SMS-ul capcana:
- "Felicitari, Altex v-a desemnat prin tragere la sorti castigatorul unui telefon Nokia N-97 si 10.000 de Euro. pentru detalii contactati-ne. Altex Romania".
Exact asa arata un SMS primit pe telefonul mobil marti dimineata. Pentru ca nu sunt strain de astfel de mesaje mi-am dat seama ca este o inselatorie. In termeni tehnici se cheama phishing pe mobil. Esti ademenit cu un premiu, iar pentru ridicarea lui ti se solicita transmiterea de date personale (date de cont bancar), apelarea unor anumite numere de telefon sau achizita de cartele valorice si trimiterea codului de acces.
Care este primul lucru pe care trebuie sa-l faci daca nu ti-ai dat seama ca este o teapa? Suna la magazinul care iti promite minunatul castig.
Eu am sunat la Altex la relatii cu clientii, le-am spus de mesajul primit, iar reprezentantul retailerului m-a avertizat imediat: "Este o incercare de inselatorie. Nu am organizat nici un concurs. Va recomandam sa sesizati Politia".
Mi-am zis sa sun totusi inapoi la cel care mi-a transmis mesajul pentru a afla mai multe, ferm convins ca nu voi furniza date personale.
Discutia cu "infractorul"
Dupa ce intr-o prima faza telefonul a sunat mult fara ca la celalalt capat sa vina vreun raspuns, am decis sa fac o pauza si apoi am revenit. De data asta suna ocupat. Am mai incercat de mai multe ori in decurs de cateva minute dar situatia era identica. In cele din urma a raspuns o voce de barbat care vorbea foarte repede si incet, incat abia desluseam mesajul:
"Buna ziua ati sunat la reprezentanta Altex. Cu ce va putem ajuta?". Dupa ce ii spun ce mesaj am primit de la "Altex" individul imi sugereaza ca pentru a-mi ridica premiul - telefonul si cei 10.000 de euro sa ma duc la "reprezentanta generala a Altex din Bucuresti. Mergeti la sediul central al Altex sau puteti opta pentru un transfer bancar prin BCR. Daca aveti un cont curent vi se vireaza banii direct sau daca nu, va faceti unul pentru ca deschiderea unui cont e gratuita".
"Atat? Domnule, sigur nu e o teapa?" intreb eu.
Vadit deranjat de intrebare, individul imi spune taios: "Daca vi se pare o teapa puteti merge la Altex sau puteti suna inainte". Evident ca la intrebarea: Unde este sediul Altex, raspunsul a fost unul fals: "In Bucuresti, Soseaua Bucuresti - Ploiesti nr. 60-68". De asta iti dai insa seama abia dupa ce cauti pe internet.
Ce te indeamna sa faci Politia, Protectia datelor personale si operatorul de telefonie mobila
Dupa toate astea te intrebi: Ai fost sau nu pagubit chiar si numai pentru faptul ca ai sunat la acest numar de mobil? Poate era un numar cu supra taxa? O stire recenta a Pro TV care semnala aproape aceeasi situatie avertiza: "Aveti mare grija! Aceste conversatii telefonice interminabile si neverificate nu fac altceva decat sa va incarce nota de plata. Pentru escroci, in schimb, inseamna incarcarea unor conturi goale de mobil".
Diana Sarca, purtatorul de cuvant al Politiei Capitalei, a declarat pentru HotNews.ro: "Pentru a fi demarata o ancheta este normal ca persoana care a primit SMS-ul sa depuna plangere la politie, in primul rand. In acelasi timp, ar trebui informat si operatorul de telefonie mobila in cauza"
Am sunat deci la serviciul de relatii cu clientii al Orange Romania pentru a reclama inselaciunea. De notat ca Orange are o pagina dedicata prevenirii fraudelor in care subliniaza:
- "Orange nu solicita clientilor sai prin e-mail, mesaje scrise, scrisori, apeluri telefonice sau prin oricare alte modalitati informatii referitoare la conturi bancare, parole personale sau coduri de reincarcare".
Din discutia cu reprezentantii Orange, inclusiv cu cei de la serviciul de presa, am aflat ca numarul de pe care a fost trimis SMS-ul este unul de prepay, fapt care inseamna ca nu se poate sa fi fost suprataxat si ca nu se poate "fura creditul" si ca daca exista mai multe astfel de plangeri din partea clientilor accesul la numarul respectiv poate fi restrictionat.
Totusi, Orange are din 1 august 2009 o oferta prepay prin intermediul careia poti primi bonus minute cu cat primesti mai multe apeluri din alte retele - 60 de minute in retea pentru 60 de minute de apeluri primite din afara retelei. La calculul bonusului nu se iau in considerare apelurile primite din reteaua Orange, apelurile primite de la serviciile Orange automate (ex. serviciul Desteptare) sau apelurile ale caror costuri sunt suportate integral de Orange.
Cu alte cuvinte cine a sunat inapoi la acest numar si era client Orange (cazul meu) nu a pierdut nimic, mai putin costul firesc al apelului. Daca infractorul primeste insa apeluri din alte retele si strange 60 de minute poate primi un bonus pe cartela sa.
