Klienci czołowych polskich banków bez środków na kontach. Dostali takie SMS-y

CERT Orange Polska ostrzega przed nową falą oszustw wymierzonych w klientów polskich banków. Cyberprzestępcy masowo rozsyłają fałszywe wiadomości SMS, podszywając się pod znane polskie banki. Celem ataków jest wyłudzenie danych logowania i kradzież pieniędzy z kont bankowych. Chociaż banki wprowadzają coraz to nowsze zabezpieczenia i mechanizmy, skala zagrożenia wciąż rośnie.

Fot. Shutterstock / Warszawa w Pigułce

Jak działają cyberprzestępcy?

Hakerzy wykorzystują socjotechnikę, aby wzbudzić panikę i skłonić użytkowników do pochopnych działań. CERT Orange Polska zwraca uwagę na kilka kluczowych elementów stosowanych w tych atakach:

• Tworzenie poczucia pilności – wiadomości informują o rzekomym wygaśnięciu dostępu do konta lub konieczności weryfikacji tożsamości.
• Błędy językowe i nietypowe znaki – oszuści celowo używają literówek oraz znaków diakrytycznych, aby obejść filtry antyspamowe.
• Fałszywe domeny internetowe – linki w wiadomościach prowadzą do stron łudząco podobnych do oficjalnych serwisów bankowych.

Przestępcy działają gwałtownie i sprawnie. Wystarczy jedno kliknięcie w podejrzany link i podanie danych logowania, aby konto zostało przejęte, a środki błyskawicznie wypłacone lub przelane na inne rachunki.

Przykłady fałszywych wiadomości

CERT Orange Polska udostępnił przykłady rzeczywistych wiadomości phishingowych, które trafiły do klientów banków:

• Alior Bank: „Twoje Alior-Mobile kontó wygaśa dnia 17/09/2024, uk oncz weryfikację aby uniknąć źáblokowania konta. Link z instrukcja weryfikacji: hxxps://alior.016945[.]com”
• BNP Paribas: „Twoja rejestracja mobilna wygasa16.09.24. odblokuj tutaj hxxps://bnp.044008[.]com”
• Santander: „[SANTANDER] Twoje Santánder-Mobile kontó wygasa dnía, 16/09/2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta. Link: SnataBiombile[.]com”
• Pekao: „Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokowaniu: hxxps://peopeka024[.]com/l/logowanie/e”

Każda z tych wiadomości zawiera celowo zmienione znaki i podejrzane adresy stron, mające na celu oszukanie odbiorcy i ominięcie systemów bezpieczeństwa.

Wiadomość, którą otrzymała nasza redakcja. Fot. Warszawa w Pigułce

Jak rozpoznać fałszywy SMS?

Eksperci ds. cyberbezpieczeństwa wskazują kilka kluczowych elementów, które mogą świadczyć o próbie oszustwa:

Nietypowe błędy językowe – literówki, dziwne znaki diakrytyczne i nieskładne zdania.
Nieznane adresy stron – jeżeli link nie prowadzi do oficjalnej domeny banku, to znak ostrzegawczy.
Presja czasowa – informacja o rzekomym blokowaniu konta „dzisiaj” lub „natychmiastowej konieczności działania” ma na celu wywołanie paniki.
Prośby o dane logowania – banki nigdy nie proszą o logowanie poprzez linki w wiadomościach SMS.

Jeśli otrzymasz podejrzany SMS, nie klikaj w żadne linki – najlepiej od razu skontaktować się z bankiem oficjalnym kanałem komunikacji.

Co zrobić, jeżeli otrzymasz podejrzany SMS?

CERT Orange Polska apeluje o zachowanie szczególnej ostrożności. Oto kilka kluczowych zasad bezpieczeństwa:

1. Nigdy nie klikaj w linki w wiadomościach SMS – jeżeli masz wątpliwości, wejdź na stronę banku, wpisując adres manualnie w przeglądarce.
2. Nie podawaj danych logowania – jeżeli bank potrzebuje kontaktu, zrobi to przez oficjalną aplikację lub telefonicznie.
3. Zgłoś podejrzany SMS – banki oraz CERT Polska mają specjalne adresy, na które można przesyłać fałszywe wiadomości.
4. Zainstaluj aplikację antyphishingową – wiele banków oferuje darmowe narzędzia do ochrony użytkowników przed oszustwami.

Kto jeszcze znajdzie się pod lupą? Nowe kontrole w ramach DAC-7

Warto dodać, iż fałszywe SMS-y to tylko część problemu. W najbliższych miesiącach zacznie się fala kontroli podatkowych związanych z przepisami DAC-7, które dotyczą platform sprzedażowych, takich jak Allegro, OLX czy Vinted.

Nowe regulacje wymagają, aby platformy sprzedażowe przekazywały fiskusowi dane o sprzedawcach. Termin na dostarczenie informacji minął 31 stycznia 2025 roku, co oznacza, iż już niedługo organy skarbowe mogą zacząć weryfikację użytkowników, którzy regularnie sprzedają przedmioty online.

Co to oznacza? Osoby sprzedające duże ilości przedmiotów mogą spodziewać się wezwań do urzędów skarbowych w celu wyjaśnienia pochodzenia środków. Dla wielu użytkowników platform e-commerce może to oznaczać konieczność udowodnienia, iż ich sprzedaż nie ma charakteru działalności gospodarczej.

Rosnąca skala zagrożeń – jak się zabezpieczyć?

Według CERT Polska liczba ataków phishingowych stale rośnie. W 2022 roku zgłoszono ponad 25 tysięcy takich przypadków, co stanowiło aż 64% wszystkich cyberprzestępstw. Ofiarami oszustów najczęściej padają osoby mniej obeznane z nowoczesnymi technologiami, a także te, które działają pod presją czasu i nie weryfikują informacji.

Co zrobić, jeżeli padłeś ofiarą oszustwa?

Jeśli nieświadomie podałeś swoje dane na fałszywej stronie lub kliknąłeś w podejrzany link, natychmiast wykonaj następujące kroki:

• Zablokuj dostęp do konta bankowego – skontaktuj się z bankiem i poproś o blokadę wszelkich transakcji.
• Zmień hasła – jeżeli używałeś tego samego hasła w kilku miejscach, natychmiast je zmień.
• Zgłoś sprawę na policję i do CERT Polska – odpowiednie instytucje mogą podjąć działania mające na celu zminimalizowanie strat.

Podsumowanie – czujność to najlepsza obrona

Nowe metody oszustw bankowych pokazują, jak nieustannie ewoluują techniki cyberprzestępców. Fałszywe SMS-y to realne zagrożenie, które może prowadzić do utraty pieniędzy i danych osobowych. Dodatkowo, kontrole fiskusa związane z DAC-7 sprawią, iż coraz więcej osób będzie musiało zweryfikować swoją działalność w internecie.

Zachowanie ostrożności i zdrowy rozsądek to najlepsza broń przeciwko oszustom. Pamiętaj, iż bank nigdy nie poprosi Cię o kliknięcie w link z SMS-a – a jeżeli coś budzi Twoje wątpliwości, lepiej sprawdzić dwa razy niż stracić oszczędności życia.