Robert „Frisbee” Coleman este un nume cunoscut în lumea frisbee-ului freestyle. Membru al Hall of Fame-ului disciplinei și fost performer de talie mondială, omul s-a reinventat ca pianist și astăzi cântă regulat la Willy D’s Piano Bar din River Market, în Little Rock, Arkansas. Povestea spusă de el la o televiziune locală n-are însă legătură cu muzica sau cu sportul, ci cu o pierdere care i-a luat aproape tot ce strânsese de-a lungul vieții.
A primit un apel pe care l-a crezut, fără ezitare, de la banca lui. Vocea suna calm și profesionist, ca a oricărui angajat dintr-un departament de prevenire a fraudelor. Numărul afișat pe ecran era exact cel tipărit pe spatele cardului său de la U.S. Bank. Câteva minute mai târziu, contul îi era practic gol, iar 25.000 de dolari dispăruseră într-un șir de transferuri pe care el însuși le-a confirmat, fără să bănuiască ce face.
Pentru un fost campion mondial la disc zburător, situația are ceva aproape ironic. Reflexele care îl făcuseră celebru pe terenurile internaționale n-au mai folosit la nimic în fața unei voci pe care n-o putea atinge.
Un apel care suna ca de la bancă, până la cel mai mic detaliu
Coleman a recunoscut deschis că a fost convins de naturalețea conversației. „Am primit un apel de la banca mea, U.S. Bank, sau, mai bine zis, de la ce credeam eu că este banca mea, dar nu era”, a spus el la THV11, postul afiliat CBS din regiune. Persoana care vorbea cunoștea detalii despre conturile lui pe care, de obicei, doar cineva din interiorul instituției ar fi avut cum să le știe.
Tocmai acel grad de cunoaștere a funcționat ca un cârlig psihologic. Când vocea care îți spune că e de la bancă recită ultimele tranzacții, soldul aproximativ și fragmente din numele tău complet, scepticismul slăbește rapid.
Coleman a urmat indicațiile, a citit cu voce tare un cod primit prin SMS pe propriul telefon și, în câteva secunde, contul a devenit accesibil pentru cineva aflat probabil la mii de kilometri distanță. „Cred că, în clipa în care le-am citit codul, au avut acces complet la contul meu”, a spus el, înainte să adauge că vocile de la celălalt capăt al firului pretindeau că aparțin „departamentului de fraude”.
Ce s-a întâmplat poartă un nume tehnic sec, uzurpare de identitate bancară prin spoofing telefonic. Procuratura statului Arkansas și instituțiile federale americane o tratează ca pe o categorie distinctă de infracțiune, fiindcă mecanica ei depinde de doi factori pe care victimele nu îi pot controla. Primul ține de afișajul aparent legitim al numărului apelantului. Al doilea ține de cantitatea îngrijorătoare de date personale pe care escrocii le pot cumpăra, agrega și folosi în timp real.
Decizia de a spune totul public
Coleman este un om care și-a câștigat existența pe scenă, cu instinctul de a citi rapid o sală. Hotărârea lui de a vorbi deschis despre incident, cu nume și prenume, are o valoare aparte. Multe victime ale fraudelor financiare aleg tăcerea, copleșite de o jenă care nu li se cuvine, dar care vine la pachet cu pierderea în sine. „Nu credeam vreodată că o să cad într-o fraudă”, a spus el. Declarația, simplă și fără cosmetizare, este probabil cea mai onestă portretizare a felului în care reușește un atac de inginerie socială.
Conform datelor publicate de Federal Trade Commission, americanii au raportat în 2024 pierderi de aproximativ 12,5 miliarde de dolari din cauza fraudelor, iar cele cu uzurparea identității unei instituții formează categoria cu cea mai accelerată creștere.
Cifra rămâne conservatoare, fiindcă doar o parte mică dintre victime ajung să depună o plângere oficială. Estimările interne ale agenției arată că, pentru fiecare caz raportat, există probabil alte trei sau patru care nu trec niciodată pragul vreunei autorități.