- "Orice actiune promotionala organizata de Orange este anuntata in mijloacele media - presa, televiziune precum si in materiale tiparite de Orange si pe site-ul oficial al Orange Romania. Nu exista riscul de frauda in cazul in care nu ati furnizat informatii confidentiale referitoare la conturi bancare, parole personale sau coduri de reincarcare si nu ati tastat coduri de reincarcare. Veti plati doar costul apelului. Atunci cand clientii sunt contactati in numele unei companii (in acest caz, Altex), in vederea participarii la un concurs sau o promotie organizata de catre acestia, avem rugamintea sa verifice corectitudinea acestor informatii cu compania respectiva", au precizat pentru HotNews.ro oficialii Orange Romania.
Am solicitat un punct de vedere si de la Autoritatea pentru Protectia Datelor (ANSPDCP).
- "Referitor la mesajele comerciale nesolicitate, in ceea ce priveste procedura solutionarii plangerilor, conform art. 25 alin. (3) din Legea nr. 677/2001, plangerea catre autoritatea de supraveghere nu poate fi inaintata mai devreme de 15 zile de la inaintarea unei plangeri cu acelasi continut catre operator(care, de regula, este persoana juridica care a transmis un mesaj comercial nesolicitat). In exercitarea atributiilor de investigare prevazute de art. 27 din Legea nr. 677/2001, autoritatea de supraveghere poate efectua investigatii din oficiu sau la primirea unor plangeri/sesizari si poate aplica amenzi contraventionale. In luna decembrie 2011 s-au aplicat doua sanctiuni contraventionale pentru spam", a declarat pentru HotNews.ro Alina Savoiu, seful biroului juridic si de comunicare al ANSPDCP.
Ca o concluzie, este putin probabil ca intreg acest atac de phishing sa fi fost facut numai pentru reincarcarea cartelei prepay. Cel mai probabil in cazul transferului bancar prin BCR infractorii ar fi incercat sa obtina si alte date bancare. Trist este ca acest gen de atacuri continua, in ciuda articolelor din presa, semn ca infractorii au totusi ceva de castigat si ca masurile luate de autoritati nu sunt suficiente.
Doua lucruri diferite: spam (mesaje comerciale nesolicitate - adica reclame) si phishing (care e o forma de inselatorie).
De spam se ocupa ANSPDCP, de phising se ocupa Politia.
Nu prea au legatura cele doua- deci raspunsul citat nu e aplicabil in cazul phishingului.
Plimba vintul doamnele de la ANSPDCP de aia sint intemperiile de acum .Deci nu va faceti iluzii .
Felicitari ca puneti lumea in garda cu mesajele phishing, not ok ca nu o faceti cum trebuie.
La cate minute sunt incluse in oferta de achizitie prepay din orice retea, imi e foarte greu sa cred ca bonusul de 60 minute este unul dintre scopurile urmarite de infractori. Cine trimite astfel de mesaje vrea ori detalii cont bancar, ori o reincarcare prepay. Apropo de reincarcari, cel mai probabil infractorul o sa-ti solicite tastarea unor "coduri" pe telefon = secventa scurta a serviciilor automate (SelfCare / IVR) prin care sa reincarci cu credit alte numere prepay. Asadar, atentie si la acest aspect.
Pe scurt, pasi de urmat in caz de phishing:
1. Contactez operatorul - agentul din front line iti poate spune daca exista o intelegere ca respectiva companie de telefonie sa trimita sms-uri pentru Altex, de exemplu. Mai mult, prin aceasta masura contribui la blocarea contului prepay (e evident ca niciodata un abonat in deplinatatea facultatilor mintale :) nu ar trimite sms phishing) si salvez alti oameni de la "teapa".
2. Daca nu m-am lamurit cu operatorul, atunci contactez compania mentionata in mesaj.
3. Ma adresez Politiei. Din pacate sunt slabe sanse ca infractorul sa fie prins - nu ca nu ar exista resurse informatice (servicii de localizare etc.), numai ca nu stiu ce prioritate au aceste sesizari pentru organele de ordine publica.
caz concret -1200 lei
-nu lasati bani pe mana credulilor:D
suna, da contul si asteapta sa-ti vireze banii...
Iar partea cu contul bancar nu prea inteleg .... te pune sa-ti deschizi cont la BCR daca nu ai ... si ce-or sa faca cu contul ala care oricum va fi gol ? O sa-ti vireze bani pe el ?
Si eu am primit SMS-ul respectiv anul trecut si m-am laudat putin la prieteni cu el :P. Bineinteles ca nu am sunat la numarul ala dar le-am dat un mesaj .. nu mai tin minte ce am scris in el.. ceva de mama lor parca :D
Pentru Hotnews: întrebaţi vă rog pe cei de la ANSPDCP dacă în urma unei sesizări trimit un răspuns din care să reiasă sancţiunea aplicată efectiv celui care a trimis spam-ul.
Sunt, de asemenea curios, ce măruri a luat ANSPDCP împotriva operatorilor de telefonie mobilă care au trimis chipurile, din greşeală, spam de la firme cu care au contract în acest sens (Mitsubishi, Sensiblu) deşi, în calitate de client am spus clar că nu doresc să primesc mesaje publicitare? Că doar se afirmă că ei se sesizează din oficiu...
Am verificat imediat ce era cu succesiunea de taste: ii trimiteam cu mana mea in contul lui de prepay vreo 200 Euro, suma maxima posibila. Suma mi-ar fi venit mie de plata pe factura Orange.
In concluzie, aveti grija maxima la astfel de sms-uri! Pot fi pacaliti si oamenii vigilenti!