Phishing na numer telefonu w banku

TL;DR

Phishing na numer telefonu w banku wykorzystuje pozornie zwykłą aktualizację danych. Odbiorca dostaje wiadomość, że w profilu klienta brakuje numeru telefonu albo numer wymaga ponownego potwierdzenia. Brak reakcji ma prowadzić do ograniczenia funkcji rachunku, problemów z komunikacją albo utrudnień w obsłudze bankowości.

W przykładzie opisanym przez Fraudehelpdesk przestępcy podszywali się pod SNS Bank i użyli terminu granicznego, uprzejmego języka oraz przycisku prowadzącego do rzekomej oficjalnej strony. To prosty scenariusz, ale bardzo wiarygodny, bo numer telefonu jest dziś częścią bezpieczeństwa bankowego: służy do kontaktu, alertów, potwierdzania operacji, obsługi aplikacji mobilnej i odzyskiwania dostępu.

Najważniejsza zasada jest konkretna: danych bankowych, numeru telefonu, loginu, hasła, kodu SMS, kodu BLIK ani potwierdzeń w aplikacji nie aktualizuje się z linku w wiadomości. Jeżeli bank wymaga zmiany danych, sprawa powinna być widoczna w oficjalnej aplikacji, po samodzielnym wejściu na stronę banku albo po kontakcie z infolinią znalezioną niezależnie.

Numer telefonu nie jest drobną daną

W phishingu bankowym użytkownicy często skupiają się na haśle, PIN-ie i kodzie SMS. Numer telefonu może wydawać się mniej wrażliwy, bo wiele osób podaje go w formularzach, sklepach, usługach kurierskich i aplikacjach. W bankowości ta sama informacja ma jednak zupełnie inną wagę.

Numer telefonu może być powiązany z alertami bezpieczeństwa, autoryzacją, bankowością mobilną, obsługą karty, kontaktem z infolinią, powiadomieniami o transakcjach i odzyskiwaniem dostępu. Może być też użyty do kolejnego etapu ataku, czyli vishingu. Vishing to phishing prowadzony przez rozmowę telefoniczną, w której oszust podszywa się na przykład pod bank, policję, operatora albo pracownika wsparcia.

Właśnie dlatego fałszywa prośba o aktualizację numeru telefonu jest skuteczna. Nie brzmi jak bezpośrednia kradzież pieniędzy. Brzmi jak porządkowanie profilu klienta, poprawa bezpieczeństwa albo dostosowanie danych do wymogów banku. Atakujący może zacząć od informacji, która wydaje się pomocnicza, a dopiero później przejść do przejęcia konta, kodów albo decyzji finansowej.

W praktyce to nadal klasyczny phishing, tylko oparty na drobniejszym pretekście. Celem nie zawsze jest natychmiastowy przelew. Czasem celem jest zebranie informacji, które za kilka godzin pozwolą zadzwonić do ofiary z bardziej przekonującą historią.

Jak działa fałszywa weryfikacja w banku

Scenariusz opisany przez Fraudehelpdesk jest dobrze zbudowany socjotechnicznie. Wiadomość nie zaczyna się od dramatycznej blokady konta. Informuje, że w danych klienta brakuje numeru telefonu, a bank miał już wcześniej prosić o jego uzupełnienie. Następnie pojawia się termin i informacja, że brak aktualnych danych może prowadzić do ograniczeń w korzystaniu z rachunku albo opóźnień w ważnej komunikacji.

To tworzy kilka warstw presji. Po pierwsze, odbiorca może poczuć, że zaniedbał wcześniejszą prośbę. Po drugie, widzi konkretną datę. Po trzecie, konsekwencja dotyczy dostępu do bankowości, więc sprawa wydaje się pilna. Po czwarte, link w wiadomości wygląda jak wygodna ścieżka do szybkiego zamknięcia tematu.

Atakujący nie musi przekonywać użytkownika do podejrzanej operacji. Wystarczy, że nada czynności charakter obowiązkowej administracji. Uzupełnienie numeru telefonu wygląda mniej groźnie niż przelew, a jednak może prowadzić do tego samego skutku: przejęcia danych, dalszej rozmowy z oszustem albo wejścia na fałszywą stronę logowania.

