Tentativele de fraudă de tip spoofing, - apeluri telefonice, mesaje și site-uri care disimulează o comunicare oficială a unei instituții bancare sau a unei autorități a statului - devin tot mai dese în România.
O actriță din Cluj a relatat modul în care a fost înșelată de escroci care s-au pretins de la Poliție, bancă și de la Banca Națională, determinând-o să încheie un credit de 100.000 de lei, iar banii să le dea lor - VEZI AICI
16 aprilie - Maratonul de Educație Financiară
Acum este detaliată, pe start-up.ro, și schema folosită, astfel încât persoanele apelate să știe cum să se ferească
Primești un telefon de la cineva care se recomandă drept agent de Poliție. Ți se spune că cineva a vrut să obțină un credit în numele tău (n.r. - uneori se folosesc alte scuze - contul tău a fost accesat, cineva a făcut plăți în locul tău).
Totul sună ca o investigație la Poliție. Falsul agent se recomandă cu un nume ce pare real, deși are un puternic accent din Republica Moldova (n.r. - nu este o regulă, asta s-a întâmplat în cazul bărbatului din București despre care scriem).
Ca să-ți câștige încrederea îți trimite și o poză cu o legitimație falsă pe WhatsApp. Apoi vrea să te pună în legătură cu un așa-zis specialist al Băncii Naționale a României, care garantează sumele din contul tău dacă vor fi furate.
Ți se face legătura cu un alt operator care încearcă cu orice preț să aibă acces la telefonul sau calculatorul tău - prin instalarea unei aplicații cum ar fi Team Viewer, care oferă acces de la distanță pe un dispozitiv al unui utilizator, sau prin partajarea ecranului tău.
Ca să-ți vadă datele cardului și să-ți ia banii.
De unde au acești oameni datele noastre? De cele mai multe ori din scurgeri reale de date de care ați auzit. Operatori de telefonie mobilă sau site-uri care au fost sparte. Aceste date, baze de date cu nume, prenume, numere de telefon, dar și alte date personale, sunt vândute apoi pe internet.
Aceasta este povestea pe care a trăit-o un bărbat din București, dar nu ca victimă. Lucrează în IT și a vrut să înțeleagă tot acest proces. Așa că a stat la telefon 59 de minute cu aceștia. Iar noi am ascultat toată înregistrarea.
Un bărbat cu voce cu un puternic accent de peste Prut se recomandă Andrei Răducanu și că ar fi inspector de Poliție. Pentru a convinge trimite chiar poza unei legitimații false pe WhatsApp persoanei vizate.
Apoi, dă numele celui care, teoretic, ar avea datele noastre - Isfan Viorel - și o altă poză cu el. "Ca să identificăm infractorul".
Partea finală este cea în care ni se face legătura cu o așa-zisă specialistă de la Banca Națională a României - Vrabie Iulia - care încearcă să ne convingă să dăm acces la conturile noastre.
De ce sunt periculoase astfel de scheme? Pentru că nu se bazează pe vreo spargere informatică foarte complicată, ci pe încrederea noastră. Se dau altcineva ca să obțină acces în locurile unde ar putea vedea datele noastre de pe card, în așa fel încât să retragă toți banii.
“Vremurile în care putem să avem încredere în informații prezente pe internet, pe ecranul telefonului atunci când suntem sunați sau când deschidem ușa cuiva care se recomandă ca având o funcție oficială (cu excepția Poliției) au trecut de mult", spune Silviu Stahie, specialist în securitate cibernetică la Bitdefender.
Etapa 1 - ni se prezintă un caz imaginar
Bărbatul care a oferit redacției start-up.ro înregistrarea conversației răspunde la telefon și vorbește cu un bărbat care se prezintă drept Andrei Răducanu, polițist. Începe câștigarea încrederii prin oferirea de detalii despre anchetă, crearea urgenței prin faptul că datele noastre ar fi furate.
