Slovenská
banková
asociácia

Slovensky / English

Nový typ podvodu v internetbankingu - „vishing“

22.10.2010 - Bezpečnosť

„Dobry den, zistili sme, ze na Vasom ucte prebehla podozriva transakcia, ktora bola zablokovana. Pre jej zrusenie je potrebne Vas autorizovat. Pripravte si, Vasu GRID kartu. Budeme Vas kontakovat.“ Aj vďaka takejto SMS sa môžete stať obeťou útočníka, ktorého cieľom je pripraviť vás o peniaze.

Slovenská banková asociácia a Bankový ombudsman chcú upozorniť klientov bánk na nový typ podvodu (tzv. vishing), ktorý umožňuje útočníkom získať údaje k internetbankingu alebo k platobnej karte prostredníctvom telefonického rozhovoru.

Pri tomto type podvodu sa útočník telefonicky skontaktuje s klientom, predstaví sa ako zamestnanec banky a pokúša sa získať údaje, ktoré sa používajú na autorizáciu transakcie, s cieľom ich zneužitia. Podvodníci sa obyčajne snažia navodiť pre klienta núdzovú situáciu. „Podvodník napríklad klientovi oznámi, že banka zachytila pokus o podvodnú transakciu a pri jej zrušení je potrebná jeho spolupráca. Následne požiada klienta, aby mu oznámil pozície z jeho GRID karty potrebné na uskutočnenie transakcie,“ uviedol Ladislav Unčovský, výkonný riaditeľ SBA.

V zahraničí je tento spôsob podvodu známy už dlhšie a v poslednom období sa začal sporadicky objavovať aj na Slovensku. „Počet takto podvodne kontaktovaných klientov nie je veľký, do dnešného dňa sa pohybuje v desiatkach,“ informuje Ladislav Unčovský.

Najjednoduchšou obranou je zvýšená ostražitosť v prípade, ak niekto zavolá, predstaví sa ako zamestnanec banky a žiada o pozície z GRID karty, SMS autorizačný kód alebo o čísla platobných kariet. „Banka nikdy aktívne nepožaduje od klienta oznámenie autentifikačných údajov.Klientom odporúčame takýto rozhovor čo najskôr ukončiť a obratom sa osobne alebo telefonicky skontaktovať so svojou bankou,“ doplnil Ladislav Unčovský.

Ako podvod vlastne funguje:

  1. Útočník nainfikuje počítač klienta škodlivým softvérom a získa prihlasovacie údaje do internetbankingu – meno, heslo a prípadne aj niektoré pozície na GRID karte.
  2. Útočník sa pod heslom klienta prihlási do internetbankingu a potrebuje ešte získať požadovaný kód na autorizovanie transakcie z GRID karty, prípadne z iného autorizačného nástroja (mobilný telefón - SMS, token,...).
  3. Útočník klientovi pošle SMS: Zistili sme pokus o podozrivu transakciu na Vasom ucte. Pre jej overenie Vas budeme kontaktovat z telefonneho cisla 0xxx xxxxx. Banka XXX.
  4. Útočník zavolá klientovi a predstaví sa ako jeho banka. Aby si získal dôveru klienta, opýta sa ho, či napr. pozícia A2 z jeho GRID karty je napr. 123456, prípadne mu nadiktuje posledne vykonané obraty na účte (útočník získal uvedenú pozíciu sledovaním počítača klienta). Ak je informácia správna, klient tak obyčajne získa pocit bezpečnosti („Ak pozná pozíciu na GRID karte, alebo posledne vykonané transakcie na účte, je to určite banka“). Útočník klientovi oznámi, že na jeho účte banka zachytila pokus o podozrivú transakciu a na jej storno je potrebné autorizovať platbu zadaním pozície z GRID karty, alebo kódom z SMS, ktorá mu príde každú chvíľu. Požiada klienta o nadiktovanie pozície z GRID karty, alebo autorizačný kód z práve doručenej SMS.
  5. Útočník sa vďaka autorizačnému kódu dostal do internetbankingu klienta a uskutočnil prevod na svoj účet.
  6. Útočník ukončí hovor s tým, že rýchlym konaním banky sa podozrivá transakcia neuskutočnila a jeho peniaze sú v bezpečí.
  7. Po oznámení peniaze odídu okamžite na účet útočníka, či už v tej istej banke alebo do inej banky, ktorý ich vyberie platobnou kartou z bankomatu alebo už čaká v banke a vyberie peniaze v hotovosti.

Ako sa brániť takémuto podvodu?

  1. Buďte vždy ostražitý, ak vám niekto zavolá a predstaví sa ako zamestnanec vašej banky. V žiadnom prípade neposkytujte takejto osobe žiadne citlivé osobné údaje, autorizačné údaje (kódy z GRID karty, autorizačné SMS alebo kódy z iných autorizačných zariadení), prístupové heslá do internetbankingu alebo číslo platobnej karty. Banka nikdyaktívne nepožaduje od klienta oznámenie autentifikačných údajov.
  2. Podozrivý rozhovor rýchlo ukončite a skontaktujte sa so svojou banku osobne alebo prostredníctvom telefónneho čísla zverejneného na internetových stránkach banky.
  3. Odporúčame vám pravidelne kontrolovať počítač proti nežiaducim programom/vírusom, a taktiež meniť si častejšie prístupové heslá do internetového bankovníctva (napr. raz mesačne).

Čo je vlastne Vishing?

Vishing (kombinácia slov voice-over, t.j. „prostredníctvom hlasu“ a phishing – z pôvodného „password fishing“, t.j. lovenie hesiel) je podvodný postup s využitím telefonického rozhovoru, pomocou ktorého sa útočník snaží od klienta získať citlivé údaje (osobné údaje, prístupové heslá do internetbankingu, čísla platobných kariet a pod.)