Tysiące Polaków przeżywają szok po wejściu na konto. Zniknęły wszystkie środki, a oni zostali bez grosza

Specjaliści CERT Orange Polska wykryli zakrojoną na szeroką skalę kampanię phishingową wymierzoną w klientów polskich banków. Cyberprzestępcy atakują użytkowników bankowości elektronicznej z niespotykaną dotąd intensywnością, stosując coraz bardziej zaawansowane metody manipulacji. Eksperci apelują o wzmożoną czujność, gdyż choćby doświadczeni internauci mogą paść ofiarą tych wyrafinowanych oszustw.

Fot. Warszawa w Pigułce

Najbardziej powszechne metody ataku

Fałszywe wiadomości SMS stanowią podstawową broń w arsenale cyberprzestępców. Wiadomości są starannie przygotowane, aby łudząco przypominać oficjalne komunikaty bankowe. Typowy scenariusz obejmuje informację o rzekomym wygaśnięciu dostępu do konta lub aplikacji mobilnej, z podkreśleniem pilnej potrzeby działania dla uniknięcia blokady.

„Przestępcy bazują na wywołaniu silnych emocji – strachu przed utratą dostępu do pieniędzy oraz presji czasowej. To skutecznie prowokuje choćby ostrożne osoby do pochopnego kliknięcia w link” – wyjaśniają eksperci CERT Orange Polska.

Co niepokojące, oszuści nie ograniczają się już tylko do wiadomości tekstowych. Coraz częściej wykonują telefony do potencjalnych ofiar, podszywając się pod konsultantów bankowych. Ta wielokanałowa strategia znacząco zwiększa skuteczność ataków, sprawiając, iż choćby świadomi zagrożeń użytkownicy mogą ulec manipulacji.

Popularne są też SMS-y. By uniknąć zatrzymania i zablokowania przez filtr operatorów komórkowych, oszuści coraz częściej celowa popełniają błędy w wiadomościach. Przykładem jest ta, która dotarła ostatnio do naszej redakcji.

Fot. Warszawa w Pigułce

Które banki są atakowane?

Na celowniku przestępców znalazły się największe polskie instytucje finansowe, w tym:

• Alior Bank
• BNP Paribas
• Santander
• Bank Pekao

Eksperci podkreślają jednak, iż klienci wszystkich banków działających w Polsce powinni zachować wzmożoną czujność, ponieważ zasięg kampanii stale się rozszerza.

Coraz trudniejsze do wykrycia oszustwa

Cyberprzestępcy nieustannie udoskonalają swoje techniki, skutecznie omijając zabezpieczenia bankowe i filtry antyspamowe operatorów komórkowych. Eksperci zauważają znaczący wzrost wykorzystania sztucznej inteligencji do tworzenia spersonalizowanych wiadomości, które są jeszcze bardziej przekonujące.

„Oszuści celowo wprowadzają do swoich wiadomości drobne błędy językowe i nietypowe znaki diakrytyczne. To nie jest wynikiem niedbałości, ale przemyślaną strategią pozwalającą omijać zaawansowane filtry antyspamowe” – tłumaczą specjaliści CERT Orange Polska.

Fałszywe strony logowania do bankowości są często perfekcyjnymi kopiami oryginalnych witryn, z identycznymi logotypami, kolorystyką i układem elementów. Różnice są zwykle minimalne i trudne do zauważenia dla przeciętnego użytkownika.

Skala i skuteczność ataków

Masowość to kolejna taktyka stosowana przez przestępców. Wysyłając setki tysięcy wiadomości, bazują na prostej statystyce – choćby jeżeli jedynie niewielki procent odbiorców da się zwieść, liczba poszkodowanych będzie znacząca.

Według szacunków ekspertów, przy wysłaniu 100 000 fałszywych SMS-ów i skuteczności zaledwie 0,1%, oszuści mogą uzyskać dostęp do 100 kont bankowych. Biorąc pod uwagę, iż średnia kwota wykradziona z jednego konta może wynosić kilka tysięcy złotych, choćby przy tak niskiej skuteczności zysk przestępców jest znaczący.

Jak się chronić? Praktyczne wskazówki

W obliczu narastającego zagrożenia, CERT Orange Polska zaleca przestrzeganie podstawowych zasad bezpieczeństwa:

• Nie klikaj w linki z SMS-ów – choćby jeżeli wiadomość wydaje się wiarygodna. Zamiast tego samodzielnie wpisuj adres strony banku w przeglądarce lub korzystaj z oficjalnej aplikacji mobilnej.
• Sprawdzaj nadawcę wiadomości – banki wysyłają komunikaty z wyraźnie oznaczonych, oficjalnych numerów, które możesz zweryfikować.
• Zwracaj uwagę na język – błędy ortograficzne, dziwne znaki, nienaturalne sformułowania powinny wzbudzić Twoją czujność.
• W razie wątpliwości dzwoń do banku – używając numeru z rewerse karty płatniczej lub z oficjalnej strony (wpisanej manualnie w przeglądarkę).
• Monitoruj historię transakcji – regularne sprawdzanie operacji pozwala gwałtownie wykryć nieautoryzowane przelewy.
• Aktywuj dodatkowe zabezpieczenia – ustaw limity transakcji, włącz potwierdzenia dwuetapowe i autoryzację biometryczną.

Edukacja kluczem do bezpieczeństwa

Eksperci ds. cyberbezpieczeństwa podkreślają, iż świadomość zagrożeń i znajomość podstawowych zasad ochrony mogą znacząco zredukować ryzyko padnięcia ofiarą oszustwa.

„Banki inwestują ogromne środki w systemy zabezpieczeń, jednak żaden system nie zapewni stuprocentowej ochrony, jeżeli użytkownik dobrowolnie poda swoje dane uwierzytelniające oszustom” – ostrzegają specjaliści.

CERT Orange Polska przewiduje, iż w najbliższych miesiącach liczba ataków phishingowych może jeszcze wzrosnąć, szczególnie w okresach wzmożonej aktywności finansowej, takich jak święta czy wyprzedaże. Dlatego najważniejsze jest, aby użytkownicy bankowości elektronicznej pozostawali na bieżąco z informacjami o nowych zagrożeniach i systematycznie aktualizowali swoją wiedzę w zakresie bezpiecznego korzystania z usług finansowych online.