Dramat klientów czołowych banków. Zostali z niczym na kontach

Klienci polskich banków narażeni są na nową falę niebezpiecznych ataków phishingowych, które mogą prowadzić do całkowitej utraty środków zgromadzonych na kontach. CERT Orange Polska wykrył kolejną kampanię oszustów, którzy podszywają się pod czołowe instytucje finansowe, wysyłając fałszywe SMS-y. Ofiary, które dadzą się zwieść, mogą nieświadomie udostępnić swoje dane logowania, co umożliwi przestępcom przejęcie kontroli nad kontami bankowymi. Pomimo wysiłków banków, klienci często zostają z niczym.

Fot. Shutterstock / Warszawa w Pigułce

Jak działa nowa kampania phishingowa?

Przestępcy wysyłają SMS-y, które na pierwszy rzut oka wyglądają na autentyczne powiadomienia od banków. W wiadomościach znajdują się ostrzeżenia o rzekomym wygaśnięciu ważności konta lub dostępu do aplikacji mobilnej, co ma na celu wywołanie paniki i skłonienie odbiorców do szybkiej reakcji. Klienci banków są zachęcani do kliknięcia w podany link, który prowadzi do fałszywej strony przypominającej oficjalny serwis banku. Tam użytkownicy proszeni są o wprowadzenie swoich danych logowania, co otwiera oszustom drogę do przejęcia konta.

W wiadomościach oszuści podszywają się pod banki takie jak Alior, BNP, Santander czy Pekao. Jednak specjaliści z CERT Orange Polska ostrzegają, iż klienci innych banków również powinni być ostrożni. Przestępcy stosują różne techniki, aby obejść filtry antyphishingowe i zwiększyć skuteczność swoich ataków, m.in. wprowadzając literówki i dziwne znaki w wiadomościach, takie jak błędne „ogonki” w polskich literach.

Przykłady fałszywych wiadomości

CERT Orange Polska udostępnił kilka przykładów przechwyconych SMS-ów, które rozsyłają oszuści. Wiadomości te mają wywołać poczucie pilności, strasząc użytkowników zablokowaniem konta:

• „[ALIOR BANK] Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, uk oncz weryfikację aby uniknąć źáblokowania konta. Link z instrukcja weryfikacji: hxxps://alior.016945[.]com”
• „BNP Twoja rejestracja mobilna wygasa 16.09.24. odblokuj tutaj hxxps://bnp.044008[.]com”
• „[SANTANDER] Twoje Santánder-Mobile kontó wygasa dnía, 16\09\2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta. Link z instrukcjá wéryfíkacji: SnataBiombile[.]com”
• „PEKAO Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokowaniu: hxxps://peopeka024[.]com/l/logowanie/e”

Każdy z tych przykładów zawiera fałszywe linki, które mają nakłonić odbiorcę do kliknięcia i podania swoich danych logowania.

Wiadomość, którą otrzymała nasza redakcja. Fot. Warszawa w Pigułce

Jakie techniki stosują oszuści?

Przestępcy wykorzystują kilka technik, aby zwiększyć szanse na powodzenie ataku. Przede wszystkim starają się wywołać u odbiorców poczucie pilności i paniki, sugerując, iż ich konto zostanie niedługo zablokowane, jeżeli nie wykonają natychmiastowej weryfikacji. Ponadto, w wiadomościach stosowane są błędy ortograficzne i nietypowe znaki, aby ominąć filtry antyspamowe i phishingowe. Fałszywe strony, na które prowadzą linki, są tak zaprojektowane, aby maksymalnie przypominały oryginalne witryny banków, co ma uśpić czujność ofiar.

Jak się chronić przed phishingiem?

