Masz konto w PKO BP? jeżeli zignorujesz ten e-mail, wyczyszczą Ci konto do zera. Bank wysłał pilne ostrzeżenie

W ostatnich dniach skrzynki mailowe tysięcy Polaków zapełniły się wiadomościami od największego banku w Polsce. jeżeli odruchowo chciałeś przenieść tę wiadomość do kosza, wstrzymaj się. To nie jest reklama kredytu ani oferta ubezpieczenia. PKO Bank Polski, w związku z Dniem Bezpiecznego Internetu, rozesłał do swoich klientów krytyczne ostrzeżenie. Cyberprzestępcy przypuścili zmasowany atak, wykorzystując socjotechnikę, która usypia czujność choćby najbardziej ostrożnych. Stawką są oszczędności całego życia.

Fot. Warszawa w Pigułce

Historia Anny to nie fikcja. To może spotkać Ciebie

W wiadomości rozsyłanej przez bank przytoczono historię klientki o imieniu Anna. To klasyczny przykład tego, jak działa współczesny phishing. Anna nie była naiwna, po prostu się spieszyła. Dostała SMS z informacją o konieczności dopłaty drobnej kwoty za przesyłkę lub odblokowania dostępu do serwisu transakcyjnego. Link w wiadomości wyglądał wiarygodnie, a strona, na którą trafiła, była lustrzanym odbiciem serwisu iPKO.

Wystarczyła chwila nieuwagi. Wpisując login i hasło na fałszywej stronie, Anna w rzeczywistości przekazała klucze do swojego skarbca w ręce złodziei. Chwilę później na jej telefon przyszedł kod SMS, który bezrefleksyjnie wpisała, myśląc, iż autoryzuje logowanie. W rzeczywistości autoryzowała dodanie nowego „zaufanego urządzenia” dla hakera, który w kilka minut wyczyścił jej rachunek.

PKO BP alarmuje: oszuści nie atakują zabezpieczeń banku, bo te są pancerne. Atakują najsłabsze ogniwo – człowieka, jego emocje, pośpiech i rutynę.

„Dzień dobry, dzwonię z działu bezpieczeństwa”. Nie daj się nabrać na ten telefon

Oprócz fałszywych linków w SMS-ach i mailach, plagą ostatnich miesięcy jest spoofing telefoniczny. Oszuści wykorzystują luki w sieciach telekomunikacyjnych, dzięki czemu na ekranie Twojego telefonu wyświetla się napis „Infolinia PKO BP” lub prawdziwy numer banku.

Scenariusz jest zawsze podobny: dzwoni rzekomy pracownik departamentu bezpieczeństwa z informacją, iż „ktoś właśnie próbuje wziąć na Pana kredyt” lub „wykryliśmy podejrzany przelew”. Aby uratować pieniądze, musisz natychmiast przelać je na „techniczny rachunek rezerwowy” lub podać kod BLIK. Pamiętaj: prawdziwy pracownik banku NIGDY o to nie poprosi. jeżeli usłyszysz taką prośbę, rozłącz się natychmiast. To próba kradzieży.

Ministerstwo Finansów też ostrzega. Złodzieje podszywają się pod urzędy

Skoorydowana akcja cyberprzestępców nie dotyczy tylko sektora bankowego. Tuż przed weekendem Ministerstwo Finansów wydało pilny komunikat. W okresie rozliczeń podatkowych Polacy otrzymują fałszywe e-maile z domen łudząco przypominających rządowe (np. gov.pl). Wiadomości sugerują konieczność dopłaty podatku lub – co gorsza – obiecują szybki zwrot nadpłaty, pod warunkiem kliknięcia w link i zalogowania się do „profilu podatnika”.

Mechanizm jest identyczny jak w przypadku banków: wyłudzenie danych logowania, przejęcie tożsamości cyfrowej i kradzież pieniędzy lub zaciągnięcie zobowiązań kredytowych na ofiarę.

7 Przykazań Bezpieczeństwa według ekspertów cyberbezpieczeństwa

Bank PKO BP w swojej kampanii edukacyjnej przypomina zasady, które powinny być dla nas cyfrowym alfabetem:

1. Nigdy nie klikaj w linki z SMS-ów: Banki w Polsce co do zasady nie wysyłają linków do logowania w wiadomościach tekstowych. jeżeli musisz się zalogować, wpisz adres strony manualnie w przeglądarce.
2. Sprawdzaj adres strony: Kłódka przy adresie to za mało. Oszuści też używają certyfikatów SSL. Sprawdź literówka po literówce, czy jesteś na pkobp.pl, a nie na pkobp-logowanie.com.
3. Nie podawaj kodów BLIK przez telefon: choćby jeżeli dzwoni „pracownik banku” lub „policjant”. To zawsze oszustwo.
4. Uważaj na „okazje” inwestycyjne: Reklamy z wizerunkami znanych polityków lub celebrytów obiecujące zysk bez ryzyka („Orlen inwestycje”, „Baltic Pipe”) to scamy prowadzące do kradzieży danych.
5. Chroń swój PIN i hasła: Nie zapisuj ich w notatniku w telefonie ani na kartce w portfelu.
6. Aktualizuj aplikację: Korzystaj tylko z oficjalnej aplikacji IKO pobranej ze sklepu Google Play lub App Store.
7. Stosuj zasadę ograniczonego zaufania: jeżeli ktoś wywiera na Tobie presję czasu („zrób to teraz, bo stracisz pieniądze”), to sygnał alarmowy.

Prawo jest po Twojej stronie, ale jest jeden haczyk

Warto wiedzieć, co na to wszystko polskie prawo. Zgodnie z ustawą o usługach płatniczych, bank ma obowiązek zwrócić pieniądze skradzione w wyniku nieautoryzowanej transakcji w terminie D+1 (czyli do końca następnego dnia roboczego). Brzmi świetnie?

Jest jednak najważniejszy wyjątek: rażące niedbalstwo. jeżeli bank udowodni, iż to Ty podałeś login, hasło i podyktowałeś złodziejowi kod SMS (czyli de facto autoryzowałeś transakcję, choć nieświadomie), może odmówić zwrotu środków. Sądy w Polsce coraz częściej stają w takich sytuacjach po stronie banków, uznając, iż klient naruszył podstawowe zasady bezpieczeństwa określone w umowie. Dlatego edukacja i ostrożność są tańsze niż wieloletnie procesy sądowe.