Iată ce spune falsul polițist:
“Politist: S-a încercat emiterea unui credit în numele dumneavoastră. Când era Poliția era deja la bancă nu au găsit nimic, a fugit
P: Dorim să aflăm de unde are domnul în cauză informații despre dumneavoastră - datele din buletin și procura, semnătura și dorim să anulăm procura.
P: Va începe o investigație. Cazul va fi verificat și vor fi analizate toate scurgerile de date personale.
P: Domnul în cauză se numește Isfan Viorel. Situația a avut loc la BCR Calea Criștinei 10 (nota redacției - adresa este una falsă, spusă intenționat foarte rapid la telefon pentru a nu o identifica)"
Etapa 2 - infractorul începe să ne cunoască
După ce oferă aceste prime detalii, falsul polițist începe să pună întrebări bărbatului despre activitatea sa bancară. Dacă până acum aspectul ce-l poate da de gol la o primă impresie este accentul, are câteva scăpări, dar care nu sunt identificabile de către o persoană care nu are educație digitală.
"P: Vă voi pune niște întrebări
P: La ce instituții ați oferit datele dumneavoastră în ultimele 30 de zile?
P: Ați introdus datele personale pe internet? Ați făcut achiziții online?
P: Ați făcut xerocopii documentelor?
P: Aveți o presupunere de unde ar putea fi scurgerea asta de informații?"
Bărbatul sunat îl întreabă din nou să se identifice, iar falsul polițist spune Răducanu Andrei, dar greșește menționarea secției, pentru că spune "Sectorul numărul 6 de Poliție din București", o folosire improprie a termenilor, specifică Republicii Moldova.
Dar în acest caz, primește o salvare de la bărbatul sunat, doritor să afle mai multe despre această situație, și-l întreabă "Secția numărul 6?”, iar așa-zisul Răducanu Andrei răspunde prin "corect”.
Tirada de întrebări continuă.
"P: Cât de des vizitați banca și cu ce scop?
P: La ultima vizită la bancă ați observat ceva ciudat?"
Astfel află că bărbatul sunat face tranzacții online și nu vizitează aproape niciodată banca. Aceste informații îi sunt utile pentru a înțelege cât de digitalizată este persoana de la celălalt capăt al telefonului. Dacă ar afla că e o persoană care nu folosește internet banking în mod curent, atunci ar putea profita mai rapid de credulitatea acestuia.
"În acest caz vom deschide un dosar pentru fraudă și falsificarea actelor. Banca este vizată în anchetă și va trebui să vă despăgubească", spune falsul polițist. Astfel, folosește un câștig financiar pe care l-ar putea avea o persoană care nu a pierdut bani pentru că i s-au furat datele. În acest fel, orice persoană sunată ar fi mai doritoare să îl ajute pe polițist.
Etapa 3 - se câștigă încrederea cu poze false
Pentru că jocul înșelătoriei e unul al încrederii, "Răducanu Andrei" cere WhatsApp-ul persoanei vizate pentru a-i trimite poza legitimației, dar și poza potențialului hoț de identitate, un anume Isfan Viorel, poate bărbatul de la telefon l-ar cunoaște.
După faza finală a câștigării încrederii de către falsul polițist, bărbatului i se cere numele, prenumele și data nașterii, ba chiar să facă un rezumat al convorbirii, pentru a înțelege din nou nivelul de cunoștințe online și se trece la faza execuției furtului. Sau potențialului furt.
Promisiunea e simplă și inexistentă în realitate. Banca Națională a României ar oferi o asigurare. Dacă ni se fură banii din cont, ni-i dau ei pe toți înapoi. Aici accentul încurcă din nou, dar funcționează pentru cine nu e atât de priceput în tehnologie.
"Un reprezentant al Băncii Naționale a României vă va oferi un angajament, o asigurare ceea ce înseamnă că dacă banii vor fi fraudați sau vor fi luate împrumuturi fără acordul dumneavoastră, BNR vă va renumera toți banii”, spune falsul polițist.
Și pentru a ști dacă potențiala victimă e una "generoasă" îi cere să clasifice suma pe care o are în cont de la 1 la 4, unde 1 este de la 0 la 5000 de lei, până la 4 care este peste 50.000 de lei.