W wielu kampaniach po kliknięciu użytkownik trafia na stronę przypominającą bankowość elektroniczną. Formularz może prosić najpierw o dane kontaktowe, później o login, hasło, numer klienta, kod SMS, kod z aplikacji lub potwierdzenie operacji. Kolejność bywa celowo stopniowa, aby odbiorca nie zatrzymał się zbyt wcześnie.

Presja terminu i groźba ograniczenia rachunku

Groźba ograniczenia funkcji rachunku jest jednym z najczęstszych mechanizmów manipulacji w phishingu bankowym. Użytkownik nie musi być pewien, czy wiadomość jest prawdziwa. Wystarczy, że obawia się, że ignorowanie jej może skończyć się blokadą konta, problemem z kartą albo utratą dostępu do aplikacji.

Presja terminu skraca czas namysłu. Odbiorca przestaje pytać, czy to naprawdę bank, a zaczyna myśleć, że sprawę trzeba załatwić przed wskazaną datą. To szczególnie działa w telefonie, gdy użytkownik czyta wiadomość między innymi zadaniami i chce szybko pozbyć się problemu.

Podobny mechanizm pojawia się w smishingu: dopłata do paczki, blokada konta, mandat, aktualizacja aplikacji, potwierdzenie karty, weryfikacja danych. Wariant bankowy z numerem telefonu jest groźny, bo wygląda jak procedura bezpieczeństwa. Przestępca nie walczy z czujnością użytkownika. Udaje, że ją wspiera.

Dla firm i zespołów bezpieczeństwa to ważna lekcja. Użytkownicy mogą rozpoznawać oczywiste prośby o hasło, ale nadal reagować na wiadomości o aktualizacji danych, urządzeniach zaufanych, numerze telefonu, aplikacji mobilnej albo powiadomieniach bezpieczeństwa. To właśnie te miękkie punkty procesu trzeba ćwiczyć.

Polski wariant: bank, BLIK i aplikacja mobilna

W Polsce podobny atak mógłby podszywać się pod dowolny bank, operatora płatności, BLIK, aplikację mobilną, kartę płatniczą albo dział bezpieczeństwa. Wiadomość mogłaby informować o konieczności potwierdzenia numeru do autoryzacji, aktualizacji aplikacji bankowej, przypisania urządzenia zaufanego, ponownego włączenia powiadomień, zgodności danych z profilem klienta albo odblokowania funkcji karty.

Użytkownik wie, że banki korzystają z numeru telefonu i aplikacji mobilnych. Wie też, że potwierdzenia transakcji, alerty i komunikaty bezpieczeństwa przychodzą różnymi kanałami. To sprawia, że fałszywa prośba o aktualizację nie brzmi absurdalnie. Przeciwnie, może wyglądać jak naturalna część korzystania z bankowości elektronicznej.

Polski wariant może łączyć e-mail, SMS i telefon. Najpierw przychodzi wiadomość o aktualizacji numeru. Później oszust dzwoni jako konsultant banku i mówi, że pomaga dokończyć proces. Może znać imię, numer telefonu, bank albo fakt, że użytkownik kliknął link. Taka rozmowa jest bardziej przekonująca, bo odbiorca ma poczucie ciągłości zdarzeń.

W firmach analogiczny mechanizm może dotyczyć numeru telefonu do MFA, czyli wieloskładnikowego uwierzytelniania, aplikacji Microsoft Authenticator, Google Authenticator, systemu HR, podpisu elektronicznego, VPN, portalu benefitowego, systemu finansowego albo konta administratora. Zamiast banku pojawia się usługa firmowa, ale decyzja użytkownika jest podobna: czy uzupełnić dane z linku, bo system twierdzi, że bez tego ograniczy dostęp.

Kiedy aktualizacja danych prowadzi do vishingu

Fałszywa aktualizacja numeru telefonu może być przygotowaniem do rozmowy. Jeżeli użytkownik poda dane na stronie, oszust może później zadzwonić i powołać się na rozpoczęty proces. To tworzy wiarygodną narrację: wypełnił pan formularz, zgłoszenie wymaga potwierdzenia, musimy zabezpieczyć konto, proszę potwierdzić kod, proszę nie rozłączać się.

Tak działa połączenie phishingu i vishingu. Wiadomość buduje pierwszy kontekst, a rozmowa przejmuje kontrolę nad decyzją. Oszust może udawać konsultanta, analityka bezpieczeństwa, pracownika działu antyfraudowego albo operatora infolinii. Może też wysyłać kolejne SMS-y, które rzekomo potwierdzają jego tożsamość.

