Grafika przedstawiająca twarz osoby z zestawem słuchawkowym na uszach, prawdopodobnie pracująca jako konsultant telefoniczny. Twarz osoby jest wygładzona, co sugeruje, że jest to ilustracja. Osoba ma na sobie jasną marynarkę. Tło jest jednolite, jasnoszare.

Vishing (voice phishing) – co to jest i jak się przed tym obronić?

15 kwietnia 2025
Informacje zawarte w artykule są aktualne na dzień jego publikacji

Cyberprzestępcy uciekają się do wielu metod, za pomocą których próbują przejąć już nie tylko dane wrażliwe, ale i dostęp do rachunków bankowych. Jednym z oszustw jest vishing, czyli tzw. oszustwo głosowe. Sprawdź, na czym ono polega i jak nie wpaść w pułapkę złodziei.

Co to jest vishing?

Trudno jest zidentyfikować wiarygodność osoby telefonującej, zwłaszcza gdy dzwoni ona z nieznanego numeru. To właśnie wykorzystuje tzw. vishing (inaczej voice phishing). Cyberprzestępcy podszywają się pod osoby pracujące w konkretnej instytucji, starają się wzbudzić zaufanie, by wyłudzić dane wrażliwe, potrzebne na przykład do zalogowania się do serwisu transakcyjnego banku.

Jeszcze jakiś czas temu oszuści dzwonili z nieznanego numeru, najczęściej stacjonarnego (taki jest bowiem trudniej zidentyfikować). Obecnie ich działania są dużo bardziej wiarygodne, ponieważ – dzięki zastosowaniu odpowiednich narzędzi – potrafią podszyć się pod numer infolinii banku. Zwiększa to zaufanie i potrafi uśpić czujność potencjalnej ofiary. W efekcie – nawet jeśli taka osoba ma świadomość ryzyka oszustwa – może dać się nabrać. 
 

Vishing – popularne scenariusze

Oszustwo telefoniczne zaczyna się dość niewinnie, ponieważ osoba podszywająca się pod pracownika banku bazuje na standardowych procedurach. Zwykle prosi o weryfikację danych klienta, poprzez podanie:

  • numeru PESEL
  • nazwiska panieńskiego matki
  • miejsca zamieszkania.

Dalsze działania bywają różne, ale zawsze mają doprowadzić do tego samego celu, czyli pozyskania danych dostępowych do serwisu transakcyjnego albo aplikacji mobilnej banku. Oszust może na przykład:

  • poprosić o zainstalowanie aplikacji mobilnej, aby ułatwić kontakt z bankiem – jest to jednak fałszywa aplikacja mobilna, a jej zainstalowanie wiąże się z instalacją złośliwego oprogramowania;
  • poinformować o próbie wyłudzenia kredytu na dane osoby oszukiwanej – w tym przypadku najczęściej ofiara proszona jest o zainstalowanie oprogramowania zabezpieczającego, a na potwierdzenie prawdziwości słów przekazywany jest kontakt do rzekomego specjalisty IT;
  • poinformować o próbie zlecenia przelewu na pokaźną kwotę – w tym przypadku oszust ma podobny argument jak wyżej, tj. nakłania do zainstalowania specjalnej aplikacji.

Zwykle oszuści bazują na emocjach, które – szczególnie jeśli związane są z ryzykiem utraty pieniędzy z konta bankowego – pomagają w doprowadzeniu oszustwa do końca. Nikt przecież nie chce stracić środków zgromadzonych na koncie, niezależnie od tego, jak duża kwota jest tam ulokowana.

Często zdarza się, że ofiara oszustwa, mimo zachowania czujności, zostaje „zbita z tropu” przez przestępcę, który nakłania ją do sprawdzenia wyświetlanego numeru telefonu z danymi na stronie internetowej banku. Gdy numer jest identyczny, zaufanie zazwyczaj rośnie. Tymczasem cyberprzestępcy potrafią podszyć się pod bank poprzez zmianę wyświetlanego numeru telefonu.

Jeśli ofiara da się zwieść pozorom i postąpi zgodnie ze wskazówkami oszustów (np. zainstaluje aplikację, kliknie w podany SMS-em link), wówczas istnieje duże ryzyko utraty nawet wszystkich środków zgromadzonych na koncie bankowym. Oszust będzie w stanie pozyskać dane niezbędne do przeprowadzenia kradzieży pieniędzy. 

Voice phishing – jak się przed nim uchronić?

Trudno jest uniknąć kontaktu z oszustem telefonicznym, szczególnie jeśli na ekranie smartfona wyświetla się numer banku. Można jednak ustrzec się przed jego zwodniczym działaniem, zapobiegając utracie pieniędzy. W jaki sposób? Nigdy:

  • nie decyduj się na pobieranie aplikacji podczas rozmowy telefonicznej
  • nie podawaj danych do logowania: loginu czy hasła
  • nie podawaj danych z karty płatniczej – szczególnie kodu CVV.

Takie dane nie są potrzebne pracownikowi do tego, aby zapobiec dalszemu, rzekomemu wyciekowi środków z twojego rachunku bankowego.

Jeżeli masz jakiekolwiek wątpliwości co do wiarygodności pracownika banku, po prostu się rozłącz.  Samodzielnie skontaktuj się z infolinią banku i dowiedz się, czy faktycznie ktoś do ciebie dzwonił. Jeśli rzeczywiście zaszła próba wyłudzenia pieniędzy z twojego rachunku, dowiesz się tego od rzeczywistego pracownika banku. 

Co jeszcze możesz zrobić? Aby uchronić się przed samym wyłudzeniem kredytu na twoje dane, możesz też zastrzec numer PESEL (np. za pośrednictwem aplikacji mobilnej mObywatel). Dzięki temu będziesz wiedzieć, że informacja o wyłudzeniu kredytu jest nieprawdziwa (zastrzeżony PESEL oznacza brak możliwości zaciągnięcia jakiegokolwiek zobowiązania finansowego) i masz do czynienia z vishingiem.

Pamiętaj! Warto zapoznać się z regulaminem banku. Dzięki temu dowiesz się, jakie są procedury postępowania w różnych sytuacjach. Będziesz wiedzieć, jakie informacje są wymagane od ciebie do weryfikacji, o co może pytać pracownik banku, a jakich pytań na pewno nie zadaje.