Spoofing-ul telefonic, un truc vechi care încă funcționează
Falsificarea numărului afișat la primirea unui apel, cunoscută sub denumirea englezească de caller ID spoofing, exploatează o slăbiciune structurală a rețelelor de telefonie. Standardul vechi de transmitere a apelurilor nu prevedea autentificarea numărului expeditorului, iar telefonia prin internet, numită VoIP, a transformat această slăbiciune într-o piață.
Pentru câțiva dolari, un infractor poate cumpăra acces la un serviciu care îi permite să afișeze pe ecranul victimei aproape orice combinație de cifre, inclusiv numerele oficiale ale băncilor, ale poliției sau ale agențiilor fiscale.
Federal Communications Commission a impus din 2021 un protocol numit STIR/SHAKEN, gândit pentru a marca apelurile autentice și a filtra cele falsificate. Implementarea este însă neuniformă, iar o porțiune semnificativă din apelurile primite zilnic de americani trec încă prin operatori care nu validează corespunzător originea. Pentru un consumator obișnuit, faptul că pe ecran apare numărul tipărit pe cardul bancar oferă o falsă siguranță, foarte greu de demontat în secundele scurte de început ale unei conversații.
De unde provin datele care dau credibilitate fraudei?
Întrebarea pe care și-o pun aproape toate victimele, inclusiv Coleman, e simplă. De unde știau cei de la celălalt capăt al firului atâtea lucruri despre contul lor. Răspunsul, mai puțin spectaculos decât teoriile conspirative, ține de economia subterană a datelor personale. Scurgerile de date din ultima decadă, de la Equifax la Yahoo, T-Mobile și nenumărați comercianți online, au pus în circulație miliarde de înregistrări care includ nume, adrese, numere de telefon și fragmente din istoricul de tranzacții.
Pe forumurile criptate, infractorii cumpără pachete de date numite „fullz”, care conțin profilul aproape complet al unei persoane, la prețuri care pleacă de la câțiva dolari per individ. Pentru un atac țintit, datele acestea se combină cu informații publice, profiluri de pe rețelele sociale și, uneori, cu fragmente smulse din apeluri precedente, în care o altă victimă a confirmat fără să-și dea seama ce bancă folosește și cam când îi intră salariul.
Conform datelor publicate de FBI Internet Crime Complaint Center, volumul plângerilor legate de fraude prin telefon a crescut cu peste 30% în ultimii doi ani.
Codul de șase cifre, momentul în care contul a fost pierdut
Punctul critic al întregii povești este momentul în care Coleman a citit cu voce tare un cod. Nu vorbim despre o parolă pe care el o cunoștea de dinainte. Codul respectiv era unul de tip One Time Password, generat și trimis prin SMS chiar de sistemul real al U.S. Bank. Tehnica este cunoscută specialiștilor, iar variantele ei poartă nume diferite, de la „authentication code phishing” până la atacuri descrise drept „SIM swap fără SIM swap”.
Mecanismul funcționează simplu, dar diabolic. Escrocul, având deja datele de bază ale victimei și o parolă obținută probabil dintr-o scurgere veche, încearcă să se autentifice pe contul real al băncii. Sistemul cere o confirmare suplimentară sub forma unui cod trimis pe telefonul titularului.
Atacatorul, în paralel, ține victima la telefon și o convinge că trebuie să citească imediat codul, sub pretextul „verificării identității” sau „blocării unei tranzacții suspecte”. Din momentul în care îl primește, fereastra de timp în care îl poate folosi e de circa șaizeci de secunde, dar atât îi e suficient.
Echipele din spatele unui singur apel telefonic
Mulți și-au imaginat fraudele bancare ca pe operațiuni rapide și solitare, cu un singur infractor în spatele unui ecran. Realitatea actuală arată altceva. Rețelele moderne de fraudă funcționează în echipe specializate, cu roluri clar împărțite.
