Ogromny skok na pieniądze wielu Polaków. Niektórzy zostali z niczym

CERT Orange Polska wykrył nową, bardzo niebezpieczną kampanię phishingową wymierzoną w klientów polskich banków. Oszuści, podszywając się pod znane instytucje finansowe, próbują wyłudzić dane dostępowe do kont bankowych, które następnie są opróżniane z pieniędzy.

Fot. Shutterstock

Mechanizm ataku polega na rozsyłaniu SMS-ów, które na pierwszy rzut oka mogą wydawać się autentycznymi komunikatami od banków. Wiadomości zawierają ostrzeżenia o rzekomym wygaśnięciu ważności konta lub dostępu do aplikacji mobilnej. Celem jest wywołanie paniki u odbiorcy i skłonienie go do szybkiego, nieprzemyślanego działania. Niestety, wiadomości te, jak pokazuje historia, bywają skuteczne.

W treści SMS-ów pojawiają się nazwy banków takich jak Alior, BNP, Santander czy Pekao. Eksperci ostrzegają jednak, iż klienci innych instytucji finansowych również powinni zachować czujność.

Przestępcy stosują kilka technik, by zwiększyć skuteczność swoich ataków:

• Wykorzystują poczucie pilności, strasząc blokowaniem konta lub aplikacji.
• Stosują dziwne „ogonki” w literach, by ominąć filtry operatorów.
• Używają linków do fałszywych stron, łudząco podobnych do oficjalnych stron banków.

Przykłady fałszywych wiadomości

• „[ALIOR BANK] Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, uk oncz weryfikację aby uniknąć źáblokowania konta. Link z instrukcja weryfikacji: hxxps://alior.016945[.]com”
• „BNP Twoja rejestracja mobilna wygasa16.09.24. odblokuj tutaj hxxps://bnp.044008[.]com”
• „[SANTANDER] Twoje Santánder-Mobile kontó wygasa dnía, 16\09\2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta. Link z instrukcjá wéryfíkacji: SnataBiombile[.]com”
• „PEKAO Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokowaniu: hxxps://peopeka024[.]com/l/logowanie/e”

Eksperci zalecają zachowanie szczególnej ostrożności wobec niespodziewanych wiadomości od banków. Nie należy klikać w linki zawarte w podejrzanych SMS-ach. W razie wątpliwości najlepiej skontaktować się z bankiem przez oficjalne kanały komunikacji. Warto też regularnie sprawdzać swoje konto bankowe pod kątem nieautoryzowanych transakcji.

CERT Orange Polska podkreśla, iż choć tym razem mechanizm filtrowania zadziałał, zawsze istnieje ryzyko, iż kolejne próby oszustów mogą nie zostać wykryte. Dlatego kluczowa jest czujność i ostrożność samych użytkowników.

Warto pamiętać, iż phishing jest jednym z najczęściej stosowanych przez cyberprzestępców sposobów wyłudzania danych, a jego skala w Polsce rośnie z roku na rok. Według raportu CERT Polska, w 2022 roku phishing stanowił aż 64% wszystkich zgłoszonych incydentów cyberbezpieczeństwa.

Najbardziej narażone są osoby korzystające z bankowości elektronicznej, szczególnie osoby starsze lub te, które nie są zaznajomione z zagrożeniami internetowymi. Ataki phishingowe mogą generować znaczne straty dla ofiar, nie tylko w postaci utraconych danych osobowych, ale także środków zgromadzonych na koncie bankowym.

W obliczu rosnącego zagrożenia, najważniejsze jest zachowanie czujności, regularne edukowanie się w zakresie cyberbezpieczeństwa oraz stosowanie się do zaleceń ekspertów i instytucji finansowych.

Niska świadomość Polaków o cyberzagrożeniach

Jak informuje CyberDefence24, z badań Fundacji Digital Poland wynika, iż świadomość Polaków na temat cyberbezpieczeństwa pozostaje stosunkowo niska – tylko 28% uważa, iż posiada dobrą wiedzę w tym zakresie, podczas gdy 33% ocenia ją jako niską. Co więcej, 45% badanych nie potrafi rozpoznać wiadomości phishingowej, a 3 na 10 Polaków nie wie, co zrobić w przypadku cyberataku. Ponadto, aż 80% ankietowanych obawia się wzrostu liczby oszustw w sieci w najbliższych latach​.

Wzrost liczby ataków phishingowych w Polsce. Blisko 200 tys. tylko w tym roku

Jak informuje NASK, jeszcze w 2021 roku CERT Polska odnotował blisko 30 tys. incydentów bezpieczeństwa, z czego ponad 75% stanowiły ataki phishingowe. Tylko w pierwszych czterech miesiącach tego roku CERT Polska zidentyfikował aż 86 tys. wiadomości SMS wykorzystywanych w kampaniach phishingowych. Statystyki te pokazują, jak gwałtownie rośnie problem z atakami cyberprzestępców – blisko 200 tys. zgłoszeń dotyczących podejrzanych wiadomości wpłynęło do CERT Polska w tym okresie. Jednak dzięki aktywnym działaniom filtrującym zablokowano tysiące fałszywych wiadomości, zwłaszcza w kwietniu, gdzie zablokowano ponad 25,5 tys. takich wiadomości.

Porady, jak się chronić przed phishingiem

1. Sprawdzaj nadawcę – Nie ufaj wiadomościom od nieznanych nadawców, choćby jeżeli wyglądają na oficjalne. Dokładnie sprawdzaj adresy e-mail i numery telefonów.
2. Nie klikaj w podejrzane linki – Nigdy nie klikaj w linki zawarte w nieznanych wiadomościach. Banki i instytucje nie proszą o weryfikację danych przez SMS-y czy e-maile.
3. Aktualizuj oprogramowanie – Regularnie aktualizuj przeglądarki, systemy operacyjne oraz oprogramowanie antywirusowe.
4. Używaj dwuskładnikowego uwierzytelniania – Włącz tę opcję w usługach bankowych i innych wrażliwych kontach online.
5. Edukacja – Poznaj najnowsze metody cyberprzestępców i ucz się rozpoznawać próby wyłudzenia danych.

Przestępcy stale ulepszają swoje metody, dlatego kluczowa jest ostrożność i odpowiedzialne korzystanie z sieci.