Klienci polskich banków bez środków do życia. Konta czyszczone z pieniędzy. Agencja związana z bezpieczeństwem alarmuje

Pan Andrzej z Warszawy otrzymał SMS od „Alior Banku” z informacją, iż jego konto mobilne wygasa za dwa dni. Przestraszony możliwością utraty dostępu do oszczędności życia, od razu kliknął w link. Wprowadził login, hasło, a następnie kod z SMS-a. Po godzinie na jego koncie brakowało 15 tysięcy złotych. Dopiero wtedy zorientował się, iż padł ofiarą oszustwa.

Fot. Shutterstock / Warszawa w Pigułce

CERT Orange Polska wykrył nową falę ataków phishingowych wymierzonych w klientów polskich banków. Cyberprzestępcy doskonalą swoje metody i wykorzystują coraz bardziej wyrafinowane techniki, aby wyłudzić dane dostępowe do kont bankowych. choćby ostrożni użytkownicy mogą stać się ofiarami, bo oszuści stosują narzędzia sztucznej inteligencji do personalizacji wiadomości.

Banki w centrum ataku

Oszuści celują przede wszystkim w klientów największych polskich banków. W fałszywych wiadomościach pojawiają się nazwy Alior Banku, BNP Paribas, Santander czy Pekao. Jednak eksperci ostrzegają, iż żaden bank nie jest bezpieczny – przestępcy dostosowują swoje ataki do aktualnej sytuacji rynkowej.

Przykłady przechwyconych przez CERT Orange Polska wiadomości pokazują, jak wyglądają te oszustwa:

• „[ALIOR BANK] Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, uk oncz weryfikację aby uniknąć źáblokowania konta”
• „BNP Twoja rejestracja mobilna wygasa16.09.24. odblokuj tutaj”
• „[SANTANDER] Twoje Santánder-Mobile kontó wygasa dnía, 16\09\2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta”
• „PEKAO Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokowaniu”

Każda z tych wiadomości zawiera link prowadzący na fałszywą stronę banku, gdzie oszuści wyłudzają dane logowania, numery kart i kody autoryzacyjne.

Nowe techniki oszustów wykorzystują AI

Cyberprzestępcy nie poprzestają na prostych SMS-ach. Coraz częściej korzystają z narzędzi sztucznej inteligencji, aby ich wiadomości były bardziej wiarygodne i spersonalizowane. Potrafią nawiązać kontakt telefoniczny z ofiarą, przekonując ją do podania poufnych danych lub zainstalowania szkodliwego oprogramowania.

Charakterystyczne dla nowych ataków są celowe błędy językowe i nietypowe znaki w polskich literach. To nie przypadek – oszuści świadomie wprowadzają takie zniekształcenia, aby ominąć filtry antyspamowe operatorów komórkowych. Wiadomość z błędami ma większe szanse dotarcia do odbiorcy niż poprawnie napisana.

Przestępcy wykorzystują też fałszywe numery telefonów i adresy e-mail, które wyglądają jak oficjalne kanały komunikacji banków. Tworzą strony internetowe łudząco podobne do oryginalnych, używając podobnych adresów i identycznej szaty graficznej.

Historia pani Barbary z Krakowa

Pani Barbara pracuje jako księgowa i uważa się za osobę świadomą zagrożeń internetowych. Gdy otrzymała SMS od „Santander Banku” o konieczności weryfikacji konta, pierwszą reakcją była podejrzliwość. Wiadomość zawierała jednak jej imię i częściowy numer konta, co dodało jej wiarygodności.

„Pomyślałam, iż skoro mają moje dane, to może rzeczywiście bank wysłał tę wiadomość. Dodatkowo w wiadomości było napisane, iż groziła mi blokada konta przed weekendem, a ja miałam pilną płatność do wykonania” – opowiada pani Barbara.

Ostatecznie kliknęła w link i wprowadzała dane na stronie, która wyglądała identycznie jak oficjalna strona Santander Banku. Dopiero po wprowadzeniu kodu z SMS-a zorientowała się, iż została oszukana. Straciła 8 tysięcy złotych zgromadzonych na wakacje.

Psychologia strachu jako broń

Oszuści doskonale znają psychologię swoich ofiar. Wykorzystują poczucie pilności i strach przed utratą dostępu do środków finansowych. Wiadomości zawsze zawierają element czasowy – „konto wygasa jutro”, „masz 24 godziny”, „działaj natychmiast”.

