Oszuści klonują głosy AI! Poznaj 5 prostych zasad, które uchronią Cię przed wyłudzeniem danych przez telefon.
Vishing to metoda oszustwa telefonicznego, która łączy słowa "voice" (głos) i "phishing". Jest to rodzaj ataku socjotechnicznego, w którym przestępcy wykorzystują rozmowy telefoniczne do nakłonienia ofiar do ujawnienia poufnych informacji lub wykonania określonych działań. W przeciwieństwie do tradycyjnego phishingu, który wykorzystuje wiadomości e-mail, vishing opiera się na komunikacji głosowej, co czyni go szczególnie skutecznym narzędziem dla oszustów.
Oszuści dzwoniący do potencjalnych ofiar często podszywają się pod przedstawicieli instytucji zaufania publicznego, takich jak banki, urzędy skarbowe, firmy technologiczne, a nawet policja czy członkowie rodziny. Celem tych ataków jest wyłudzenie danych osobowych, danych logowania do bankowości internetowej, numerów kart płatniczych lub bezpośrednie nakłonienie ofiary do wykonania przelewu na wskazany rachunek.
Badania pokazują, że vishing wykazuje znacznie wyższy wskaźnik powodzenia niż inne formy phishingu. Dzieje się tak, ponieważ połączenia telefoniczne cieszą się większym zaufaniem odbiorców niż komunikacja elektroniczna, a manipulacje socjotechniczne są łatwiejsze do przeprowadzenia w bezpośredniej rozmowie.
Skuteczność vishingu zwiększa tzw. "spoofing", czyli technika umożliwiająca przestępcom manipulowanie wyświetlanym numerem telefonu. Dzięki temu na ekranie telefonu ofiary może pojawić się numer instytucji, za którą podaje się oszust, co znacząco zwiększa wiarygodność ataku. Według "Raportu Antyfraudowego" Biura Informacji Kredytowej z 2024 roku, vishing i phishing zajmują czołowe miejsca wśród najpopularniejszych przestępczych działań socjotechnicznych w Polsce.
W ostatnich latach vishing stał się jeszcze bardziej zaawansowany dzięki wykorzystaniu sztucznej inteligencji. Przestępcy mogą użyć technologii AI do klonowania głosu, co pozwala im skutecznie podszywać się pod osoby znane ofierze, takie jak współpracownicy czy członkowie rodziny. Jest to szczególnie niebezpieczne, ponieważ głos generowany przez AI może brzmieć niezwykle podobnie do oryginału, zwiększając szanse na udany atak.
Podstawową cechą ataków vishingowych jest wywieranie presji i poczucia pilności. Oszuści celowo wprowadzają ofiarę w stan emocjonalnego napięcia, aby zmniejszyć jej racjonalne myślenie i skłonić do szybkiego działania. Często straszą poważnymi konsekwencjami, takimi jak utrata pieniędzy, problemy prawne czy zagrożenie dla bliskich osób, jeśli ofiara nie podejmie natychmiastowych działań.
Vishing stanowi poważne zagrożenie zarówno dla osób indywidualnych, jak i organizacji, a skutki udanego ataku mogą obejmować kradzież tożsamości, nieautoryzowane transakcje finansowe oraz dostęp do wrażliwych danych osobowych lub firmowych.
Ataki vishingowe stosują różnorodne techniki, aby skutecznie wyłudzać informacje przez telefon. Przestępcy opierają swoje działania na socjotechnice i wykorzystaniu nowych technologii.
Podstawową metodą vishingu jest podszywanie się pod zaufane instytucje lub osoby. Oszuści najczęściej występują jako przedstawiciele banków, firm kurierskich, operatorów telekomunikacyjnych, dostawców energii, urzędów skarbowych lub innych instytucji administracji publicznej. Nierzadko podają się także za policjantów, lekarzy, a nawet członków rodziny. Wiarygodność oszustów zwiększa znajomość podstawowych danych osobowych potencjalnej ofiary, które mogą być zdobyte wcześniej z wycieków danych.