Apelul cu Răducanu Andrei, fals polițist, se încheie pentru că acesta face, ca prin minune, conexiunea cu un operator al Băncii Naționale.
Începe ademenirea victimei cu promisiunea banilor.
Etapa 4 - victima primește promisiuni de bani de la o falsă reprezentantă a BNR
"Specialist monitorizare a operațiunilor bancare, numele meu este Vrabie Iulia. Am primit un raport de la Poliție, îmi puteți descrie pe scurt problema", se prezintă o femeie tânără, de data aceasta cu un accent mai bun, care se recomandă drept reprezentantă a Băncii Naționale.
Pentru a convinge bărbatul de autenticitatea discuției, începe să arunce denumiri din Codul Penal.
"Convorbirea noastră e înregistrată. Nu aveți voie să dezvăluiți către persoane terțe conversația noastră și se pedepsește conform articolului 304 Cod Penal privind divulgarea secretului de stat sau de muncă. Va fi inițial un caz penal cu referire la articolul 244, și articolul 309 fraudă. În continuare va trebui să scrieți o plângere în numele angajaților băncii”, spune falsa Vrabie Iulia.
Ea menționează că infractorul zis de polițiști, acel Isfan Viorel, ar deține actele noastre. Și pentru a se asigura că suntem trup și suflet acolo, urmează avertismente care vor să denote urgența situației.
"Nu aveți voie să opriți apelul mai mult de cinci minute deoarece sistemul băncii va înregistra automat acest lucru ca un refuz de cooperare din partea dumneavoastră. Banca Națională nu ne vom asuma responsabilitatea pierderii banilor. BNR nu va putea oferi despăgubirea integrală a sumei furate din cont. Dacă pierdeți conexiunea, BNR va oferi un apel automat de pe linia protejată a băncii naționale, apelurile vor avea numere diferite care sunt generate automat", spune Vrabie Iulia.
Face acest lucru pentru a genera urgență, importanță, dar și senzația că dacă persoana se plictisește sau închide apelul, va pierde banii în caz că vor fi furați de pe cont.
În realitate nimeni nu a furat acei bani, nimeni nu s-a dus la bancă, iar Isfan Viorel nu există. Dar conversația merge mai departe la momentul esențial când lucrurile devin periculoase. Instalarea unei aplicații.
Etapa 5 - Haideți să ne mutăm pe Signal
"I: Aveți aplicația Signal?
I: Avem nevoie să stabilim o legătură prin aplicația Signal unde se va trimite documentația.
I: O să primiți imediat un mesaj pe aplicația Signal"
Bărbatul are întâmplător aplicația Signal, o aplicație de mesagerie securizată. Folosirea ei aici nu e întâmplătoare. O persoană ar putea să nu știe cum funcționează, iar conversațiile sunt criptate.
Dar pe Signal momentan nu apare nimic, așa că Vrabie Iulia încearcă să câștige încrederea bărbatului prin aceleași întrebări ca și ale falsului polițist despre obiceiurile sale bancare, dar încearcă să profite de necunoștința acestuia, dacă ar exista.
Află că bărbatul a făcut achiziții online și menționează site-uri precum Aliexpress, Joom, Amazon, iar falsa reprezentantă BNR spune că aceste site-uri nu ar oferi o garanție 100% și că au fost cazuri unde oamenii au introdus date personale care au fost furate. Motivul e simplu. Să cauzeze sentiment de urgență și frică.
Folosind această scuză, Iulia Vrabie îl invită pe bărbat să verifice în contul său bancar dacă au fost plăți suspecte.
În sfârșit, vine mesajul pe Signal și invitația la apel. Până atunci, Iulia Vrabie îl sfătuiește pe bărbat să facă și capturi de ecran în aplicație, un lucru care nu trebuie făcut vreodată, mai ales pentru a fi trimise unei persoane necunoscute. Din fericire aplicațiile bancare din România au protecție împotriva acestui lucru și captura de ecran e neagră, fără niciun detaliu. Scopul capturilor este să "ne ajute”, așa spune falsa angajată BNR.
