Klienci największych banków ogołoceni ze wszystkich oszczędności. Dostali takiego SMS-a i oszczędności zniknęły

Dostajesz SMS-a, iż twoje konto bankowe wygasa za kilka dni, a wraz z nim wszystkie pieniądze. Panika. Klikasz link, logujesz się, problem rozwiązany. Tylko iż właśnie straciłeś wszystkie pieniądze. CERT Orange Polska ostrzega przed nową falą cyberataków wymierzonych w klientów Alior Banku, BNP Paribas, Santandera i Banku Pekao. Przestępcy doskonalą metody i omijają zabezpieczenia.

Fot. Shutterstock / Warszawa w Pigułce

Wiadomość która kradnie pieniądze

Przestępcy wykorzystują sprawdzone techniki socjotechniczne, żeby wyłudzić dane do logowania do bankowości internetowej. Schemat jest prosty i skuteczny. SMS informuje, iż konto zostanie niedługo zablokowane. Jedyny sposób na uniknięcie problemów? Natychmiastowa weryfikacja przez link podany w wiadomości.

Oszuści celowo modyfikują treść wiadomości, stosując literówki i nietypowe znaki diakrytyczne. Po co? Żeby ominąć filtry antyspamowe operatorów telekomunikacyjnych. Tworzą również strony internetowe łudząco przypominające oficjalne witryny banków. Po kliknięciu w link użytkownik trafia na fałszywy panel logowania, gdzie wpisuje swoje dane – nieświadomie przekazując je przestępcom.

CERT Orange Polska opublikował przykłady fałszywych wiadomości, które w tej chwili krążą w sieci. Oto jak wyglądają:

• „ALIOR BANK: Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, ukończ weryfikację aby uniknąć źáblokowania konta.”
• „BNP: Twoja rejestracja mobilna wygasa16.09.24.”
• „SANTANDER: Twoje Santánder-Mobile kontó wygasa dnía 16\09\2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta.”
• „PEKAO: Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokowaniu”

Każda z tych wiadomości zawiera link prowadzący do fałszywej strony banku. Adresy internetowe wyglądają na pierwszy rzut oka wiarygodnie, ale zawierają przypadkowe cyfry lub literówki w nazwie domeny.

Screen przedstawiający wiadomość SMS. Fot. Warszawa w Pigułce.

Pięć sygnałów iż to oszustwo

Rozpoznanie fałszywego SMS-a nie jest trudne, jeżeli wiesz na co zwrócić uwagę. Eksperci cyberbezpieczeństwa wskazują pięć kluczowych elementów phishingu.

Błędy językowe i literówki pojawiają się w niemal każdej fałszywej wiadomości. Banki dbają o poprawność swoich komunikatów i zatrudniają profesjonalnych copywriterów. Oszuści celowo wprowadzają błędy, bo pomagają im one ominąć automatyczne filtry antyspamowe.

Nietypowe znaki diakrytyczne to drugi sygnał alarmowy. W fałszywych SMS-ach można znaleźć nienaturalne znaki jak „Santánder-Mobile” zamiast „Santander Mobile” czy „źáblokowania” zamiast „zablokowania”. Żaden bank nie stosuje takich oznaczeń.

Podejrzane adresy stron internetowych zawierają przypadkowe cyfry, literówki lub dziwne kombinacje liter. Zamiast oficjalnej domeny aliorbank.pl pojawia się adres typu alior.016945.com. Zamiast bnpparibas.pl – bnp.044008.com.

Presja czasu to ulubiona taktyka oszustów. Wiadomość sugeruje, iż masz zaledwie kilka dni na działanie, inaczej stracisz dostęp do konta. To ma cię skłonić do szybkiego kliknięcia w link bez zastanowienia.

Brak personalizacji również powinien budzić podejrzliwość. Banki w oficjalnych komunikatach zwracają się do klientów po imieniu i nazwisku. Oszuści używają ogólnych zwrotów, bo nie znają danych osobowych odbiorcy.

Jak działają przestępcy po zdobyciu danych

Po wpisaniu loginu i hasła na fałszywej stronie użytkownik często widzi komunikat o błędzie lub przekierowanie na prawdziwą stronę banku. Myśli, iż coś się zacięło i próbuje ponownie – już na oficjalnej stronie. Problem rozwiązany, nieprawdaż?

Nie. W tym czasie przestępcy już mają dostęp do konta. Pierwszym krokiem jest zmiana hasła i danych kontaktowych, żeby odciąć prawdziwego właściciela od dostępu. Następnie wykonują przelewy na swoje konta lub konta pośredników.

Cała operacja może zająć kilka minut. Zanim ofiara zorientuje się, iż coś jest nie tak, pieniądze są już dawno wyprowadzone. Odzyskanie skradzionych środków jest trudne, czasochłonne i często niemożliwe.

Szczególnie narażone są osoby starsze i mniej obeznane z technologią. Dla kogoś, kto rzadko korzysta z bankowości internetowej, fałszywa wiadomość może wyglądać całkowicie wiarygodnie. Brak doświadczenia w rozpoznawaniu oszustw online sprawia, iż starsi użytkownicy częściej padają ofiarą phishingu.

Skala problemu rośnie z roku na rok

Z danych CERT Polska wynika, iż liczba oszustw phishingowych znacząco wzrosła w ostatnich latach. W 2022 roku zgłoszono ponad 25 tysięcy takich incydentów – to 64 procent wszystkich cyberprzestępstw w Polsce.

