1 dzień temu
Komenda Stołeczna Policji bije na alarm w związku z pojawieniem się nowego, niezwykle niebezpiecznego typu oszustwa finansowego, które może prowadzić do błyskawicznego opróżnienia kont bankowych nieświadomych ofiar. Metoda znana jako malware NFC wykorzystuje zaawansowaną technologię komunikacji zbliżeniowej i socjotechnikę, aby przejąć kontrolę nad środkami zgromadzonymi na koncie bankowym. W ostatnich tygodniach zanotowano znaczący wzrost tego typu przestępstw, co skłoniło służby do wydania specjalnego ostrzeżenia.
fot. Warszawa w Pigułce
Mechanizm działania oszustów jest niezwykle przemyślany i łączy elementy klasycznego wyłudzenia danych z nowoczesną technologią. Przestępcy rozpoczynają atak od telefonicznego kontaktu z potencjalną ofiarą, podszywając się pod doradców inwestycyjnych, pracowników banku lub przedstawicieli renomowanych instytucji finansowych. Podczas rozmowy obiecują atrakcyjne warunki inwestycyjne, nadzwyczajne zyski z funduszy lub inne korzyści finansowe, które mają zachęcić ofiarę do współpracy.
Po wzbudzeniu zainteresowania i zdobyciu wstępnego zaufania, oszuści przechodzą do kolejnego etapu. Nakłaniają rozmówcę do zainstalowania na telefonie komórkowym rzekomo bezpiecznej aplikacji bankowej lub platformy Revolut, która w rzeczywistości jest złośliwym oprogramowaniem. Aplikacja ta wygląda identycznie jak oryginalna, często posiada podobną nazwę i ikony, co utrudnia rozpoznanie zagrożenia przez przeciętnego użytkownika.
Kluczowym momentem całego procederu jest następna faza oszustwa. Przestępca, przez cały czas utrzymując rozmowę telefoniczną, przekonuje ofiarę o konieczności przeprowadzenia weryfikacji tożsamości lub autoryzacji konta. Pod tym pretekstem nakłania do przyłożenia fizycznej karty płatniczej do telefonu komórkowego oraz wprowadzenia kodu PIN. Ten pozornie niewinny gest wykorzystuje technologię NFC (Near Field Communication), czyli komunikację bliskiego zasięgu, aby skopiować wszystkie niezbędne dane z karty płatniczej ofiary.
Technologia NFC, powszechnie wykorzystywana przy płatnościach zbliżeniowych, umożliwia bezprzewodową wymianę danych między urządzeniami znajdującymi się w niewielkiej odległości od siebie. W normalnych warunkach jest to bezpieczne i wygodne rozwiązanie – codziennie korzystamy z niego przykładając kartę do terminala w sklepie. Jednak w rękach przestępców staje się niebezpiecznym narzędziem. Złośliwa aplikacja zainstalowana na telefonie ofiary działa podobnie jak terminal płatniczy, odczytując z karty wszystkie dane potrzebne do przeprowadzenia transakcji, łącznie z wprowadzonym manualnie kodem PIN.
Po pozyskaniu tych informacji oszuści natychmiast przystępują do działania. Z punktu widzenia systemu bankowego, przejęte dane pozwalają traktować transakcje wykonane przez przestępców jako prawidłowe operacje wykonane przez uprawnionego posiadacza karty. W efekcie, oszuści mogą wypłacać pieniądze z bankomatów lub dokonywać zakupów, a bank uznaje takie transakcje za w pełni autoryzowane przez właściciela karty płatniczej. Wszystko dzieje się błyskawicznie – od momentu przyłożenia karty do telefonu do całkowitego opróżnienia konta może minąć zaledwie kilka minut.
Co szczególnie niepokojące, tego typu oszustwa są trudne do wykrycia przez standardowe systemy bezpieczeństwa banków, ponieważ z technicznego punktu widzenia transakcje są przeprowadzane z wykorzystaniem prawidłowych danych karty i kodu PIN. Dla systemu bankowego takie operacje wyglądają jak standardowa wypłata środków dzięki technologii zbliżeniowej, dokonana przez właściciela karty.
