Metoda na pracownika banku
 |
| Źródło własne oraz Pixabay |
Ostatnio w moim życiu pojawił się ten temat. Czytałem o nim jeszcze kilka miesięcy temu, ale nie zainteresowało mnie to na tyle, by zagłębiać się w tym. Jednak kilka dni temu, moja babcia prawie, że stała się ofiarą metody "na pracownika banku".
Historia jak każda inna
Dzwoni telefon, a tam informacja, że to telefon z banku. Jak puściłem babci nagranie z niebezpieczenika, to potwierdziła, że wszystko praktycznie tak samo. Cechą charakterystyczną był wschodni akcent rozmówcy. I "departament bezpieczeństwa", dalej nazwa banku pod który się przestępca podszywa.
Tutaj jest jednak happy end, ponieważ w pewnym momencie babcia zadzwoniła do mamy, więc ta przyjechała natychmiast i rozłączyła jej telefon z Internetem.
W między czasie przestępcą udało się wziąć kredyt na kwotę ponad 5 tysięcy złotych, ale nie udało im się tego przelać na swoje konto, co pomogło w jego unieważnieniu.
Oczywiście posłużono się klasycznie oprogramowaniem Team Viewer, swoją drogą szkoda mi twórców Team Viewer oraz AnyDesk ponieważ, są to programy które przez tego typu przestępstwa kojarzą się raczej negatywnie.
Co później się działo ?
Przestępcom nie udało się w pełni zrealizować planu. Kredyt wzięli ale konta nie wyczyścili. To dzięki interwencji mamy i temu, że babcia się w porę zorientowała, że to nie telefon z banku. Oni jednak nie odpuścili tego samego dnia dzwonili jeszcze 19 razy a następnego dnia 6.
Bank unieważnił kredyt, ponieważ pieniądze nie zostały z konta pobrane.
Wina banków ?
Świadomość o przestępczości cyfrowej jest potrzebna, żeby się zabezpieczyć. Bank nie poprosi nas o instalację żadnego oprogramowania a tym samym nigdy nie poprosi o hasła do kont etc. Jednak odpowiedzialność za bezpieczeństwo nie powinien ponosić tylko użytkownik. Bank również powinien dołożyć wszelkich starań aby zapewnić bezpieczeństwo po swojej stronie.
Zawsze mnie zastanawia, jak to jest możliwe, że można z cudzym dowodem otrzymać kredyt.
Jeżeli bank (pracownik ale on jest przedstawicielem tej instytucji) widzi, że osoba z dowodem wygląda zupełnie inaczej niż na dowodzie i nie może być tym kim się legitymuje, to jakim cudem udziela kredytu/pożyczki ? Obowiązkiem banku powinno być zweryfikowanie tożsamości kredytobiorcy. Jeżeli kredyt zostanie udzielony osobie, która podszywa się pod kogoś innego, ofiara takiego przestępstwa nie powinna odpowiadać za to, kredyt unieważniony z urzędu.
To samo z kredytem przez Internet. Bank ma obowiązek weryfikacji a: login, hasło, pin czy sms nie jest weryfikacją użytkownika. Ponieważ każdy może się zalogować, a znając obecną metodę można tego sms-a przechwycić. W efekcie czego, weryfikacja nie jest w pełni możliwa.
Należało by zastanowić się nad pewnym systemem państwowym, który utrudnił by przestępcą podszywanie się pod innych. Przykładowo z urzędu unieważniając kredyt osobie, pod którą ktoś się podszył a bank takiego kredytu udzielił.
Dowód a człowiek ok, ale co z kredytem przez Internet ?
Tutaj nieco inaczej, jeżeli ktoś chce otrzymać kredyt przez Internet może to zrobić. Jednak ostateczne jego odebranie powinno odbyć się w placówce. Za pomocą aplikacji, osoba chcąca otrzymać kredyt powinna złożyć wniosek, on zostanie rozpatrzony i ostateczne potwierdzenie powinno odbyć się w placówce banku. Przez np. umówienie się w konkretnej placówce bądź zgłoszenie się do dowolnej placówki np. w przeciągu 48 godzin od momentu pozytywnego rozpatrzenia.
Osoba która złożyła wniosek musi osobiście się stawić by podpisać kredyt. To plus obowiązek weryfikacji, by mieć 100% pewność, że jest to osoba ta która złożyła wniosek, zapewni większe bezpieczeństwo niż pseudo weryfikacja przez sms.
Wniosek prosty
Banki powinny zacząć odpowiadać za swoje pomyłki czy błędy w systemie. Jednocześnie należy jednak uświadamiać ludzi o tym, że niebezpieczeństwa są i nie jest wcale trudno stać się ofiarą takiego ataku. Jest to jednak nie atak hackerski w rozumieniu jakiś podejrzanych linków z wirusami a raczej socjotechnika polegająca na przekonaniu, że rozmawia z prawdziwym pracownikiem banku.
Linki:
https://pieniadze.rp.pl/konta-bankowe/art19289241-wyczyscili-konto-z-pieniedzy-i-wzieli-kredyt-dorosly-a-naiwny-jak-dziecko - ten artykuł zainspirował mnie do napisania tego.