Vishing i smishing na seniorów

TL;DR

Vishing i smishing na seniorów to oszustwa, w których przestępca wykorzystuje telefon, SMS, presję czasu i autorytet instytucji, aby nakłonić ofiarę do przekazania kodu, danych, pieniędzy albo dostępu do urządzenia. Vishing działa przez rozmowę telefoniczną. Smishing działa przez wiadomość SMS z linkiem, instrukcją albo pretekstem do kontaktu.

Belgijski Safeonweb ostrzegł przed podejrzanymi telefonami i SMS-ami po przechwyceniu niepotwierdzonej informacji z dark webu, w której ktoś twierdził, że posiada dane telefoniczne starszych osób w Belgii. Nie potwierdzono, czy dane są prawdziwe, skąd pochodzą ani ilu osób mogą dotyczyć. Mimo to alert dobrze pokazuje realne ryzyko: sam numer telefonu, połączony z wiekiem, imieniem, miastem albo historią z wcześniejszego wycieku, może wystarczyć do przekonującej rozmowy socjotechnicznej.

W Polsce taki scenariusz może działać przez podszycie pod bank, Policję, ZUS, urząd skarbowy, operatora telekomunikacyjnego, NFZ, przychodnię, ubezpieczyciela, dostawcę energii albo członka rodziny. Najważniejsza zasada jest praktyczna: jeśli rozmowa lub SMS dotyczy pieniędzy, kodów, konta, BLIK-a, instalacji aplikacji albo pilnej weryfikacji, trzeba przerwać kontakt i sprawdzić sprawę innym kanałem.

Telefon jest kanałem phishingu

Wiele osób nadal kojarzy phishing głównie z e-mailem. Tymczasem telefon i SMS często są skuteczniejsze, bo omijają część naturalnego dystansu. E-mail można przeczytać drugi raz, przesłać do IT albo porównać z poprzednimi wiadomościami. Rozmowa dzieje się tu i teraz. Oszust słyszy wahanie, odpowiada na pytania, zwiększa presję i zmienia historię, jeśli widzi, że pierwsza wersja nie działa.

Vishing może zacząć się od informacji o podejrzanej płatności, zablokowanej karcie, rzekomym kredycie, policyjnej akcji, infekcji telefonu, problemie z kontem, zaległości w urzędzie albo pilnej pomocy dla członka rodziny. Smishing może dołożyć link do płatności, fałszywej aplikacji, strony banku, potwierdzenia paczki, weryfikacji danych albo rzekomego zabezpieczenia środków.

Najgroźniejsze jest połączenie kanałów. Najpierw przychodzi SMS z linkiem, później telefon od rzekomego konsultanta. Albo odwrotnie: rozmówca informuje o problemie i po chwili wysyła wiadomość z instrukcją. Dla ofiary wygląda to spójnie, bo telefon i SMS potwierdzają się nawzajem. W rzeczywistości oba kanały kontroluje ten sam napastnik.

Jeżeli przestępca ma numer telefonu i kilka dodatkowych danych, rozmowa może brzmieć wiarygodnie. Nie musi znać pełnej historii życia ofiary. Wystarczy imię, przybliżony wiek, miasto, operator, bank, informacja o rodzinie albo ogólny kontekst, który pasuje do wielu osób. Socjotechnika polega na tym, żeby odbiorca sam dopowiedział resztę.

Dlaczego seniorzy są częstym celem

Seniorzy są celem nie dlatego, że są naiwni. Są celem dlatego, że przestępcy kalkulują skuteczność historii. Osoba starsza może częściej reagować na autorytet banku, Policji, urzędu, lekarza, operatora albo członka rodziny. Może też mieć silniejszą obawę przed konsekwencjami formalnymi, utratą oszczędności, problemem zdrowotnym albo kłopotami bliskiej osoby.

Oszust nie musi zaczynać od agresji. Często zaczyna od troski. Informuje, że ktoś próbuje ukraść pieniądze z konta. Że bank wykrył podejrzaną operację. Że trzeba pomóc w akcji Policji. Że wnuk lub córka ma pilny problem. Że karta zostanie zablokowana. Że telefon jest zainfekowany. Że trzeba szybko potwierdzić tożsamość.