Funkcjonariusze Komendy Stołecznej Policji podkreślają, iż żaden bank ani instytucja finansowa nigdy nie poprosi klienta o weryfikację tożsamości poprzez podanie poufnych danych, takich jak PIN do karty czy hasło do konta internetowego. Podobnie, żaden prawdziwy doradca inwestycyjny nie będzie wymagał zainstalowania aplikacji bankowej podczas rozmowy telefonicznej ani przyłożenia karty do telefonu w celu weryfikacji.
Policja stanowczo odradza wierzenie w obietnice wysokich zysków składane przez nieznajome osoby podczas rozmów telefonicznych czy przez internet. Wszelkie poważne umowy finansowe powinny być zawierane osobiście w placówkach bankowych, po dokładnym zapoznaniu się z warunkami i regulaminami.
Historia malware NFC sięga początku 2025 roku. Już w lutym CSIRT KNF (sektorowy zespół cyberbezpieczeństwa dla rynku finansowego) informował o pojawieniu się fałszywej aplikacji PKO BP wykorzystującej technologię NFC. Wówczas jednak nie było jeszcze wiadomo, iż przestępcy aktywnie wykorzystują tę metodę w ramach oszustw telefonicznych. Najnowsze doniesienia policji wskazują, iż skala zjawiska znacząco wzrosła w ostatnich miesiącach, a przestępcy doskonalą swoje metody.
Aby zabezpieczyć się przed tego typu oszustwami, oprócz zachowania najwyższej ostrożności podczas rozmów telefonicznych z osobami podającymi się za przedstawicieli instytucji finansowych, warto rozważyć kilka dodatkowych środków ostrożności. Przede wszystkim należy instalować aplikacje wyłącznie z oficjalnych sklepów, takich jak Google Play czy App Store, oraz dokładnie sprawdzać nazwę, oceny i liczbę pobrań danej aplikacji przed jej instalacją.
Dobrą praktyką jest również włączenie w banku powiadomień SMS o każdej transakcji wykonanej kartą oraz ustawienie limitu dziennych płatności i wypłat z bankomatu. Takie zabezpieczenia mogą znacząco ograniczyć straty w przypadku padnięcia ofiarą oszustwa.
W razie jakichkolwiek wątpliwości co do autentyczności rozmówcy telefonicznego, najlepiej przerwać rozmowę i samodzielnie skontaktować się z instytucją, którą rzekomo reprezentuje, korzystając z oficjalnego numeru telefonu dostępnego na stronie internetowej banku.
Pełnomocnik rządu ds. cyberbezpieczeństwa wskazuje, iż tego typu oszustwa są częścią szerszego trendu, gdzie przestępcy łączą tradycyjne metody wyłudzeń z zaawansowanymi technologiami. W związku z rosnącą liczbą ataków planowane są szeroko zakrojone kampanie informacyjne, które mają edukować społeczeństwo na temat bezpiecznego korzystania z bankowości elektronicznej i ochrony danych osobowych.
Należy pamiętać, iż ofiara takiego oszustwa powinna natychmiast skontaktować się ze swoim bankiem w celu zablokowania karty oraz zgłosić przestępstwo na policję. Szybka reakcja może w niektórych przypadkach pomóc w odzyskaniu utraconych środków lub przynajmniej zapobiec dalszym stratom.
Bank centralny wspólnie z sektorem bankowym pracują w tej chwili nad dodatkowymi zabezpieczeniami systemów, które mogłyby wykrywać i blokować podejrzane transakcje wykorzystujące technologię NFC, jednak na tym etapie najskuteczniejszą ochroną pozostaje czujność i ostrożność samych klientów banków.
English (US) · 
Polish (PL) · 
Russian (RU) ·