Liczby te prawdopodobnie są zaniżone. Wiele osób nie zgłasza oszustwa z powodu wstydu lub przekonania, iż nie ma sensu, bo i tak nie odzyskają pieniędzy. Rzeczywista skala problemu może być więc znacznie większa.

Banki zwiększają zabezpieczenia, ale przestępcy dostosowują swoje metody. Podwójna autoryzacja, analiza behawioralna, ostrzeżenia w aplikacjach mobilnych – to tylko niektóre ze stosowanych rozwiązań. Niektóre banki, jak PKO BP, wykorzystują zaawansowane algorytmy, które analizują styl pisania na klawiaturze i sposób poruszania kursorem, żeby wykryć nieautoryzowane logowania.

Problem w tym, iż oszuści również się uczą. Phishing staje się coraz bardziej wyrafinowany. Fałszywe strony wyglądają niemal identycznie jak oryginały. Wiadomości SMS zawierają coraz mniej błędów. Metody socjotechniczne stają się bardziej przekonujące.

Podstawowe zasady ochrony przed oszustwem

Ochrona przed phishingiem zaczyna się od świadomości zagrożenia i przestrzegania kilku prostych zasad. Każda z nich może uratować twoje pieniądze.

Nigdy nie klikaj w linki w SMS-ach od banku. To najważniejsza zasada. Zamiast tego wejdź na stronę banku manualnie – wpisując adres w przeglądarce – lub skorzystaj z oficjalnej aplikacji mobilnej pobranej ze sklepu App Store lub Google Play.

Nie podawaj danych logowania na stronach otwartych z linków w wiadomościach. Banki nigdy nie proszą klientów o logowanie się w ten sposób. jeżeli bank rzeczywiście potrzebuje od ciebie jakiejś akcji, otrzymasz powiadomienie w aplikacji mobilnej lub na oficjalnej stronie po zalogowaniu.

Weryfikuj każdą podejrzaną wiadomość. jeżeli masz wątpliwości, skontaktuj się z bankiem przez oficjalną infolinię. Numer znajdziesz na stronie internetowej banku lub na odwrocie karty płatniczej. Nie dzwoń pod numery podane w podejrzanej wiadomości – mogą prowadzić do oszustów.

Regularnie sprawdzaj stan konta. Szybkie wykrycie podejrzanych transakcji może pomóc w odzyskaniu skradzionych środków. Im szybciej zgłosisz problem, tym większa szansa na zablokowanie przelewu lub odzyskanie pieniędzy.

Włącz powiadomienia push w aplikacji bankowej. Dzięki temu każda transakcja wywołuje natychmiastowy alert na telefonie. jeżeli zobaczysz powiadomienie o przelewie, którego nie robiłeś, możesz zareagować w ciągu kilku minut.

Używaj silnych, unikalnych haseł do każdego konta. jeżeli przestępcy zdobędą hasło do jednego serwisu, nie powinni mieć dostępu do innych. Rozważ użycie menedżera haseł, który generuje i przechowuje skomplikowane hasła za ciebie.

Co zrobić jeżeli padłeś ofiarą

Jeśli podejrzewasz, iż twoje dane mogły wpaść w ręce przestępców, musisz działać natychmiast. Każda minuta zwłoki zwiększa ryzyko utraty pieniędzy.

Zadzwoń do banku. Numer jest na odwrocie karty lub na stronie internetowej banku. Zgłoś podejrzenie włamania na konto, zablokuj możliwość wykonywania transakcji, zmień wszystkie hasła. Infolinia pomoże ci w zabezpieczeniu konta.

Sprawdź historię transakcji. jeżeli widzisz podejrzane przelewy, zgłoś je natychmiast. Bank może próbować wstrzymać transakcję lub uruchomić procedurę odzyskiwania środków.

Zgłoś sprawę na policję. Incydent należy zgłosić do odpowiednich służb. Policja prowadzi śledztwa w sprawach cyberprzestępstw, a twoje zgłoszenie może pomóc w schwytaniu oszustów.

Poinformuj CERT Polska. Zgłoszenie oszustwa pomoże w walce z cyberprzestępcami i ostrzeże innych użytkowników przed zagrożeniem. Formularz zgłoszeniowy znajdziesz na stronie cert.pl.

Zmień hasła we wszystkich serwisach. jeżeli używałeś tego samego hasła w różnych miejscach, zmień je wszędzie. Przestępcy często próbują użyć skradzionych danych logowania w innych serwisach.

Banki nigdy nie proszą o dane przez SMS

Zapamiętaj jedną prostą zasadę: bank nigdy nie prosi o podawanie danych logowania przez linki w wiadomościach SMS. Nigdy nie prosi też o potwierdzenie hasła, PINu czy innych wrażliwych informacji przez telefon, e-mail czy komunikator.

Jeśli otrzymasz taką wiadomość, to oszustwo – bez wyjątków. Najlepiej ją zignorować i powiadomić bank o próbie phishingu. Im więcej zgłoszeń, tym łatwiej bankom i służbom wymienić się informacjami o nowych zagrożeniach i ostrzec innych klientów.

Świadomość zagrożenia i stosowanie zasad bezpieczeństwa to najlepsza ochrona przed cyberprzestępcami. Oszuści liczą na naszą nieuwagę, pośpiech i brak wiedzy. Zachowanie czujności i zdrowego rozsądku potrafi uratować oszczędności życia.