Persoana care ține la telefon victima este numită în jargonul anchetatorilor „closer”, iar în paralel cu ea lucrează altcineva, direct pe contul bancar real. Mai există un al treilea participant, „mule”-ul, adică omul sau șirul de oameni prin ale căror conturi banii sunt mutați rapid, ca să devină greu de urmărit.
Cea care vorbește cu victima are un script bine pus la punct, repetat de zeci sau sute de ori. Are pregătite obiecții pentru fiecare ezitare. Dacă observă că persoana sună suspect, începe să folosească tehnici de presiune temporală.
„Domnule, în acest moment cineva încearcă să transfere 8.000 de dolari din contul dumneavoastră, dacă nu confirmați acum, banii se pierd.” Scenariul auzit de Coleman, după declarațiile lui, era construit pe ideea că „departamentul de fraude” intervine ca să-i salveze banii, când, de fapt, exact acea voce era frauda.
Suma pierdută înseamnă mai mult decât atât
Cei 25.000 de dolari par, pentru cineva care privește statistic, modești în comparație cu fraudele de șapte cifre apărute uneori în presă. Pentru Coleman, însă, erau totul. „Erau toți banii pe care îi aveam în lume, practic”, a spus el. Faptul că muzicianul continuă să cânte pian la Willy D’s și are concerte programate la festivaluri precum Byrdfest din Ozark îl ține pe linia de plutire, dar nu compensează șocul psihologic.
Studiile efectuate de AARP Fraud Watch Network arată că pierderile financiare cauzate de fraudele cu uzurpare de identitate sunt urmate, în peste 60% din cazuri, de simptome de anxietate, depresie și o erodare durabilă a încrederii în instituții și în propriile decizii. La persoanele de peste cincizeci de ani, riscul de declin al sănătății mintale după o astfel de experiență poate fi măsurat clinic și se prelungește pe perioade de luni de zile.
Vinovăția pe care o resimt victimele
Una dintre marile capcane ale acestui tip de infracțiune este că victima ajunge să se învinovățească singură. Coleman a recunoscut public că ar fi vrut să închidă telefonul și să sune banca direct, un gest care l-ar fi salvat.
Acea autoreproșare, deși firească omenește, este nedreaptă din punct de vedere obiectiv. Profesioniștii fraudei își aleg cu grijă vorbele, ritmul, momentul. Reușesc să-i păcălească inclusiv pe polițiști pensionari, contabili cu decenii de experiență sau avocați specializați în drept comercial, fiindcă atacul vizează nu inteligența, ci o structură elementară a încrederii umane.
În cazul lui Coleman, conexiunea cu instituția pe care credea că o avea la celălalt capăt al firului era întărită de afișajul corect al numărului. În psihologia cognitivă, fenomenul poartă numele de „efect de ancorare” și descrie tendința creierului uman de a folosi prima informație percepută drept reper pentru toate concluziile ulterioare. Numărul corect a devenit ancora, iar tot ce a urmat a fost interpretat prin filtrul ei.
Reacția procurorului general al Arkansasului
Procurorul general al statului, Tim Griffin, a făcut o declarație publică în care a avertizat populația asupra acestui tip de fraudă. „Fraudele în care actori rău intenționați pretind că reprezintă instituții financiare sunt, din păcate, frecvente, dar locuitorii Arkansasului se pot proteja amintindu-și că nicio bancă sau uniune de credit legitimă nu vă va suna pentru a vă cere să mutați bani prin telefon”, a transmis el.
Griffin a adăugat că reacția corectă este simplă, închiderea telefonului și un apel ulterior la un număr verificabil al instituției respective.
