. Știu personal cel puțin 3 cazuri unde persoane nevinovate au trebuit să dovedească inclusiv cu înregistrări CCTV că nu ele au participat la diverse activități ilegale.
- Impact profesional. Angajatorii sau colaboratorii pot considera că ești un risc reputațional sau că nu îți protejezi suficient imaginea, mai ales dacă ai roluri de reprezentare sau vânzări.
- Stres personal și pierdere de timp. Pe lângă daunele de imagine, te poți confrunta cu stres, neplăceri și timp consumat pentru a explica situația, a cere ștergerea unor date de pe internet sau a te apăra public.
De ce este importantă recunoașterea tentativelor de fraudă telefonică
Eu am avut capacitatea să identific că apelul era fraudulos pentru că sunt antrenat. Pot să discern o situație autentică de una falsă, știu să identific semnalele de alarmă, știu ce întrebări să pun. Dar majoritatea persoanelor NU au aceste competențe. De multe ori, aceste apeluri vizează persoane vulnerabile:
- Tineri care nu au experiență de viață, nu cunosc procedurile bancare, nu sunt conștienți de riscuri.
- Seniori care pot fi ușor manipulați prin apeluri care invocă urgențe, amenzi, incidente medicale ale rudelor etc.
- Persoane cu un nivel scăzut de informare digitală, care nu știu că nicio bancă nu cere date prin telefon.
- Persoane aflate în situații de stres (ex: tocmai au avut o problemă financiară, așteaptă un apel chiar din partea unei instituții, etc.) care se identifică imediat cu motivul apelului și încep să colaboreze.
Fraudele telefonice folosesc aceste slăbiciuni. Ele apelează la emoții puternice: frică, urgență, panică sau chiar empatie. Atacatorii sunt manipulatori buni, au scripturi bine scrise și metode testate. Totul pentru a extrage date personale, coduri de acces, parole sau bani.
Cum te protejezi
Verifică orice apel suspect: Nu divulga niciodată informații personale sau financiare telefonic.
- Fii sceptic dacă sună cineva de la o bancă sau instituție publică și cere date personale. Atenție însă, că sunt situații când o bancă chiar are nevoie de nume, prenume și parola în relația cu banca, dar niciodată nu o să ceara datele cu caracter personal sau să efectuați transferuri bancare în timpul apelului.
- Caută pe internet numărul de telefon sau numele celui care sună.
- Folosește aplicații ca TrueCaller, SyncMe, Orange Phone, ACR Phone, dar nu te baza exclusiv pe ele.
- Educă-ți familia și cunoscuții despre aceste metode. Este singura metodă de prevenție eficientă.
Este util să faci periodic o căutare simplă după numele tău pe internet și să setezi alerte gratuite în Google Alerts pentru a fi notificat atunci când apar informații noi legate de tine. Pentru cei care doresc o protecție suplimentară, există și servicii specializate precum Bitdefender Identity Protection, care monitorizează inclusiv Dark Web-ul pentru a detecta scurgeri de date personale. Aceste măsuri pot preveni folosirea abuzivă a identității tale în campanii de fraudă.
Pârghiile de control sunt și la producătorii de telefoane mobile. Nu ar trebui să fie accesibile aplicațiile catalogate ca fiind de banking în timpul unui apel. La fel de bine nu ar trebui să fie accesibile aplicațiile dacă există instalată pe telefon o aplicație de tip AnyDesk, AirDroid Business, TeamViewer etc. Și totuși, din păcate această libertate în utilizarea telefonului mobil este exploatată de către persoane rău voitoare.
Nu toți pot fi salvați – așa cum spunea tatăl meu. Dar putem reduce considerabil impactul campaniilor de fraudă dacă discutăm deschis despre ele, ne informăm și reacționăm prompt atunci când le identificăm. Protecția în fața acestor amenințări înseamnă, în primul rând, conștientizare.
Ai avut o experiență similară? Scrie-ne pentru a transmite mai departe informația și a ajuta comunitatea!