Szczególnie skuteczną techniką w atakach vishingowych jest spoofing, czyli manipulacja wyświetlanym numerem telefonu. Dzięki technologii VoIP (Voice over IP) przestępcy mogą sprawić, że na ekranie telefonu ofiary pojawi się numer łudząco podobny lub identyczny z numerem osoby, za którą się podszywają. Technika ta pozwala na ukrycie prawdziwej tożsamości dzwoniącego, co znacząco utrudnia weryfikację rozmówcy.
Nieodzownym elementem vishingu jest wywieranie presji i budowanie poczucia pilności. Oszuści stosują różne scenariusze, informując o rzekomych nieprawidłowościach na koncie bankowym, podejrzanej aktywności czy zagrożeniu środków finansowych. Niektórzy straszą konsekwencjami prawnymi lub grzywnami, jeśli ofiara nie podejmie natychmiastowych działań. Presja czasu ma na celu osłabienie racjonalnego myślenia i skłonienie do szybkiej, nieprzemyślanej reakcji.
Najnowszym i szczególnie niebezpiecznym trendem w vishingu jest zastosowanie sztucznej inteligencji do klonowania głosu. Technologia ta umożliwia tworzenie syntetycznych głosów, które mogą być łudząco podobne do głosu osoby znanej ofierze. Wystarczy kilka sekund próbki głosu, aby wygenerować jego wiarygodną kopię. W 2025 roku odnotowano przypadki, gdy oszuści wykorzystali AI do naśladowania głosu włoskiego ministra obrony, próbując wyłudzić pieniądze od znanych włoskich przedsiębiorców.
Vishing, phishing i smishing to różne odmiany tego samego typu oszustwa, różniące się kanałem komunikacji. Podczas gdy phishing wykorzystuje wiadomości e-mail zawierające złośliwe linki lub załączniki, a smishing opiera się na SMS-ach, vishing bazuje wyłącznie na rozmowach telefonicznych. Jednakże, często ataki te występują łącznie – vishingowi może towarzyszyć smishing w postaci zwodniczych wiadomości tekstowych, zachęcających do oddzwonienia.
Przestępcy stale doskonalą metody ataków vishingowych, dostosowując je do różnych grup docelowych. Poniżej przedstawiamy najczęściej spotykane przykłady tego typu oszustw.
Jednym z najpowszechniejszych typów vishingu są połączenia od rzekomych pracowników banku. Oszuści informują ofiarę o podejrzanej aktywności na jej koncie bankowym, nieautoryzowanym przelewie lub próbie zaciągnięcia kredytu. Następnie, pod pretekstem zabezpieczenia środków, nakłaniają do podania danych logowania, kodów autoryzacyjnych lub zainstalowania "bezpiecznej" aplikacji. W rzeczywistości aplikacja ta umożliwia przestępcom zdalny dostęp do urządzenia ofiary lub przechwycenie danych uwierzytelniających.
W tym przypadku oszuści podszywają się pod pracowników urzędu skarbowego, informując o rzekomych zaległościach podatkowych lub błędach w rozliczeniu PIT. Straszą konsekwencjami prawnymi, grzywnami lub zajęciem konta, jeśli należność nie zostanie natychmiast uregulowana na wskazany numer rachunku. Szczególne nasilenie tego typu ataków występuje w okresie rozliczeń podatkowych, gdy podatnicy są bardziej podatni na tego typu manipulacje.
Przestępcy dzwonią podając się za pracowników pomocy technicznej znanych firm technologicznych, twierdząc, że komputer ofiary został zainfekowany lub naruszony. Przekonują ofiary do udzielenia zdalnego dostępu lub opłacenia fikcyjnych napraw, co prowadzi do kradzieży danych lub strat finansowych.