Później pojawia się izolacja. Rozmówca prosi, aby nie rozłączać się, nie dzwonić do rodziny, nie kontaktować się z bankiem, nie mówić nikomu, bo sprawa jest tajna albo pilna. To jeden z najważniejszych sygnałów alarmowych. Prawdziwa instytucja nie potrzebuje, aby obywatel działał w panice i nie konsultował sprawy z nikim zaufanym.

Presja czasu działa szczególnie mocno wtedy, gdy rozmowa dotyczy oszczędności życia, emerytury, konta bankowego, zdrowia albo rodziny. Dlatego ochrona seniorów nie może polegać tylko na ogólnym ostrzeganiu przed oszustami. Potrzebna jest prosta procedura, którą można wykonać w stresie.

Dane z wycieków zwiększają wiarygodność

Niepotwierdzona informacja z dark webu nie jest jeszcze dowodem konkretnego wycieku. Safeonweb wyraźnie wskazuje, że w belgijskim przypadku nie wiadomo, czy dane są prawdziwe, skąd pochodzą ani ilu osób dotyczą. Z perspektywy bezpieczeństwa sama możliwość krążenia takich baz jest jednak ważna, bo pokazuje, jak działają oszustwa telefoniczne po wyciekach.

Numer telefonu może być samodzielną przynętą. Jeżeli zostanie połączony z imieniem, wiekiem, adresem, nazwą banku, operatorem, usługą medyczną, historią zakupów albo informacją o rodzinie, daje napastnikowi materiał do rozmowy. Oszust może zadzwonić i użyć kilku prawdziwych szczegółów, aby reszta historii brzmiała bardziej wiarygodnie.

Dane nie muszą pochodzić z jednego spektakularnego wycieku. Mogą być zlepione z wielu źródeł: starych baz marketingowych, formularzy internetowych, wycieków sklepów, portali, fałszywych konkursów, mediów społecznościowych, przejętych skrzynek albo wcześniejszych kampanii phishingowych. Dla ofiary nie ma znaczenia, skąd dokładnie napastnik zna numer. Liczy się to, że potrafi użyć go w przekonujący sposób.

Dlatego po każdym dużym wycieku danych warto przypominać ludziom, że skutkiem może być nie tylko spam. Skutkiem może być telefon od osoby, która zna część prawdy i wykorzystuje ją do zbudowania kłamstwa.

Polski wariant: bank, Policja, ZUS i BLIK

W Polsce najczęstsze warianty rozmów mogą podszywać się pod bank, Policję, prokuraturę, ZUS, urząd skarbowy, operatora telekomunikacyjnego, NFZ, przychodnię, dostawcę energii, firmę kurierską, ubezpieczyciela albo członka rodziny. Zmienia się pretekst, ale cel pozostaje podobny: kod, przelew, dane, dostęp do urządzenia albo zgoda na operację.

Bankowy wariant zwykle zaczyna się od informacji o podejrzanej płatności, kredycie zaciągniętym na dane ofiary albo zagrożeniu konta. Oszust może przekonywać, że trzeba przelać pieniądze na bezpieczne konto, podać kod BLIK, zainstalować aplikację do zdalnej pomocy albo potwierdzić operację w aplikacji bankowej. To nie jest pomoc banku. To próba przejęcia decyzji finansowej.

Policyjny wariant wykorzystuje autorytet. Rozmówca może twierdzić, że trwa tajna akcja przeciw przestępcom, że pracownicy banku są podejrzani albo że ofiara musi pomóc w zatrzymaniu oszustów. W takim scenariuszu szczególnie groźne jest żądanie dyskrecji. Jeżeli ktoś mówi, że nie wolno rozłączać się ani konsultować sprawy z rodziną, należy potraktować to jako sygnał oszustwa.

Rodzinny wariant opiera się na emocjach. Ktoś podszywa się pod wnuka, córkę, syna albo znajomego i prosi o pieniądze, kod BLIK albo szybką pomoc. Coraz większe znaczenie mają tu komunikatory i możliwość wykorzystywania sztucznej inteligencji do bardziej przekonujących wiadomości, obrazów lub głosu. Zasada pozostaje ta sama: prośbę o pieniądze trzeba potwierdzić innym kanałem, najlepiej przez rozmowę z osobą, której numer znamy wcześniej.

Prosta umowa rodzinna działa lepiej niż długi poradnik

W ochronie seniorów bardzo ważna jest wcześniej ustalona umowa rodzinna. Nie powinna być skomplikowana. Może brzmieć tak: jeśli ktoś dzwoni w sprawie pieniędzy, kodów, banku, Policji, urzędu, konta, BLIK-a albo pilnej pomocy dla rodziny, rozłączamy się i oddzwaniamy do zaufanej osoby.