Mesajul oficial vine în contextul în care state precum Arkansas au înregistrat creșteri ale fraudelor financiare cu valori procentuale de două cifre în ultimii doi ani. Procuratura locală derulează campanii de informare, însă, după cum recunosc chiar reprezentanții ei, ritmul de inovare al infractorilor depășește ritmul educației publice.
Dacă unele țări europene au introdus avertismente vocale la începutul apelurilor primite din afara rețelelor naționale, autoritățile americane discută acum reglementări care să oblige operatorii să afișeze pe ecran mențiunea că un apel n-a fost autentificat criptografic.
Recuperarea banilor, un proces nesigur
Coleman a precizat că lucrează direct cu U.S. Bank pentru a recupera o parte din sumă și că instituția a fost cooperantă. Realitatea arată însă că procesul este complex. Conform Consumer Financial Protection Bureau, legea americană face o distincție între transferurile neautorizate, la care victima are dreptul la rambursare integrală, și plățile autorizate dar înșelate, adică acele situații în care victima a confirmat ea însăși tranzacția, chiar dacă pe baza unei minciuni.
În a doua categorie intră majoritatea fraudelor de tipul celei suferite de Coleman. Băncile au, în general, marjă de manevră să considere astfel de transferuri ca fiind autorizate, ceea ce complică decizia de rambursare. În ultimii ani, sub presiunea autorităților de reglementare, mai multe instituții americane au început să adopte politici interne mai prietenoase față de victimele fraudelor de inginerie socială, dar uniformitatea este departe de a fi atinsă. În Marea Britanie, sistemul Confirmation of Payee, alături de schema voluntară de rambursare administrată prin Lending Standards Board, oferă un model studiat acum atent de regulatorii americani.
Cum se construiește o astfel de capcană, pas cu pas
Pentru a înțelege de ce Coleman, om obișnuit cu reflectoarele și cu spectacolul, a căzut într-o astfel de schemă, ajută o privire detaliată asupra arhitecturii ei. Totul începe cu achiziția datelor, momentul tăcut în care atacatorul cumpără sau găsește un fișier cu informații despre titularul de cont, suficient cât să poată recita câteva detalii care creează senzația de cunoaștere. Urmează alegerea momentului.
Apelurile vin frecvent în jurul amiezii, când oamenii sunt ocupați și mai puțin atenți, sau seara târziu, când nivelul de alertă cognitivă scade.
Mai departe intră în scenă spoofing-ul numărului, dublat de o frază de început care construiește încredere imediat, ceva de tipul „aici este departamentul de prevenire a fraudelor”. De aici începe partea cea mai delicată, crearea urgenței.
Victima este informată că o tranzacție suspectă tocmai a fost detectată și că, pentru a o opri, este necesară o acțiune imediată. În minutele următoare, este ghidată să citească un cod, să confirme o operațiune sau să acceseze un link, iar în paralel atacatorii efectuează deja transferurile reale. Aproape întotdeauna, escrocii încearcă să o țină pe victimă cât mai mult timp pe linie, ca să nu poată suna banca reală până când mulele nu finalizează rețeaua de transferuri.
Cazurile care folosesc deja inteligența artificială
Începând cu 2024, o variantă particulară a acestui tip de fraudă a început să folosească modele de generare vocală. Voci sintetizate, antrenate uneori pe înregistrări publice ale unei persoane, sunt utilizate pentru a contacta un bancher în numele unui presupus client, sau invers, pentru a vorbi cu rude apropiate ale unei victime. Apar deja cazuri în care nepotul cuiva sună speriat, cu vocea exactă a băiatului real, cerând bani urgent.
În cazul lui Coleman, deocamdată nu există indicii că s-ar fi folosit o astfel de tehnologie. Apelul a fost, după toate aparențele, unul uman, dintr-un call center clandestin. Anchetele recente publicate de Reuters și Bloomberg au atras atenția că multe astfel de centre operează din regiuni unde aplicarea legii este permisivă, iar profitul mediu pe operator depășește 100.000 de dolari pe an.
