A vishing (voice phishing) azt jelenti, hogy a csaló telefonhívásban próbál adatokat kicsalni vagy rávenni a célszemélyt valamilyen műveletre. Magyarországon is egyre gyakoribb forma, hogy a csalók banki ügyintézőnek, bank biztonsági munkatársnak vagy akár rendőrségi nyomozónak adják ki magukat . A hívó fél gyakran tud a károsultról néhány alapadatot (neve, telefonszáma, esetleg hogy melyik banknál vezet számlát – ezeket akár korábbi adatszivárgásokból vagy közösségi médiából megszerezhették). Néhány forgatókönyv:
- “Banki biztonsági ellenőrzés” legendája: A csaló azt állítja, hogy a banknál gyanús tevékenységet észleltek az ügyfél számláján vagy kártyáján (pl. “adathalász kísérletet látnak a fiókjában”, vagy “ismeretlen átutalás indult”). Azzal az ürüggyel, hogy ezt megakadályozzák, elkérik a bankkártya adatait (szám, lejárat, CVC), sőt esetleg a netbank belépési kódokat is, “egyeztetés” céljából . Paradox módon tehát azzal verik át az áldozatot, hogy épp egy csalást hárítanak el – miközben ők maguk a csalók. Gyakran meghamisítják a hívószámot is: a telefon kijelzőjén a bank hivatalos telefonszáma vagy ahhoz hasonló jelenik meg . Erre már Magyarországon is volt példa (ún. caller ID spoofing), így a számkijelzésben sem lehet megbízni. Ha a gyanútlan ügyfél bedől, diktálni kezdi a kártyaadatokat vagy kódokat, a csalók azonnal visszaélnek vele (pl. internetes vásárlást indítanak a kártyával). Fontos: Egy bank sem fog telefonon teljes kártyaszámot, internetbanki jelszót vagy SMS-kódot kérni!
- “Hivatalos szerv” legendája (rendőrség vagy egyéb): A legújabb trükkök egyike, amikor a csalók hatóság nevében telefonálnak. Például rendőrnek adják ki magukat, és közlik, hogy a banki számlánkat feltörték, pénzmosás gyanúja van, vagy épp zajlik egy akció csalók elfogására . A “rendőr” elnyeri a bizalmat, majd össze is kapcsol egy másik hívóval, aki a bank munkatársának mondja magát és segít “megelőzni a bajt”. Itt két út lehetséges a csalók számára: az egyik, hogy adatokat kérnek el (kártyaadatok, belépési kódok) – ezt lásd előző pont. A másik, egyre terjedő módszer, hogy ráveszik az ügyfelet valamilyen műveletre, például telepítsen egy programot a számítógépére vagy telefonjára . Gyakran konkrétan megnevezik a TeamViewer, AnyDesk vagy más távoli elérést biztosító szoftvert . Azt állítják, ezen keresztül segítenek “ellenőrizni” a gépet vagy visszaszerezni a pénzt – valójában pont ezzel adjuk a kezükbe a kulcsot! Ha a program települ, a csalók átveszik a gép irányítását, és végignézik (sőt irányítják), ahogy belépünk a netbankba. Gyakran még az erős, kétfaktoros hitelesítést is kijátsszák úgy, hogy megkérik: “mondja be az SMS-ben kapott kódot, hogy le tudjuk tiltani a fiókját”, stb., amivel igazából jóváhagyjuk a belépést vagy egy tranzakciót számukra . Így történhetett meg, hogy az áldozat önként diktálta be a banki SMS-kódját a csalóknak, akik ezután kizárták őt a saját netbankjából és kiürítették a számlát . – Mindezt egy “segítő rendőr és bankár” díszlet mögé bújva.
- “Biztonsági számla” vagy átutalásos trükk: Angliában és más országokban elhíresült módszer, hogy a csaló banki emberként azt javasolja: “a pénze veszélyben van, át kell menekíteni egy biztonsági számlára”. Ez a biztonsági számla valójában a csaló által irányított számla. Az áldozat saját kezűleg utalja át a pénzt a megadott számlaszámra, abban a hitben, hogy azt a banknál egy védett helyre teszik. Hasonló megtévesztés lehet egy hamis “tesztutalás” kérése is. Magyarországon is előfordult már ilyen kísérlet. Fontos tudni: a bank sosem kér ügyfelet, hogy saját maga utalja át a pénzét bárhová biztonsági okból – ez biztosan csalás.
Miért dőlünk be? A telefonos csalók pszichológiai nyomást alkalmaznak: autoritásnak adják ki magukat (banki szakember, nyomozó), sürgetnek (“azonnal cselekedni kell, különben ugrik a pénze!”), és félelmet keltenek. Ezzel megbénítják a józan ítélőképességet. Ráadásul ma már gyakran magyar nyelven, sőt sokszor anyanyelvi szinten beszélő csalók telefonálnak , így a régi gyanújel (tört magyar beszéd) sem áll fenn. A legfontosabb, hogy legyünk tudatában: sem bank, sem rendőrség nem fog kérni telepítést, jelszót, kódot így. Ha ilyen hívást kapunk, szakítsuk meg, és hívjuk fel a bankot mi magunk a hivatalos számon!