Ten typ vishingu skierowany jest głównie do osób starszych. Oszust dzwoni podając się za członka rodziny (najczęściej wnuczka) lub jego znajomego i informuje o nagłej sytuacji kryzysowej – wypadku, problemach zdrowotnych czy kłopotach z prawem. Następnie prosi o natychmiastową pomoc finansową, naciskając na szybkie działanie i dyskrecję. Przestępcy często stosują socjotechniki wywołujące silne emocje, aby zmniejszyć czujność ofiary.
Oszuści podszywają się pod firmy kurierskie, informując o problemie z dostarczaną przesyłką. Twierdzą, że konieczne jest uiszczenie niewielkiej dopłaty (zwykle kilka złotych) lub podanie danych osobowych w celu weryfikacji adresu dostawy. Link przesłany w takiej wiadomości prowadzi do fałszywej strony, która wygląda identycznie jak strona banku lub dostawcy płatności, gdzie ofiara nieświadomie udostępnia dane logowania do bankowości.
Skuteczna ochrona przed vishingiem wymaga stosowania kilku podstawowych zasad bezpieczeństwa. Przestępcy stale udoskonalają swoje metody, dlatego kluczowa jest czujność i zachowanie ostrożności podczas rozmów telefonicznych.
Pierwszą linią obrony przed vishingiem jest nieodbieranie połączeń z nieznanych numerów. Przestępcy często używają losowych numerów lub stosują spoofing, aby ukryć swoją tożsamość. Nieznane numery to zwykle próby spamu lub oszustwa, dlatego warto je ignorować. Jeśli sprawa jest ważna, osoba dzwoniąca zazwyczaj zostawi wiadomość głosową lub skontaktuje się w inny sposób.
Jeżeli odbierzesz podejrzane połączenie, natychmiast rozłącz się i samodzielnie zadzwoń na oficjalny numer instytucji. Nigdy nie oddzwaniaj na numer, z którego wykonano połączenie. Zamiast tego sprawdź prawidłowy numer na oficjalnej stronie internetowej organizacji. Niektóre banki oferują możliwość weryfikacji tożsamości konsultanta poprzez aplikację mobilną.
Żadna instytucja, w tym bank, policja czy urząd, nigdy nie prosi przez telefon o podanie danych logowania, haseł, kodów PIN, pełnych numerów kart płatniczych czy kodów autoryzacyjnych. Nigdy nie instaluj oprogramowania pod wpływem namowy rozmówcy. Pamiętaj, że pracownik banku nigdy nie poprosi o przelew na "bezpieczne konto" ani o podanie kodu BLIK.
Twórz unikalne, złożone hasła dla każdego konta i regularnie je zmieniaj. Włącz uwierzytelnianie wieloskładnikowe (MFA) wszędzie, gdzie to możliwe. Nawet jeśli oszust zdobędzie dane logowania, MFA wymaga dodatkowej formy weryfikacji, co znacząco utrudnia dostęp do konta bez Twojej wiedzy.
Współczesne ataki vishingowe wykorzystują sztuczną inteligencję do podszywania się pod głos bliskich osób. Aby chronić się przed takimi oszustwami, ustal z rodziną i bliskimi bezpieczne słowo lub hasło, znane tylko wam. Kiedy ktoś dzwoni z prośbą o pilną pomoc finansową, możesz zweryfikować jego tożsamość, prosząc o podanie ustalonego wcześniej hasła. Jeśli osoba dzwoniąca nie zna bezpiecznego słowa, masz do czynienia z oszustem.
76% menedżerów wskazało, że ich usługi IT są dostarczane za pośrednictwem zewnętrznych podmiotów.
CodeARM Sp. z o.o.
ul. Senatorska 31
93-192 Łódź
NIP 7292741912
KRS 0000939298
1 Deloitte Global Outsourcing Survey 2022.
2 Resilience reimagined, Economist Impact & Iron Mountain, 2022