Klienci banków dostają dziwne wiadomości. Kończą z pustym kontem

CERT Polska alarmuje o nasilających się atakach phishingowych, które wymierzone są w klientów dwóch największych banków w Polsce – PKO Banku Polskiego oraz Santander Banku Polska. Oszuści, posługując się ich wizerunkiem, stosują zaawansowane metody socjotechniczne, aby wyłudzić dane dostępowe do kont bankowych. Skutki takich działań mogą być katastrofalne – od utraty środków finansowych po naruszenie prywatności użytkowników.

Fot. Shutterstock / Warszawa w Pigułce

Straszą utratą dostępu do usług w PKO BP

Oszuści wykorzystują chwytliwe tytuły e-maili, aby zwrócić uwagę ofiar. W przypadku klientów PKO BP do skrzynek trafiają wiadomości zatytułowane: „Aktywacja potwierdzenia mobilnego – Działaj teraz, aby kontynuować korzystanie z naszych usług”. Fałszywe e-maile, pozornie wysyłane przez „IPKO”, informują o rzekomym obowiązku aktywacji potwierdzenia mobilnego, co ma rzekomo umożliwić dalsze korzystanie z usług bankowych.

PKO BP ostrzega, iż kliknięcie w link zawarty w wiadomości prowadzi do strony internetowej łudząco przypominającej oficjalną witrynę banku. Podanie na niej danych logowania skutkuje przejęciem konta przez oszustów. Co więcej, przestępcy dodatkowo wykorzystują płatne reklamy w wyszukiwarkach, aby zwiększyć widoczność swoich fałszywych stron. Tego typu metody mają na celu uśpienie czujności użytkowników i nakłonienie ich do szybkiego działania.

SMS-y o blokadzie konta w Santander Bank Polska

Ataki phishingowe wymierzone w klientów Santander Banku Polska wykorzystują inną formę socjotechniki. Ofiary otrzymują wiadomości SMS o treści informującej o blokadzie konta, jeżeli użytkownik nie zaktualizuje aplikacji mobilnej. Link do rzekomej aktualizacji prowadzi na stronę wyłudzającą dane logowania.

Oszuści liczą na presję czasu oraz strach przed utratą dostępu do środków, co ma skłonić odbiorców do szybkiego kliknięcia w link. Tego rodzaju działania znane są jako „phishing presji”, który staje się coraz popularniejszy z uwagi na swoją skuteczność w wywoływaniu impulsownych reakcji.

CERT Polska przypomina, iż phishing bazujący na wizerunku znanych instytucji to jeden z najczęstszych sposobów na wyłudzanie danych logowania. „Phishing wykorzystujący wizerunek banku to częsta metoda działania oszustów, bo pozwala przejąć dane logowania do bankowości online i ukraść pieniądze” – czytamy w komunikacie CERT Polska na mediach społecznościowych.

Jak chronić się przed phishingiem?

Eksperci z CERT Polska zalecają ostrożność przy otwieraniu wiadomości e-mail i SMS, szczególnie jeżeli zawierają one linki do stron internetowych lub proszą o podanie danych osobowych. Aby skutecznie chronić się przed atakami phishingowymi, warto stosować się do następujących zasad:

• Sprawdzaj nadawcę – zwróć uwagę na adres e-mail lub numer telefonu, z którego pochodzi wiadomość.
• Analizuj treść wiadomości – unikanie literówek i dziwnego języka to standard w komunikacji bankowej.
• Nie klikaj w podejrzane linki – zamiast tego wpisuj adresy banków manualnie w przeglądarce.
• Weryfikuj autentyczność komunikatów – kontaktuj się bezpośrednio z bankiem przez oficjalną infolinię lub aplikację mobilną.

Dodatkowo podejrzane wiadomości SMS można zgłaszać na numer 8080, co pomoże w blokowaniu dalszych działań oszustów.

Banki przypominają o zasadach bezpieczeństwa

PKO BP i Santander Bank Polska regularnie przypominają, iż nigdy nie proszą o podanie pełnych danych logowania ani kodów jednorazowych. W swoich kampaniach edukacyjnych zachęcają klientów do korzystania z dwustopniowej weryfikacji, która stanowi dodatkową warstwę ochrony.

CERT Polska podkreśla również znaczenie edukacji w zakresie cyberbezpieczeństwa. Im więcej zgłoszeń i informacji o podejrzanych działaniach trafia do odpowiednich instytucji, tym łatwiej neutralizować zagrożenia.

W obliczu coraz bardziej zaawansowanych metod stosowanych przez cyberprzestępców, świadomość i ostrożność użytkowników to najlepsza linia obrony. CERT Polska apeluje o rozsądek i dokładne sprawdzanie wszelkich komunikatów, które mogą budzić podejrzenia. Tylko w ten sposób można skutecznie zminimalizować ryzyko padnięcia ofiarą phishingu.