„Industria” fraudei telefonice are, surprinzător sau nu, o structură economică riguroasă, cu management, formare profesională și concedii plătite.
Cele câteva minute care pot face diferența
Recomandarea pe care a transmis-o Coleman, cu o simplitate rară, este și cea mai eficientă. Dacă apare cea mai mică ezitare în timpul unui apel care pretinde că vine de la bancă, persoana sunată trebuie să închidă pur și simplu telefonul. Apoi, fără grabă, să formeze numărul tipărit pe spatele cardului bancar, nu pe cel afișat pe ecranul apelului anterior. În acel moment, escrocul nu mai există. Întreaga ipoteză a urgenței se evaporă.
Specialiștii recomandă, suplimentar, ca persoanele să nu citească niciodată coduri SMS la telefon. Mesajele primite de la bănci au întotdeauna o linie clară, care precizează că reprezentanții instituției nu vor cere niciodată acel cod.
Faptul că, totuși, victimele continuă să-l ofere ține de presiunea conversațională, nu de lipsa avertismentului scris. Educația financiară de bază ar trebui să includă antrenamentul mental al încheierii unui apel suspect fără explicații, însă acea abilitate este, paradoxal, mai greu de însușit decât pare.
Ce trebuie făcut imediat după o fraudă?
Atunci când frauda s-a produs deja, primele cincisprezece minute sunt determinante. Victima ar trebui să sune imediat banca la numărul oficial și să ceară blocarea conturilor, urmată de o cerere formală de retragere a tranzacțiilor. Conform U.S. Bank, raportarea în primele 48 de ore protejează parțial titularul, conform Electronic Fund Transfer Act. Următorul gest important este depunerea unei plângeri la Internet Crime Complaint Center, condus de FBI, alături de o reclamație la Federal Trade Commission.
Tot în acea fereastră scurtă de timp, este recomandată înghețarea istoricului de credit la cele trei mari birouri de credit din SUA, Equifax, Experian și TransUnion, ca să se prevină deschiderea de noi conturi pe numele victimei.
Mulți experți insistă și pe o vizită la o filială fizică a băncii, fiindcă o conversație telefonică cu serviciul clienți, oricât de bine intenționat, nu lasă întotdeauna o urmă scrisă pe care o anchetă ulterioară să se sprijine. Schimbarea tuturor parolelor, începând cu cele de la email, devine obligatorie, fiindcă scurgerea poate avea o componentă digitală pe care victima n-a observat-o încă.
O problemă pe care un singur caz nu o poate rezolva
Cazul lui Coleman are valoarea unei povești individuale, dar reflectă o problemă sistemică. Atunci când falsificarea numărului afișat este atât de simplă încât poate fi cumpărată ca serviciu lunar, încrederea naturală a publicului în instituțiile financiare devine o vulnerabilitate. Băncile, operatorii de telecomunicații și autoritățile sunt prinse într-un joc cu reguli inegale, în care infractorii investesc cu un avans de doi sau trei ani față de regulatori.
În acest peisaj, povestirile de tipul celei spuse de Coleman au o funcție publică reală. Ele traduc statisticile reci în fețe umane, în vieți, în salarii pierdute. Un fost campion mondial la frisbee, ajuns membru al Hall of Fame-ului disciplinei, transformat în victimă a unei voci necunoscute.
Un pianist care continuă să cânte pe scenă în timp ce așteaptă verdictul unei anchete bancare. O sumă de 25.000 de dolari care, pentru cei care n-au lucrat niciodată cu astfel de cifre, înseamnă echivalentul a aproape un an de muncă cinstită.
De ce povestea aceasta merită ascultată cu atenție?
Vechea înțelepciune spune că oamenii uită avertismentele dacă ele nu vin la pachet cu o emoție. Reportajele scurte despre fraudele bancare, urmărite distrat la televizor, lasă urme superficiale.
