Wczoraj do mojej żony zadzwonił "pracownik Providenta" z informacją o pożyczce na 10 000 zł.
To jeden z ciekawszych przekrętów, jakie widziałem ostatnio.
Opiszę krok po kroku, jak to działa 🧵 ↓
Żona zareagowała naturalnie: "Nie brałam żadnej pożyczki".
Miły pan od razu uspokaja: "Oczywiście, anulujemy to jednym kliknięciem".
Trochę dziwne, że pożyczkę można tak po prostu odwołać, ale OK.
Teraz zaczyn się zabawa.
"Skoro pożyczka jest w systemie, a Pani jej nie brała, to znaczy, że ktoś posługuje się Pani dowodem osobistym. Muszę powiadomić odpowiednią instytucję finansową!" - poinformował rozmówca.
Pytanie kluczowe: "W jakim banku ma pani konto?"
Mamy konta w wielu bankach, ale żona podała mBank - to konto używamy głównie na zakupy spożywcze.
Pan obiecał, że złoży dokumenty i uruchomi "procedurę ochrony klienta".
Rozpoczął się drugi etap ataku.
Po 10 minutach do żony próbowały dodzwonić się łącznie 6 razy różne numery telefonów.
Sprawdziłem je. Tutaj robi się ciekawie.
To były numery... sądu z Warszawy, szkoły podstawowej i jakiegoś szpitala.
Spoofing, ale nie pod bank - to by nie przeszło.
Jednocześnie przyszedł "SMS weryfikacyjny", który rzekomo służył do potwierdzenia, że dzwoni prawdziwy konsultant banku.
Problem? mBank nie ma takiej procedury weryfikacji przez SMS. Inne banki także takiej nie mają.
SMS przyszedł od nadawcy "mBank" zamiast ze standardowego numeru używanego do komunikacji, czyli "3388".
To już wyglądało podejrzanie.
Sprawdziłem jeszcze imię i nazwisko konsultantki z SMS-a.
Okazuje się, że to prawdziwa pracowniczka mBanku. Faktycznie istnieje taka osoba.
Ale... pracuje w dziale kredytów hipotecznych.
Dlaczego ktoś z kredytów hipotecznych dzwoni w sprawie Providenta?
Dodatkowo znalazłem konto LinkedIn z tym samym imieniem i nazwiskiem.
Totalnie puste. Brak fotki. Tylko imię i nazwisko i informacja o pracy w mBanku.
Zakładam, że zostało założone specjalnie pod ten przekręt.
Ciekawie przygotowany atak:
- nie dzwoni bank, tylko 'pożyczkodawca'
- to 'Provident' informuje 'bank' (nazwa podana przez ofiarę)
- bank dzwoni i przeprowadza procedurę weryfikacji konsultanta SMS-em
- wyszukiwanie danych konsultanta w necie zwraca poprawne wyniki
Żona nie odbierała już kolejnych telefonów, więc nie wiemy, jaki byłby dalszy przebieg ataku.
Prawdopodobnie próba wyłudzenia danych do logowania albo autoryzacja jakiejś transakcji.
Ważne:
1) ŻADEN bank w Polsce nie weryfikuje pracowników SMS-em. Wszystkie przeszły na aplikacje.
2) Na pytanie o nazwę Twojego banku... ściemniaj. Niebawem zadzwoni do Ciebie ściemniacz z tej organizacji ;)
3) Zastrzeż PESEL, aby wzięcie pożyczki nie było tak łatwe.
Jeżeli ktoś z was zna dalszy ciąg tego przekrętu, czyli co dzieje się już po weryfikacji 'pracownika banku', to dajcie znać w komentarzach. Na pewno komuś się przyda.
Jakub Mrugalski 🔥
@uwteam
🤖 Piszę o technologii, AI, automatyzacji, cybersecurity i biznesie. 🛠 Dzielę się użytecznymi narzędziami i case-study 🤔 #DigitalEUAmbassador 🛑 Nie czytam DM