Policja pilnie ostrzega. Ten e-mail może kosztować cię nawet wszystkie oszczędności
Na skrzynkach lądują maile łudząco podobne do urzędowych powiadomień z Profilu Zaufanego. Kuszą „pilną” informacją o logowaniu z nowego urządzenia i podrzucają numer telefonu do „wsparcia”. Wystarczy jeden telefon, by oddać oszustowi kontrolę nad kontem i pieniędzmi. Zjawisko przybiera skalę masową – ostrzegają policja i administracja publiczna, a scenariusze oszustw zmieniają się szybciej niż weekendowe trendy na Instagramie
Telefon zamiast linku: jak działa oszustwo na „Profil Zaufany”
Kampania jest sprytna, bo nie prosi o klikanie. Zamiast tego mail „z Profilu Zaufanego” podaje numer infolinii. Zdezorientowany adresat dzwoni, słyszy o „włamaniu na konto” i „konieczności pilnej weryfikacji w banku”.
Potem wpada w łańcuszek rozmów kontrolowanych przez przestępców: najpierw „urzędnik”, potem „konsultant banku”, aż w końcu pada propozycja instalacji aplikacji do „zdalnej weryfikacji”, czyli przejęcia telefonu. W tle wisi duża liczba potencjalnych ofiar – nawet 16 mln posiadaczy Profilu Zaufanego. To już nie phishing, to tzw. vishing (wyłudzenie przez telefon) w wersji premium. W podobnych atakach pojawia się też wabik „konta technicznego” i groźba zablokowania środków. Brzmi znajomo? Bo to świeża wariacja znanych sztuczek „na bank” i „na urzędnika”.
A jeśli ktoś myśli, że to tylko teoria – wystarczy przejrzeć policyjne komunikaty. Funkcjonariusze opisują niemal identyczne maile, a lokalne komendy ostrzegają, że ofiary same wykonują „ten jeden nieszczęsny telefon”. Dokładny adres nadawcy bywa mylący (domeny podobne do gov.pl), a temat wiadomości stawia na nogi: „zalogowano z nowego urządzenia”, „pilna weryfikacja PESEL”. To klasyczny element tzw. presji czasu, która odcina zdrowy rozsądek.
Kulisy kampanii: skala, triki i pierwszy ruch, który cię ratuje
Sygnały o nowej fali nadużyć spływają równolegle do redakcji i służb. Rządowy zespół i resort cyfryzacji ostrzegają też przed wariantami, w których oszuści podszywają się nie tylko pod Profil Zaufany, ale i pod NFZ czy mObywatela, przeklejając elementy prawdziwych kampanii informacyjnych. Jednym z chwytów jest filmik lub grafika z autentycznym layoutem, ale fałszywym przekierowaniem do „logowania”. Źródło wspólne: chęć wyłudzenia danych i zdalnego dostępu do telefonu ofiary.
Pierwszy ruch, który realnie zatrzymuje lawinę, to… nie oddzwaniać na numer z maila i samemu, z własnoręcznie znalezionego kontaktu, zadzwonić do banku lub na oficjalną infolinię. Brzmi prosto, a oszczędza tysiące złotych.
Nie wiesz, jak rozpoznać taki mail? Zwróć uwagę na subtelne różnice w adresie nadawcy, literówki i presję: „natychmiast”, „pilnie”, „blokada”. Jeśli w treści pada propozycja zainstalowania aplikacji do „weryfikacji” lub „zdalnego wsparcia”, to moment, w którym odwracasz się na pięcie. Używaj też zdrowych nawyków: oddzielnego hasła do PZ, włączonej weryfikacji wieloskładnikowej i powiadomień z aplikacji bankowej.
Co dalej: PESEL pod tarczą, urzędowe komunikaty i szybka riposta
Jeśli kliknąłeś lub zadzwoniłeś i czujesz, że coś poszło nie tak, działaj od ręki. Skontaktuj się z bankiem i zastrzeż dostęp, a jeśli istnieje cień podejrzenia, że twoje dane krążą w sieci, włącz zastrzeżenie numeru PESEL w mObywatelu – to blokuje m.in. zaciąganie kredytów na twoje nazwisko. W razie wątpliwości zajrzyj do oficjalnych zaleceń bezpieczeństwa dla Profilu Zaufanego i pamiętaj: państwowe instytucje nie proszą przez telefon o instalację oprogramowania ani o podawanie haseł. To standard, nie fanaberia.
Administracja publikuje kolejne ostrzeżenia o trwających kampaniach podszywających się pod gov.pl. W najnowszych komunikatach zwraca uwagę na samorządy i użytkowników indywidualnych, a policja wprost prosi, by nie oddzwaniać na numery z podejrzanych e-maili. Czy to zahamuje proceder? Cyberprzestępcy są zwinni, ale czujny użytkownik – jeszcze bardziej.