Atunci când însă cineva, cu nume, prenume și o profesie verificabilă, spune cu glas tare că a pierdut economiile vieții, mesajul prinde rădăcini. Coleman a ales să povestească tocmai pentru ca alți oameni să închidă, la timp, un telefon pe care, altfel, l-ar fi păstrat la ureche prea mult.
Această alegere nu îi recuperează banii, deși discuțiile cu banca par să meargă într-o direcție bună. Îi dă, în schimb, șansa să-și transforme o experiență dureroasă într-un instrument util pentru ceilalți. Iar instrumentul este simplu, atât de simplu încât pare aproape banal, gestul mâinii care apasă butonul roșu pe ecranul telefonului, urmat de o respirație și de un al doilea apel, format cu calm, către numărul real al băncii.
Intrebari Frecvente(FAQ)
Coleman a primit un apel telefonic în care apelantul afișa numărul oficial al U.S. Bank și pretindea că reprezintă departamentul de fraude. Convins de naturalețea conversației și de detaliile pe care apelantul le cunoștea despre contul său, Coleman a citit cu voce tare un cod de autentificare primit prin SMS, oferind astfel acces complet la cont. În câteva minute, contul i-a fost golit prin transferuri pe care el însuși le-a autorizat, fără să bănuiască scopul lor.
Spoofing-ul telefonic, sau caller ID spoofing, este o tehnică prin care atacatorii afișează pe ecranul victimei un alt număr decât cel real al apelantului. Tehnologia se bazează pe servicii VoIP comerciale, ușor de procurat, care exploatează lipsa autentificării în vechiul protocol al telefoniei. Standardul STIR/SHAKEN, impus în SUA din 2021, ar trebui să blocheze astfel de apeluri, dar implementarea rămâne neuniformă între operatori.
Codul One Time Password trimis prin SMS este, de fapt, generat în momentul în care cineva încearcă să acceseze contul real. Dacă victima îl citește la telefon, atacatorul, care are deja parola obținută probabil dintr-o scurgere veche, finalizează autentificarea și obține controlul complet. Băncile precizează clar în mesajele SMS că nu vor cere niciodată acel cod prin telefon, însă presiunea conversațională îi face pe mulți să ignore avertismentul scris.
Reacția corectă este închiderea telefonului fără ezitare și sunarea înapoi la numărul tipărit pe spatele cardului bancar, niciodată la numărul afișat pe ecranul apelului anterior. Procurorul general al Arkansasului a subliniat că nicio bancă sau uniune de credit legitimă nu va suna pentru a cere mutarea unor bani prin telefon. Verificarea independentă, prin canale oficiale, deactivează aproape complet riscul.
Recuperarea depinde de modul în care banca clasifică tranzacțiile. Transferurile considerate neautorizate sunt rambursabile integral conform Electronic Fund Transfer Act, dar plățile autorizate, chiar dacă pe baza unei minciuni, intră într-o zonă gri. În ultimii ani, sub presiunea regulatorilor, instituții americane au început să adopte politici mai prietenoase față de victimele fraudelor de inginerie socială, dar uniformitatea lipsește încă.
Datele provin din scurgerile masive de informații din ultimul deceniu, de la Equifax la Yahoo, T-Mobile și nenumărați comercianți online. Pe forumurile criptate, infractorii cumpără pachete numite „fullz”, care conțin profilul aproape complet al unei persoane, la prețuri care încep de la câțiva dolari. Aceste date se combină cu informații publice și fragmente din apeluri precedente pentru a construi o imagine credibilă a victimei.
Trei reflexe simple oferă cea mai bună protecție. Nu citi niciodată coduri SMS la telefon, indiferent de presiunea apelantului. Tratează orice apel care îți cere să muți bani sau să confirmi tranzacții ca pe o tentativă de fraudă, până la proba contrară. Întotdeauna sună înapoi la numărul oficial al băncii, formând cifrele manual, fără să folosești istoricul de apeluri.
