Bankowe Centrum Cyberbezpieczeństwa ZBP coraz częściej otrzymuje zażalenia o próbach wyłudzania danych osobowych osób fizycznych. Cyberprzestępcy dzwonią na telefony potencjalnych ofiar pod numerem centrali Związku Banków Polskich.
Oszuści wykorzystują tzw. Spoofing, który polega na podszywaniu się pod inne urządzenie lub innego użytkownika. Dotyczy to numeru telefonu, ale także adresu e-mail, IP, nadawcy SMS i innych. Oprócz Spoofing’u, przestępcy wykorzystują również Vishing, który polega na podszywaniu się pod instytucję budzącą zaufanie podczas kontaktu telefonicznego z potencjalna ofiarą. Celem ataku zazwyczaj jest nakłonienie ofiary do wykonania określonych czynności lub pozyskanie poufnych informacji. Kluczowym w tego typu oszustwach jest zastosowanie socjotechniki w trakcie rozmowy z potencjalną ofiarą oraz wyświetlenie wybranego numeru telefonu (np. ZBP) celem uwiarygodnienia przestępcy.
Pierwsze takie ataki zostały zidentyfikowane przez ZBP pod koniec stycznia 2021 roku. W związku z tym FinCERT.pl – BCC ZBP opublikowało komunikat – ostrzeżenie na swojej stronie internetowej. Kolejne ataki miały miejsce w maju i czerwcu bieżącego roku, dlatego ZBP wydało ponowne ostrzeżenie. Co więcej, 9 czerwca 2021 r. Zarząd ZBP podjął decyzję o złożeniu do Prokuratury Rejonowej Warszawa Śródmieście – Północ w Warszawie zawiadomienia o podejrzeniu popełnienia przestępstwa ściganego z urzędu. Zawiadomienie wskazywało na popełnione przestępstwa na szkodę ZBP i klientów banku, którzy w wyniku ataków utracili środki zdeponowane na rachunkach bankowych i ujawnili swoje dane sensytywne. W wyniku tego, w dniu 19 lipca 2021 r. zostało wszczęte dochodzenie pod sygnaturą PR 2 Ds. 880.2021.
Warto też podkreślić, iż poprzez podszywanie się pod pracownika ZBP następuje również kradzież tożsamości podmiotu i wykorzystanie jego pozycji jako instytucji zaufania publicznego, co daje możliwość atakowania klientów wszystkich banków działających w Polsce.
FinCERT.pl – BCC ZBP systematycznie informuje w prowadzonej korespondencji o pojawiających się przypadkach podszywania się przestępców pod Związek Banków Polskich. Dodatkowo zawiadamia o wystosowaniu przez Związek Banków Polskich dedykowanych komunikatów – ostrzeżeń dla klientów Banków. Co więcej, FinCERT.pl – BCC ZBP w ramach współpracy międzybankowej bieżąco informuje banki o kolejnych przypadkach ataków Spoofing’owych i Vishing’owych z podszywaniem się przestępców pod pracowników Związku oraz przekazuje m. in. nt. modus operandi. We współpracy z Prokuraturą Krajową i Komendą Główną Policji, w lipcu 2021 r. została utworzona Grupa Operacyjna ds. Spoofingu i Vishing’u. Jej celem jest wykrywanie, analizowanie i przeciwdziałanie przestępstwom wykorzystującym Spoofing i Vishing na szkodę banków lub ich klientów. W działania Grupy włączyli się również przedstawiciele wielu banków, pod które podszywają się przestępcy i których klienci są atakowani.