Taka manipulacja emocjami sprawia, iż choćby ostrożni ludzie podejmują pochopne decyzje. Strach przed zablokowaniem konta, szczególnie przed weekendem lub świętami, gdy trudno skontaktować się z bankiem, paraliżuje racjonalne myślenie.

Przestępcy stosują też technikę masowego rozsyłania – wysyłają setki tysięcy SMS-ów, licząc na to, iż choćby niewielki procent odbiorców da się oszukać. Przy skali tysiąca wiadomości choćby 1% skuteczności oznacza kilkudziesięciu oszukanych klientów.

Nowe kanały ataków

Oprócz tradycyjnych SMS-ów oszuści wykorzystują coraz więcej kanałów komunikacji. Dzwonią bezpośrednio do ofiar, podszywając się pod pracowników banku i prosząc o „weryfikację bezpieczeństwa”. Wysyłają również e-maile z fałszywymi powiadomieniami o transakcjach czy problemach z kontem. W bezpośrednich rozmowach często znają dane swoich ofiar, ponieważ kupują je na czarnym rynku. Wystarczy imię i nazwisko, co otwiera wielu bramę do ewentualnych nadużyć.

Szczególnie niebezpieczne są ataki wielokanałowe – oszust najpierw wysyła SMS, potem dzwoni i mówi, iż jest z banku. Twierdzi, iż wykrył podejrzaną aktywność na koncie i potrzebuje pomocy klienta w „zabezpieczeniu środków”. Taka kombinacja różnych metod znacznie zwiększa wiarygodność oszustwa.

Pan Marek z Gdańska otrzymał SMS o wygaśnięciu dostępu do konta, a po godzinie telefon od „pracownika banku”, który potwierdził informacje z wiadomości. „Człowiek znał moje dane, mówił profesjonalnie, używał bankowej terminologii. Kompletnie mnie przekonał” – przyznaje pan Marek, który stracił 12 tysięcy złotych.

Co to oznacza dla ciebie?

• Nie ufaj SMS-om o problemach z kontem, choćby jeżeli wyglądają autentycznie. Banki nie wysyłają wiadomości z żądaniem kliknięcia w link lub podania danych. Zawsze sprawdzaj stan konta logując się przez oficjalną aplikację lub stronę banku.
• Zwracaj uwagę na dziwne znaki i błędy językowe w wiadomościach. Oszuści celowo wprowadzają zniekształcenia, aby ominąć filtry spam. Oficjalne komunikaty banków są zawsze poprawnie napisane i nie zawierają błędów ortograficznych.
• Nie daj się zaskoczyć poczuciem pilności. To ulubiona taktyka oszustów – tworzenie sztucznej presji czasowej. Żaden prawdziwy problem z kontem nie wymaga natychmiastowej reakcji w ciągu kilku godzin.
• Weryfikuj kontakt telefoniczny z bankiem. jeżeli ktoś dzwoni i twierdzi, iż jest z banku, zawsze przerwij rozmowę i zadzwoń na oficjalną infolinię. Prawdziwy pracownik banku zrozumie twoje obawy i potwierdzi swoją tożsamość.
• Regularnie sprawdzaj wyciągi i historię transakcji. Im szybciej wykryjesz nieautoryzowane operacje, tym większe masz szanse na odzyskanie środków. Banki mają procedury zwrotu pieniędzy, ale czas reakcji ma najważniejsze znaczenie.
• Edukuj swoją rodzinę o zagrożeniach. Seniorzy i młodzież są szczególnie narażeni na oszustwa. Opowiedz im o metodach działania cyberprzestępców i naucz, jak rozpoznawać podejrzane wiadomości.
• Zgłaszaj podejrzane wiadomości do swojego banku i operatora. Każde zgłoszenie pomaga w budowaniu baz danych oszustw i lepszym filtrowaniu takich wiadomości w przyszłości.

Pamiętaj: oszuści ciągle doskonalą swoje metody, ale podstawowe zasady bezpieczeństwa pozostają niezmienne. Zdrowa podejrzliwość i weryfikacja informacji u źródła to najlepsza ochrona przed utratą oszczędności życia.