Pilne ostrzeżenie! Klienci dużego banku są zagrożeni
Gdy w skrzynce ląduje groźnie brzmiący e-mail: „Twoja karta przestanie działać. Potwierdź tożsamość”, ręka sama szuka przycisku „kliknij tutaj”. Właśnie na ten odruch polują cyberprzestępcy. CERT Polska alarmuje o świeżej kampanii phishingowej wymierzonej w klientów PKO BP — fałszywe maile prowadzą do łudząco podobnego panelu logowania i wyłudzają hasła. Oto co naprawdę dzieje się w kulisach takiej akcji i jak z niej wyjść obronną ręką.
Co to za „pilny komunikat” i skąd się bierze presja czasu
Schemat jest stary jak internet, ale działa: oszuści wysyłają wiadomości stylizowane na bankowe, strasząc blokadą karty i wymuszając „natychmiastową weryfikację”. Link w mailu nie kieruje do banku, tylko na podrobioną stronę, gdzie ofiara sama wpisuje login, hasło i kody — resztą zajmują się złodzieje. CERT Polska potwierdza: treści mogą się kosmetycznie różnić, lecz rdzeń ataku pozostaje ten sam — wywołać strach i pośpiech. W ostatnich dniach na celowniku znalazł się PKO BP.
Warto wiedzieć, że cyberprzestępcy coraz lepiej kopiują język i szatę graficzną korespondencji. Podmieniają logotypy, podpisy, a nawet wklejają „regulaminy”. To dlatego „na oko” trudno odróżnić fałszywkę od oryginału. W jednej z obserwowanych wiadomości sugerowano, że karta „przestanie działać od 3 listopada”, jeśli klient nie kliknie w przycisk „Aktywuj teraz”. Brzmi znajomo? O to chodzi — by klik był mechaniczny.
Zaobserwowaliśmy kolejną kampanię wymierzoną w klientów PKO BP. Odbiorca wiadomości mailowej jest informowany o rzekomej potrzebie podjęcia działań, bo w innym przypadku jego karta płatnicza przestanie działać. Link znajdujący się w treści przekierowuje na fałszywy panel logowania do banku, który służy do wykradania loginów i haseł do bankowości elektroniczne - informuje CERT Polska w komunikacie wydanym w mediach społecznościowych.
Phishing w praktyce: 5 zachowań, które ratują oszczędności
Chcesz się uchronić przed potencjalnym oszustwem? Musisz pamiętać o kilku istotnych sprawach. Po pierwsze, nie klikaj w linki z „pilnych” maili ani SMS-ów. Wejdź do bankowości tylko przez własnoręcznie wpisaną domenę lub aplikację. Po drugie, sprawdzaj nadawcę — literówki w adresie to czerwona flaga. Po trzecie, czytaj uważnie treść: banki nie proszą o pełne hasła, kody z tokena do „weryfikacji danych” ani o instalowanie aplikacji z załącznika. Po czwarte, weryfikuj komunikaty na infolinii banku lub w oddziale — ale numery kontaktowe bierz z oficjalnej strony, nie z maila. Po piąte, zgłaszaj podejrzane wiadomości do CERT Polska: e-maile prześlesz przez formularz incydent.cert.pl, a SMS-y — bezpłatnie — na numer 8080. Każde zgłoszenie pomaga zablokować kolejne złośliwe domeny.
Eksperci przypominają, że presja czasu to narzędzie manipulacji. Jeśli widzisz odliczanie, ultimatum „24 godziny” albo groźbę natychmiastowej blokady — zatrzymaj się. W świeżym komunikacie CERT napisano wprost: oszuści „informują o rzekomej potrzebie podjęcia działań”, a kliknięcie prowadzi do fałszywego logowania. To nie przypadek, to świadomie zaprojektowany mechanizm.
Co robić, gdy jednak klikniesz: szybka ścieżka ratunkowa
Stało się? Nie panikuj, działaj. Natychmiast zmień hasło do bankowości (z bezpiecznego urządzenia), skontaktuj się z bankiem i zgłoś incydent do CERT Polska. Jeśli podałeś kody autoryzacyjne — zastrzeż dostęp i karty, monitoruj historię operacji. W razie utraty środków złóż reklamację w banku i zawiadomienie na policję. Na koniec przejrzyj komputer i telefon pod kątem złośliwego oprogramowania — najlepiej z pomocą specjalisty.
Kampanie phishingowe pojawiają się falami — dziś PKO BP, jutro „kurier”, „skarbówka” albo „operator energii”. Dlatego budowanie nawyków to najlepsza tarcza. CERT publikuje na bieżąco ostrzeżenia i bazę wiedzy o typowych trikach (fałszywe sklepy, konsultanci, załączniki). Podpisz się pod zasadą ograniczonego zaufania — a skrzynka przestanie być tykającą bombą.