Taka zasada działa, bo zdejmuje z seniora ciężar oceny rozmówcy. Nie trzeba rozstrzygać, czy głos brzmi prawdziwie, czy numer wygląda znajomo, czy historia jest logiczna. Procedura jest z góry ustalona: przerwać kontakt, zadzwonić do rodziny, banku albo instytucji samodzielnie, używając znanego numeru.

Rodzina może też ustalić słowo lub pytanie weryfikacyjne, ale nie powinno ono być jedyną ochroną. Lepszy jest rytuał rozłączenia i oddzwonienia. Oszust często próbuje utrzymać ofiarę na linii, bo wie, że przerwanie rozmowy kończy jego przewagę.

Warto również ustalić listę rzeczy, których nie robi się nigdy po telefonie lub SMS-ie: nie podaje się PIN-u, hasła, kodu BLIK, kodu SMS, danych karty, numeru PESEL, loginu do banku, kodu z aplikacji, danych dowodu, zdjęcia dokumentu ani nie instaluje się aplikacji do zdalnej pomocy. Ta lista powinna być krótka, jasna i powtarzana bez zawstydzania.

Co zrobić po podejrzanym telefonie lub SMS-ie

Pierwszy krok to przerwać kontakt. Nie trzeba tłumaczyć się rozmówcy, dyskutować ani udowadniać, że coś jest podejrzane. Wystarczy zakończyć rozmowę. Jeżeli telefon dotyczył banku, trzeba samodzielnie zadzwonić na numer z karty, aplikacji albo oficjalnej strony. Jeżeli dotyczył Policji, urzędu, ZUS, NFZ albo operatora, trzeba znaleźć kontakt niezależnie, nie korzystając z numeru podanego przez rozmówcę.

Podejrzanego SMS-a nie należy otwierać przez link. Jeżeli wiadomość zawiera link do płatności, dopłaty, blokady konta, paczki, mandatu, zwrotu pieniędzy albo weryfikacji, sprawę trzeba sprawdzić bezpośrednio w aplikacji lub oficjalnym serwisie. W Polsce podejrzane SMS-y można przekazać do CERT Polska na numer 8080. Podejrzane e-maile, strony i incydenty można zgłaszać przez incydent.cert.pl.

Jeżeli rozmówca podał się za członka rodziny, najlepiej zakończyć kontakt i zadzwonić na znany numer tej osoby lub do innego bliskiego. Nie należy korzystać z numeru podanego w rozmowie lub wiadomości. Jeżeli historia dotyczy wypadku, szpitala, zatrzymania przez Policję albo pilnej pożyczki, tym bardziej potrzebne jest potwierdzenie poza rozmową z oszustem.

Jeżeli senior nie wie, co zrobić, powinien mieć jedną zaufaną osobę do kontaktu. Może to być członek rodziny, opiekun, sąsiad, pracownik banku znany z placówki albo osoba wspierająca w sprawach cyfrowych. Najważniejsze, aby kontakt był ustalony wcześniej, zanim pojawi się presja.

Co zrobić, jeśli to już się stało

Jeżeli senior podał kod BLIK, dane karty, hasło, kod SMS albo zatwierdził operację w aplikacji, trzeba natychmiast skontaktować się z bankiem. Priorytetem jest blokada karty, konta, bankowości elektronicznej lub podejrzanej transakcji. Czas ma znaczenie, bo część operacji może zostać wykonana bardzo szybko.

Jeżeli wykonano przelew, trzeba zgłosić sprawę do banku i Policji oraz zachować wszystkie dane: numer telefonu, treść SMS-ów, linki, potwierdzenia transakcji, nazwę odbiorcy, numer rachunku, godzinę rozmowy i historię kontaktu. Nie należy kasować wiadomości, nawet jeśli są stresujące. Mogą być potrzebne do analizy i zgłoszenia.

Jeżeli zainstalowano aplikację do zdalnej pomocy, trzeba odłączyć urządzenie od internetu i skontaktować się z kimś zaufanym albo serwisem, który pomoże bezpiecznie usunąć dostęp i sprawdzić telefon lub komputer. Jeżeli aplikacja była instalowana na urządzeniu używanym do bankowości, trzeba równolegle powiadomić bank.