După ce bărbatul nu poate face screenshot-uri este întrebat ce sumă deține pe card și zice o sumă fictivă de 4.520 de lei.
Etapa 6 - Din contul băncii pe unul de pe Revolut
"I: Dumneavoastră dețineți un alt cont, în euro sau dolari?
B: Nu.
I: Economii?
I: Dețineți Revolut?
I: Pe Revolut e cardul gol?
B: Da, nu am niciun ban. Pe Revolut pun bani când am nevoie.
I: Pe Revolut dețineți cont în euro?
I: Intrați în Revolut, faceți o captură pentru a înregistra datelor și verificarea lor și verificați dacă aveți cont în euro.
B: Pot să fac cont în euro.
I: Adăugați cont în euro. Să transferați toată suma dumneavoastră pe cardul în euro.
I: Dumneavoastră odată ce dețineți acest card și domnul are datele dumneavoastră, trebuie să faceți un restart astfel încât domnul să nu mai aibă acces"
Din nou, un dialog care pentru o persoană care știe cum funcționează Revolut sau băncile pare evident, dar pentru o persoană nepricepută poate fi un pericol. În niciun moment angajații unei bănci, dincolo de faptul că nu vă vor suna pentru a vă da astfel de indicații, nu vă vor spune să transferați toată suma din cont către Revolut, de exemplu.
În cazul unor tentative reale de fraudă bancară, clienții băncii pot suna în call center și să ceară blocarea cardului. Pentru acea blocare se va cere numele nostru, data nașterii și o întrebare de securitate va fi pusă. Aceste conversații durează de obicei nu mai mult de 5-10 minute, în niciun caz 50 de minute.
De asemenea, Banca Națională a României nu va suna niciodată un client al unei bănci pentru a-l asista într-o tentativă de fraudă. ---Bărbatul sunat își deschide un cont în euro în Revolut și e invitat să transfere toți banii în contul acela. Ei vin în contul de lei, iar apoi face un schimb valutar direct în aplicație.
Nu e niciun hack aici, nu e nicio spargere, totul e făcut de mâna lui, prin inginerie socială, adică așa-numita Iulia Vrabie încearcă să-l convingă să facă asta, folosind presupunerea că datele sale au fost furate, iar BNR le pune în siguranță.
"Faceți o captură de ecran și transmiteți pe Signal”, spune Iulia Vrabie. Acest lucru e posibil deoarece Revolut nu blochează posibilitatea de a face capturi de ecran, spre deosebire de aplicațiile unor bănci din România. Însă niciun angajat al băncilor, BNR sau al Poliției Române nu ar cere vreodată o captură din cont.
După ce captura de ecran e transmisă de bărbat pe Signal, Iulia Vrabie are confirmarea faptului că banii sunt în acel cont. Așa că dă atacul final.
Etapa 7 - Partajarea ecranului pe WhatsApp ca să aibă acces la date
"Să trecem pe WhatsApp să ne dăm partajarea ecranului pentru a vă ghida să facem totul corect. Intrați în partajarea ecranului încât să-mi arătați pagina principală. Intrăm pe un Google sau Safari pentru a căuta numărul liniei fierbinți către Revolut pentru a transmite un mesaj", spune Iulia Vrabie.
"Imediat vă ghidez, nu este nicio problemă", adaugă ea.
De ce vor infractorii partajarea ecranului? Ca să poată ghida persoanele vulnerabile să le dea banii mai rapid, dar și să se asigure că persoana aceea are bani în cont și că “nu pierd vremea” cu ea.
Un amănunt important aici de știut e că dacă vi se cere un cont unde să primiți bani, trebuie să dați contul IBAN, adică acel RO93INGB, BCRU, în funcție de bancă. Dacă vi se spune vreodată că trebuie să primiți bani, iar pentru acest lucru trebuie să dați datele de card, sunteți o posibilă victimă. Cardul este folosit pentru ca noi să facem plăți spre alții, nu pentru a primi bani.
