Jesteś w Orange? Lepiej uważaj na takich konsultantów
Klienci Orange skarżą się na podejrzane połączenia telefoniczne, podczas których rozmówcy przedstawiają się jako konsultanci operatora i próbują wyłudzić ważne dane. CERT Orange Polska ostrzega przed tą pułapką.
W ostatnich dniach CERT Orange Polska odebrał kilka zgłoszeń, dotyczących próby oszustwa „na konsultanta”. Osoby dzwoniące do klientów pomarańczowej sieci usiłują wyłudzić od ofiary informacje, dotyczące usług bankowości elektronicznej.
Każda z osób, która skontaktowała się z nami, informowała o rozmowie przychodzącej z numeru komórkowego. W żadnym z przypadków operatorem numeru dzwoniącego nie był Orange Polska. Rozmówca informował, że jest pracownikiem/pracownicą Orange i chce poinformować ofiarę o mającym jej dotyczyć „podejrzanym zachowaniu”
Operator tłumaczy, że emocje wzbudzane już na początku mają sprawić, że klient nie zwróci nawet uwagi, że nie padły personalia dzwoniącego.
Tymczasem gdy kontaktuje się z Wami telefonicznie przedstawiciel Orange Polska, zawsze się przedstawia imieniem i nazwiskiem
Z wyjaśnień specjalistów od bezpieczeństw w Orange wynika, że celem stosowanych w takich sytuacjach sztuczek socjotechnicznych jest wywołanie u ofiary poczucia konieczności natychmiastowych działań. Zaatakowany klient straszony jest tym, że ktoś kupił kartę SIM na jego dane osobowe lub wyrobił duplikat karty przy użyciu jego dowodu osobistego.
Jak opisuje CERT Orange Polska, jedna z niedoszłych ofiar zdecydowała się dopytać dzwoniącą o szczegóły. Na pytanie o personalia padła odpowiedź: „Dzwonię z centrali”. Osoba podająca się za konsultantkę chciała „zablokować podejrzane zachowania” i w tym celu zadała pytanie o nazwę banku, a powodem miała być potrzeba wysłania zawiadomienia o opisanym problemie do oddziału banku. Po odmowie udzielenia informacji zakończyła rozmowę.
CERT Orange Polska wyjaśnia, że takie działania to próby wyłudzenia danych logowania do banku. Podszycie „na konsultanta” Orange jest tylko próbą uwiarygodnienia atakującego. Gdyby zaatakowany klient podał nazwę banku, po chwili odebrałby telefon z „działu bezpieczeństwa” banku.
Co działoby się wtedy? Wtedy kolejny oszust (a może nawet ten sam, udając inny głos) przekazałby dramatyczną informację o tym, że pieniądze rozmówcy są zagrożone. Próbowałby kolejnych socjotechnicznych sztuczek, by przekonać go do podania loginu, hasła i ewentualnie kodu z SMS-a, czy nazwiska panieńskiego matki (w niektórych bankach niezbędne, by podpiąć aplikację mobilną do konta)
Specjaliści od bezpieczeństwa radzą, by nie dać się nakręcić emocjonalną treścią. Podobnie jak w przypadku phishingów, należy być wyczulonym na treści i zachowania, które mają wywołać w nas emocje. W przypadku próby oszustwa „na konsultanta” Orange najlepiej poprosić o autoryzację osoby dzwoniącej za pomocą aplikacji Mój Orange.
Rozmowę kontynuuj jedynie wtedy, gdy w aplikacji Mój Orange zobaczysz potwierdzenie tożsamości konsultanta
