Zniknęły środki z konta klientów popularnych banków. Agencja ostrzega

CERT Orange Polska wydał pilne ostrzeżenie przed kolejną falą kampanii phishingowych, które coraz częściej dotykają klientów polskich banków. Przestępcy, podszywając się pod takie instytucje jak Santander, Alior, BNP czy Pekao, wysyłają fałszywe wiadomości SMS, aby wyłudzić dane logowania. Ich celem jest przejęcie kontroli nad kontami bankowymi i szybkie opróżnienie ich z dostępnych środków.

Fot. Pixabay / Warszawa w Pigułce

Jak działają cyberprzestępcy?

Mechanizm oszustwa opiera się na socjotechnice, czyli manipulacji emocjami odbiorcy. Fałszywe wiadomości SMS zwykle informują o problemach z kontem lub aplikacją bankową, takich jak rzekome wygaśnięcie dostępu czy konieczność weryfikacji danych. W treści wiadomości znajduje się link do strony, która łudząco przypomina oficjalny serwis banku, ale jest fałszywa. Po zalogowaniu na takiej stronie przestępcy przechwytują dane i wykorzystują je do nieautoryzowanych transakcji.

Cechą charakterystyczną takich wiadomości są błędy językowe, literówki oraz nietypowe znaki diakrytyczne, które mają na celu ominięcie filtrów antyspamowych. Przestępcy stosują także presję czasową – grożą na przykład zablokowaniem konta, aby skłonić odbiorcę do natychmiastowego działania.

CERT Orange Polska udostępnił przykłady przechwyconych wiadomości

CERT przechwycił kilka takich wiadomości i podał przykłady. Podobna wiadomość przyszła do naszej redakcji. Umieszczamy ją poniżej.

• „[ALIOR BANK] Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, uk oncz weryfikację aby uniknąć źáblokowania konta. Link z instrukcja weryfikacji: hxxps://alior.016945[.]com”.
• „BNP Twoja rejestracja mobilna wygasa16.09.24. odblokuj tutaj hxxps://bnp.044008[.]com”.
• „[SANTANDER] Twoje Santánder-Mobile kontó wygasa dnía, 16\09\2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta. Link z instrukcjá wéryfíkacji: SnataBiombile[.]com”.
• „PEKAO Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokowaniu: hxxps://peopeka024[.]com/l/logowanie/e”.

Wiadomość, którą otrzymała nasza redakcja. Fot. Warszawa w Pigułce

Kto jest szczególnie narażony?

Ofiarami phishingu najczęściej padają osoby starsze, które rzadziej korzystają z nowoczesnych technologii i mogą mieć trudności z odróżnieniem prawdziwej wiadomości od fałszywej. Problem dotyczy również osób, które korzystają z internetu w sposób mniej świadomy, np. klikają w linki bez sprawdzenia ich wiarygodności.

Według danych CERT Polska w 2022 roku phishing stanowił aż 64% wszystkich zgłoszonych cyberprzestępstw. Liczba takich incydentów stale rośnie, ponieważ przestępcy doskonalą swoje metody, tworząc coraz bardziej przekonujące wiadomości i strony internetowe.

Jak rozpoznać fałszywe wiadomości?

Eksperci ds. cyberbezpieczeństwa podkreślają, iż najważniejsze jest zwracanie uwagi na szczegóły. Fałszywe SMS-y często zawierają literówki, błędy ortograficzne lub nietypowe znaki. Linki prowadzące do spreparowanych stron różnią się od oficjalnych domen banków, choć mogą być do nich łudząco podobne. Przestępcy wywierają presję czasową, informując o rzekomym zablokowaniu konta, aby zmusić odbiorcę do szybkiego działania.

Banki przypominają, iż nigdy nie proszą swoich klientów o podawanie danych logowania przez linki przesyłane w wiadomościach SMS. Wszystkie komunikaty związane z kontem czy aplikacją powinny być weryfikowane przez oficjalne kanały, takie jak aplikacje mobilne lub infolinie bankowe.

Co zrobić w przypadku podejrzenia oszustwa?

Jeśli otrzymasz podejrzaną wiadomość SMS, nie klikaj w zawarte w niej linki i nie podawaj żadnych danych. Zamiast tego skontaktuj się bezpośrednio z bankiem, korzystając z oficjalnej infolinii lub aplikacji mobilnej. W przypadku podejrzenia, iż dane logowania zostały przechwycone, należy jak najszybciej zablokować konto, zgłosić incydent do CERT Polska i powiadomić policję.

Warto również regularnie sprawdzać historię transakcji na swoim koncie, aby gwałtownie wychwycić wszelkie nieprawidłowości. Szybka reakcja zwiększa szanse na powstrzymanie nieautoryzowanych przelewów i odzyskanie utraconych środków.

Jak się chronić przed phishingiem?

Zachowanie czujności i przestrzeganie podstawowych zasad bezpieczeństwa to najskuteczniejszy sposób ochrony przed phishingiem. Nigdy nie klikaj w podejrzane linki, korzystaj wyłącznie z oficjalnych aplikacji i stron internetowych banków, a dane logowania trzymaj w tajemnicy.

Eksperci radzą także, aby edukować bliskich, zwłaszcza osoby starsze, na temat zagrożeń w sieci. Dzięki świadomości i ostrożności można skutecznie zminimalizować ryzyko stania się ofiarą cyberprzestępców.

Phishing pozostaje jednym z najpoważniejszych zagrożeń w obszarze cyberbezpieczeństwa. W obliczu coraz bardziej wyrafinowanych metod oszustów najważniejsze jest zachowanie ostrożności i podejmowanie działań prewencyjnych. Dzięki temu można ochronić swoje finanse i uniknąć stresujących sytuacji związanych z utratą środków.