Eksperci z CERT Orange Polska przypominają, iż kluczowa w ochronie przed phishingiem jest ostrożność i czujność samych użytkowników. Oto kilka najważniejszych zasad, które warto mieć na uwadze:

1. Zachowaj ostrożność wobec niespodziewanych wiadomości: jeżeli otrzymasz SMS od banku, który sugeruje, iż Twoje konto może zostać zablokowane, zawsze sprawdź nadawcę i treść wiadomości. Banki zwykle nie wysyłają takich powiadomień bez ostrzeżenia.
2. Nie klikaj w linki w podejrzanych wiadomościach: choćby jeżeli wiadomość wydaje się wiarygodna, lepiej samodzielnie wpisać adres banku w przeglądarce lub skorzystać z oficjalnej aplikacji mobilnej.
3. Zwracaj uwagę na literówki i nietypowe znaki: Fałszywe wiadomości często zawierają błędy ortograficzne, dziwne znaki czy nietypowe „ogonki” w polskich literach, co może świadczyć o ich fałszywości.
4. Kontaktuj się z bankiem przez oficjalne kanały: W razie wątpliwości, zamiast reagować na SMS-a, skontaktuj się bezpośrednio z bankiem, korzystając z infolinii lub aplikacji mobilnej.
5. Regularnie monitoruj swoje konto bankowe: Sprawdzaj historię transakcji, aby gwałtownie wychwycić wszelkie nieautoryzowane operacje.

Rosnące zagrożenie phishingiem w Polsce

Phishing, czyli wyłudzanie danych poprzez fałszywe wiadomości, to w tej chwili jedno z najczęstszych zagrożeń w cyberprzestrzeni. Skala tego zjawiska w Polsce rośnie z każdym rokiem. Według raportu CERT Polska, w 2022 roku zgłoszono ponad 322 tysiące incydentów związanych z cyberbezpieczeństwem, z czego phishing stanowił aż 64% wszystkich przypadków. To o 34% więcej niż w poprzednim roku, co pokazuje, jak gwałtownie rozwija się ten rodzaj oszustw.

Ataki phishingowe są szczególnie groźne dla osób starszych oraz tych, które nie są zaznajomione z zagrożeniami związanymi z bankowością elektroniczną. Warto jednak pamiętać, iż ofiarą może paść każdy, kto nie zachowa ostrożności. Oprócz SMS-ów i e-maili, oszuści coraz częściej stosują bardziej zaawansowane techniki, takie jak „vishing” (wyłudzanie danych przez telefon) czy „smishing” (phishing poprzez wiadomości SMS).

Skutki dla ofiar

Utrata danych logowania do konta bankowego może prowadzić do poważnych konsekwencji. Ofiary oszustw phishingowych często tracą nie tylko swoje dane osobowe, ale również wszystkie środki zgromadzone na rachunkach bankowych. Banki, choć podejmują działania, aby zwiększyć bezpieczeństwo swoich klientów, nie zawsze są w stanie w pełni zrekompensować straty wynikające z takich ataków.

Phishing jest coraz bardziej wyrafinowany, a fałszywe wiadomości mogą do złudzenia przypominać prawdziwe powiadomienia bankowe. Jednak istnieje kilka wskazówek, które mogą pomóc w rozpoznaniu oszustwa. Przede wszystkim warto sprawdzić nadawcę i unikać klikania w linki zawarte w SMS-ach. Dodatkowo, należy zwrócić uwagę na język – błędy i literówki są częstym znakiem, iż mamy do czynienia z próbą oszustwa. Zdrowy rozsądek jest najlepszym zabezpieczeniem – zanim klikniemy w jakikolwiek link, zastanówmy się czy rzeczywiście zalegamy z opłatą czy jest coś, za co bank może nam zablokować konto.

Ataki phishingowe w Polsce stają się coraz bardziej powszechne, a ich celem są głównie klienci banków. Dzięki zachowaniu ostrożności i stosowaniu się do kilku podstawowych zasad, możemy znacząco zmniejszyć ryzyko padnięcia ofiarą tego typu oszustwa.