W praktyce rozmówca może nakłaniać do podania kodu SMS, zatwierdzenia powiadomienia w aplikacji, wygenerowania kodu BLIK, instalacji aplikacji do zdalnej pomocy albo przelania środków na tak zwane bezpieczne konto. Jeżeli użytkownik jest już w procesie zapoczątkowanym przez e-mail, łatwiej przeoczy moment, w którym aktualizacja danych zmienia się w przejęcie pieniędzy.

Dlatego przy każdym kontakcie bankowym warto stosować zasadę rozłączenia i samodzielnego powrotu do banku. Prawdziwa instytucja nie potrzebuje, aby klient pozostał na linii, nie kontaktował się z bliskimi i wykonywał instrukcje w pośpiechu. Jeżeli rozmówca zabrania rozłączenia albo buduje presję tajemnicy, to sygnał alarmowy.

Jak sprawdzić prośbę o aktualizację numeru

Aktualizacji numeru telefonu nie należy zaczynać od linku w wiadomości. Trzeba otworzyć oficjalną aplikację banku, wpisać adres banku ręcznie albo skorzystać z numeru infolinii znalezionego na karcie, w aplikacji lub na stronie wpisanej samodzielnie. Jeśli aktualizacja naprawdę jest wymagana, informacja powinna być widoczna w oficjalnym kanale.

Nie należy korzystać z numeru telefonu podanego w podejrzanej wiadomości. Nie należy też odpisywać na e-mail, przesyłać skanu dokumentu, podawać numeru klienta, loginu, hasła, kodu SMS, kodu BLIK ani danych karty. Bank może weryfikować klienta, ale nie potrzebuje, aby klient przechodził proces z linku otrzymanego w podejrzanej wiadomości.

Warto też sprawdzić adres strony. Fałszywe domeny mogą zawierać nazwę banku, słowa typu secure, login, verify, update, customer albo bankowość. Mogą mieć certyfikat HTTPS i wyglądać profesjonalnie. Certyfikat nie oznacza, że strona należy do banku. Oznacza tylko, że połączenie z daną domeną jest szyfrowane.

Jeżeli wiadomość przyszła SMS-em, podejrzany SMS w Polsce można przekazać do CERT Polska na numer 8080. Jeżeli przyszła e-mailem, warto zgłosić ją bankowi i zachować oryginalną wiadomość do analizy, zamiast kasować ją od razu.

Co zrobić, jeśli to już się stało

Jeżeli użytkownik kliknął link, ale nie podał danych, powinien zamknąć stronę, nie wracać do linku i zgłosić wiadomość bankowi lub zespołowi IT, jeśli zdarzenie dotyczyło urządzenia firmowego. Samo kliknięcie nie zawsze oznacza przejęcie konta, ale może być sygnałem, że podobna wiadomość trafiła do większej liczby osób.

Jeżeli użytkownik podał numer telefonu, imię, nazwisko, PESEL, adres, numer klienta albo inne dane identyfikacyjne, powinien przygotować się na kolejny etap ataku. Oszust może zadzwonić jako bank, operator, Policja albo konsultant bezpieczeństwa. Każdy taki kontakt trzeba przerwać i zweryfikować samodzielnie, przez oficjalny numer.

Jeżeli użytkownik podał login, hasło, kod SMS, kod BLIK albo zatwierdził operację w aplikacji, trzeba natychmiast skontaktować się z bankiem. Priorytetem jest blokada podejrzanych operacji, zmiana hasła, sprawdzenie urządzeń zaufanych, limitów, odbiorców zaufanych, historii transakcji i aktywnych sesji. Nie należy czekać, aż bank sam zauważy problem.

Jeżeli rozmówca nakłonił użytkownika do instalacji aplikacji zdalnego dostępu, urządzenie należy odłączyć od internetu i skontaktować się z bankiem oraz zaufaną pomocą techniczną. Taka aplikacja może pozwolić oszustowi widzieć ekran, przejmować kontrolę, obserwować logowanie i zatwierdzać działania razem z ofiarą.