Dacă falsa Iulia Vrabie ar fi primit acces la ecranul persoanei sunate, i-ar fi cerut să își dezvăluie datele cardului, inclusiv acel cod CVV din 3 litere fără de care nu se pot face tranzacții.
Dar prezumția telefonului e că ea ar dori să ajute o persoană nepricepută să facă lucrurile așa cum trebuie.
"Urmează să primiți un mesaj cu verificarea contului. Veți primi această verificare. După care urmează să deschidem un cont de rezervă la Revolut în care dumneavoastră sunteți primul deținător al acestui cont. E nevoie să nu permiteți accesul nimănui. Pentru că odată ce Isfan Viorel deține toate datele dumneavoastră este posibil să poată intra pe orice cont pe care-l aveți dumneavoastră. Încercăm să deschidem conturi noi pentru a fi singurul proprietar al acestui cont. Urmează să primiți accesul la verificarea contului de Revolut", adaugă aceasta.
După ce câștigă încrederea suplimentară pprin aceste date, verifică dacă s-a primit un link pe Signal. Apoi invită bărbatul să vorbească pe WhatsApp cu share screen, adică partajarea ecranului.
"I: Ați primit linkul?
B: Pe WhatsApp?
I: Pe Signal, pentru verificare.
B: Nu.
I: Haideți să vă telefonez pe WhatsApp.
I: WhatsApp are share screen.
B: Pe WhatsApp am încercat să răspund dar stătea connecting și nu se conecta.
I: Vom încerca să facem acest apel.
I: Avem 15 plângeri deodată și încercăm să le rezolvăm"
Bărbatul nu răspunde apelului de pe WhatsApp și solicitării de partajare a ecranului. În momentul acesta Iulia Vrabie știe că a pierdut o oră cu o victimă inexistentă. Va trece la următorul număr de telefon și va căuta o persoană vulnerabilă, care să nu lucreze în IT și să nu știe cum funcționează internet bankingul.
În ultima perioadă, a fost semnalată intensificarea tentativelor de fraudă de tip spoofing, - apeluri telefonice, mesaje și site-uri care disimulează o comunicare oficială a unei instituții bancare sau a unei autorități a statului (ANAF, Poliția Română etc) - în care identitatea vizuală a Băncii Naționale a României (BNR) a fost utilizată, vizând obținerea de date personale sau efectuarea unor acțiuni care pot duce la tranzacții financiare bazate pe informații false (de tip ponturi sau recomandări de investiții).
Alți atacatori au solicitat instalarea de aplicații, deschiderea de linkuri sau autorizarea unor acțiuni pe telefon prin amprentă. Aceste încercări vizează furtul de identitate, instalarea de programe malware sau efectuarea de tranzacții financiare în numele dumneavoastră.
Comunicările oficiale ale Băncii Naționale a României în mediul online se realizează exclusiv prin website-urile bnr.ro, bnro.ro și conturile instituției pe rețelele sociale LinkedIn, X, Instagram și YouTube.
Totodată, astfel de încercări de manipulare pot include și apeluri telefonice, mesaje audio sau chiar video (deepfake) în care pot apărea persoane care se prezintă ca reprezentanți ai BNR. Aceste metode urmăresc să creeze aparența unei comunicări oficiale, cu scopul de a câștiga încrederea victimei.
BNR nu solicită niciodată, prin e-mail, telefon, mesaje-text sau mesaje instant, date cu caracter personal sau alte informații confidențiale despre credite, carduri sau conturi bancare, nici efectuarea unor transferuri de bani. De asemenea, reprezentanții BNR nu cer informații cu privire la veniturile personale, credite solicitate/ aprobate/ acordate de BNR sau de alți creditori profesioniști sau alte aspecte de natură financiară. Dacă se prezintă oportunități de investiții sau de obținere a unor câștiguri rapide, facile și consistente, cel mai probabil este un atac de tip spoofing.
În cazul în care ați fost contactați sau ați interacționat cu astfel de materiale sau site-uri false, NU furnizați date personale și să raportați imediat aceste situații autorităților competente.