Jeżeli podano dane osobowe, trzeba przygotować się na kolejne próby kontaktu. Oszust może wrócić jako bank, Policja, operator, doradca, ubezpieczyciel albo rzekoma pomoc techniczna. Może znać wcześniejsze szczegóły, bo sam je wyłudził. Każdy kolejny kontakt trzeba weryfikować od zera.

Jeżeli poszkodowana osoba wstydzi się zgłosić sprawę, rodzina powinna pomóc bez oceniania. Wstyd działa na korzyść przestępców. Szybkie zgłoszenie zwiększa szanse na ograniczenie strat i ostrzeżenie innych osób.

Firmy też powinny mówić o vishingu

Vishing i smishing na seniorów mogą wydawać się tematem prywatnym, rodzinnym i konsumenckim. W praktyce ten sam mechanizm działa w firmach. Pracownicy odbierają telefony służbowe, pomagają rodzinie w sprawach cyfrowych, używają bankowości, korzystają z MFA, czyli wieloskładnikowego uwierzytelniania, i często łączą prywatny telefon z pracą.

Oszust może zadzwonić jako bank obsługujący firmę, dział IT, operator telekomunikacyjny, dostawca SaaS, księgowość, leasing, ubezpieczyciel, helpdesk Microsoft 365 albo kontrahent. Może poprosić o kod, instalację aplikacji, wejście w link, potwierdzenie logowania, zmianę numeru rachunku albo pilne przesłanie dokumentu.

Właśnie dlatego firmy powinny uwzględniać telefon i SMS w programach awareness. E-mail nie jest jedynym kanałem przejęcia decyzji użytkownika. Dla wielu pracowników rozmowa telefoniczna będzie bardziej przekonująca niż wiadomość e-mail, bo daje złudzenie kontaktu z prawdziwą osobą.

W testach phishingowych dla firm warto mierzyć nie tylko kliknięcia, ale też reakcję na SMS, telefon, prośbę o kod, presję czasu i instrukcję instalacji aplikacji. Dobra organizacja powinna wiedzieć, czy pracownik potrafi przerwać rozmowę, potwierdzić sprawę innym kanałem i zgłosić próbę oszustwa.

Jak ćwiczyć ten scenariusz bez straszenia

Ćwiczenia dla seniorów, rodzin i pracowników nie powinny opierać się na zawstydzaniu. Oszustwa telefoniczne działają dlatego, że wykorzystują emocje, autorytet i presję. To może dotknąć każdego, szczególnie wtedy, gdy historia jest dobrze dobrana do sytuacji życiowej.

Dobrym ćwiczeniem jest krótka rozmowa o trzech czerwonych sygnałach: ktoś każe działać natychmiast, ktoś prosi o kod lub pieniądze, ktoś zakazuje kontaktu z bliskimi albo instytucją. Taki zestaw jest łatwiejszy do zapamiętania niż długa lista rodzajów oszustw.

W rodzinie można przećwiczyć prosty scenariusz: dzwoni osoba z banku, mówi o podejrzanej płatności i prosi o kod. Prawidłowa reakcja to rozłączenie, telefon do bliskiego i samodzielny kontakt z bankiem. To powinien być nawyk, a nie decyzja podejmowana dopiero w stresie.

W firmie podobne ćwiczenie może dotyczyć fałszywego helpdesku, operatora, banku, dostawcy chmury albo osoby z zarządu. Kluczowe jest sprawdzenie, czy pracownik wie, gdzie zgłosić próbę vishingu i czy organizacja potrafi szybko ostrzec innych.

Wniosek

Alert Safeonweb jest ważny nie dlatego, że potwierdza konkretny wyciek danych seniorów. Jest ważny dlatego, że pokazuje prosty model ryzyka: numer telefonu i kilka dodatkowych danych mogą stać się paliwem dla vishingu i smishingu. Oszust nie musi przejmować konta od razu. Najpierw przejmuje rozmowę.

Najlepsza zasada jest krótka i powinna być ustalona wcześniej: jeśli telefon lub SMS dotyczy pieniędzy, kodów, banku, Policji, urzędu, konta, BLIK-a albo pilnej pomocy, przerwij kontakt i sprawdź sprawę innym kanałem. W prawdziwej sytuacji awaryjnej dodatkowe potwierdzenie nie zaszkodzi. W oszustwie może być jedynym momentem, który zatrzyma stratę.