Jeżeli zdarzenie miało miejsce na komputerze służbowym albo dotyczyło służbowego numeru telefonu używanego do MFA, incydent należy zgłosić do IT, helpdesku lub SOC. Zespół techniczny powinien sprawdzić, czy nie doszło do przejęcia konta, czy nie pojawiły się nowe metody uwierzytelniania, czy nie zmieniono numeru telefonu i czy podobny phishing nie trafił do innych pracowników.

Co powinna zrobić organizacja

W firmach numer telefonu często pełni funkcję pomocniczą, ale w praktyce bywa elementem bezpieczeństwa. Może służyć do MFA, resetu hasła, kontaktu z helpdeskiem, potwierdzania zmian w HR, odbioru kodów, autoryzacji transakcji, dostępu do VPN albo kontaktu z dostawcami usług. Dlatego fałszywa aktualizacja numeru telefonu nie jest drobnym incydentem administracyjnym.

Organizacja powinna jasno określić, gdzie i jak zmienia się numer telefonu powiązany z kontami firmowymi. Pracownik nie powinien przyjmować, że każda wiadomość z linkiem do aktualizacji jest prawdziwa, nawet jeśli wygląda jak komunikat z działu IT, HR, banku, operatora albo dostawcy SaaS. Zmiany danych kontaktowych powinny przechodzić przez znany portal, aplikację lub proces helpdeskowy.

Zespół IT lub Security powinien monitorować zmiany metod MFA, dodawanie nowych numerów, nowe urządzenia, nietypowe logowania, reset haseł, zgody OAuth, reguły pocztowe i próby przejęcia sesji. Jeżeli phishing dotyczył numeru telefonu, należy sprawdzić nie tylko pocztę, ale też tożsamość użytkownika i kanały odzyskiwania dostępu.

W testach phishingowych dla firm taki scenariusz warto ćwiczyć, bo pokazuje fałszywy proces, a nie tylko fałszywy formularz. Użytkownik powinien rozpoznać, że zmiana numeru telefonu, urządzenia zaufanego albo metody MFA wymaga niezależnej weryfikacji, nawet jeśli wiadomość wygląda administracyjnie i nie prosi od razu o hasło.

Jak ćwiczyć ten scenariusz w awareness

Scenariusz aktualizacji numeru telefonu dobrze nadaje się do edukacji, bo jest mniej oczywisty niż klasyczny phishing na hasło. Użytkownik nie widzi od razu prośby o pieniądze. Widzi rutynową prośbę o dane, których bank albo firma rzeczywiście może potrzebować. To dobry test momentu zatrzymania.

W ćwiczeniu można pokazać kilka etapów: wiadomość o brakującym numerze, link do fałszywego panelu, prośbę o login, prośbę o kod, a następnie telefon od rzekomego konsultanta. Nie trzeba prowadzić użytkownika przez cały łańcuch w sposób agresywny. Wystarczy sprawdzić, czy wie, że proces trzeba przerwać i wrócić do oficjalnego kanału.

Dobra metryka nie kończy się na kliknięciu. Warto mierzyć, czy użytkownik podał dane, czy zatrzymał się przed formularzem, czy zgłosił wiadomość, czy zadzwonił pod numer z maila, czy potrafił opisać, co zrobił i czy organizacja umiała odpowiednio zareagować.

Ten scenariusz ma też wartość dla zespołów IT i SOC. Pozwala sprawdzić, czy organizacja widzi zmianę numeru telefonu, nową metodę MFA, nietypowe logowanie i próbę resetu hasła. Awareness bez technicznej reakcji daje tylko część odporności.

Wniosek

Fałszywa weryfikacja numeru telefonu w banku pokazuje, że phishing nie musi zaczynać się od hasła ani przelewu. Może zacząć się od pozornie niewinnej aktualizacji danych, która wygląda jak element bezpieczeństwa konta. Właśnie dlatego jest skuteczna.

Praktyczna zasada jest prosta: spraw bankowych, numerów telefonu, kodów, urządzeń zaufanych i danych do odzyskiwania dostępu nie aktualizuje się z linku w wiadomości. Najpierw trzeba wyjść z maila albo SMS-a, wejść do oficjalnej aplikacji lub strony samodzielnie i sprawdzić, czy taka prośba naprawdę istnieje. Jeśli aktualizacja jest prawdziwa, będzie dostępna w kanale, który kontroluje bank. Jeśli istnieje tylko w linku z wiadomości, to nie jest procedura bezpieczeństwa, tylko próba przejęcia decyzji użytkownika.