Dramat klientów banków. Zjawisko się nasila, rząd reaguje [17.10.2024]

Klienci banków w Polsce są narażeni na nową falę groźnych ataków phishingowych, które mogą skutkować utratą wszystkich środków na rachunkach bankowych. CERT Orange Polska poinformował o kolejnej kampanii oszustów, podszywających się pod znane instytucje finansowe, dzięki fałszywych SMS-ów. Osoby, które dadzą się zwieść tym wiadomościom, mogą nieświadomie przekazać swoje dane logowania, co otwiera przestępcom drogę do przejęcia kont bankowych. Mimo działań banków, niektórzy klienci tracą zgromadzone oszczędności.

Fot. Warszawa w Pigułce

Mechanizm działania nowej kampanii phishingowej

Oszuści wysyłają SMS-y, które na pierwszy rzut oka przypominają autentyczne wiadomości od banków. W treści znajdują się ostrzeżenia o rzekomym wygaśnięciu konta lub problemach z dostępem do aplikacji mobilnej, co ma wywołać panikę i skłonić odbiorców do szybkiego działania. Klienci są zachęcani do kliknięcia w link prowadzący do fałszywej strony, która jest łudząco podobna do oficjalnej witryny banku. Na tej stronie użytkownicy są proszeni o podanie swoich danych logowania, co umożliwia przestępcom dostęp do konta i środków.

Przestępcy podszywają się pod banki takie jak Alior, BNP, Santander i Pekao, ale specjaliści z CERT Orange Polska ostrzegają, iż klienci innych banków również mogą być na celowniku. Oszuści stosują różne metody, aby ominąć systemy antyphishingowe, np. celowo wprowadzają literówki i nietypowe znaki, które mają utrudnić wykrycie oszustwa przez filtry bezpieczeństwa.

Przykłady fałszywych SMS-ów

CERT Orange Polska opublikował przykłady fałszywych wiadomości, które otrzymywali klienci. Mają one na celu wywołanie poczucia zagrożenia, np. poprzez straszenie zablokowaniem konta:

• „[ALIOR BANK] Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, ukończ weryfikację, aby uniknąć zablokowania konta. Link: hxxps://alior.016945[.]com”
• „BNP Twoja rejestracja mobilna wygasa 16.09.24. Odblokuj tutaj: hxxps://bnp.044008[.]com”
• „[SANTANDER] Twoje Santánder-Mobile kontó wygasa dnía, 16\09\2024. Ukóncz weryfikację, aby uniknąć blokady konta. Link: SnataBiombile[.]com”
• „PEKAO Rejestracja Peopay-Mobile wygasa 13.10.24. zapobiec blokadzie: hxxps://peopeka024[.]com/l/logowanie/e”

Każda z tych wiadomości zawiera fałszywy link, mający na celu skłonienie odbiorcy do podania danych logowania.

Wiadomość, którą otrzymała nasza redakcja. Fot. Warszawa w Pigułce

Techniki stosowane przez oszustów

Aby zwiększyć skuteczność swoich działań, przestępcy stosują różne techniki manipulacyjne. Kluczową z nich jest wywoływanie paniki i poczucia pilności. Wiadomości sugerują, iż bez natychmiastowej reakcji konto zostanie zablokowane, co ma skłonić do szybkiego kliknięcia w podany link. Aby obejść filtry bezpieczeństwa, w wiadomościach celowo pojawiają się błędy ortograficzne oraz dziwne znaki, np. w polskich „ogonkach”. Ponadto, fałszywe strony internetowe, do których prowadzą linki, są starannie zaprojektowane tak, aby wyglądały niemal identycznie jak prawdziwe serwisy banków, co ma na celu zmylenie potencjalnych ofiar.

Jak się chronić przed phishingiem?

Eksperci z CERT Orange Polska podkreślają, iż największym zabezpieczeniem przed phishingiem jest ostrożność użytkowników. Warto stosować się do kilku podstawowych zasad:

1. Ostrożnie podchodź do niespodziewanych wiadomości: jeżeli otrzymasz SMS, który sugeruje, iż Twoje konto może zostać zablokowane, sprawdź dokładnie nadawcę i treść wiadomości. Banki zwykle nie wysyłają takich powiadomień bez wcześniejszych zapowiedzi.
2. Unikaj klikania w linki w wiadomościach SMS: choćby jeżeli wiadomość wygląda wiarygodnie, lepiej samodzielnie wejść na stronę banku, wpisując jej adres manualnie w przeglądarce lub korzystając z oficjalnej aplikacji.
3. Zwracaj uwagę na literówki i dziwne znaki: Błędy ortograficzne i nietypowe znaki mogą świadczyć o tym, iż wiadomość jest fałszywa.
4. Korzystaj z oficjalnych kanałów kontaktu: W przypadku wątpliwości, zamiast reagować na SMS, skontaktuj się z bankiem bezpośrednio, korzystając z infolinii lub aplikacji mobilnej.
5. Regularnie monitoruj swoje konto: Sprawdzaj historię transakcji, aby gwałtownie zareagować na ewentualne nieautoryzowane operacje.

Zagrożenie phishingiem w Polsce rośnie

Phishing, czyli oszustwa polegające na wyłudzaniu danych, to w tej chwili jedno z najczęściej spotykanych zagrożeń w Polsce. Zjawisko to staje się coraz bardziej powszechne. Z raportu CERT Polska wynika, iż w 2022 roku zgłoszono ponad 322 tysiące incydentów związanych z cyberbezpieczeństwem, z czego aż 64% stanowiły ataki phishingowe. Wzrost tego typu oszustw w porównaniu do roku 2021 wyniósł 34%, co wskazuje na ich dynamiczny rozwój.

Ataki phishingowe są szczególnie niebezpieczne dla osób starszych oraz tych, którzy nie są zaznajomieni z bankowością elektroniczną. Należy jednak pamiętać, iż każdy użytkownik, który nie zachowa ostrożności, może paść ofiarą. Oprócz klasycznych SMS-ów, oszuści coraz częściej stosują bardziej zaawansowane metody, takie jak „vishing” (wyłudzanie danych przez telefon) czy „smishing” (phishing poprzez wiadomości SMS).

Konsekwencje dla ofiar

Utrata danych logowania do konta bankowego może mieć katastrofalne skutki. Osoby, które padły ofiarą takich oszustw, tracą nie tylko swoje dane, ale i wszystkie środki zgromadzone na koncie. Choć banki podejmują liczne kroki w celu zwiększenia bezpieczeństwa swoich klientów, nie zawsze mogą w pełni zrekompensować straty.

Ataki phishingowe stają się coraz bardziej zaawansowane, a fałszywe wiadomości są tak dobrze przygotowane, iż czasem trudno je odróżnić od prawdziwych powiadomień bankowych. Warto jednak pamiętać o kilku podstawowych zasadach bezpieczeństwa. Przed kliknięciem w jakikolwiek link zawsze należy zastanowić się, czy rzeczywiście istnieje podstawa do zablokowania konta. Zdrowy rozsądek oraz ostrożność są najważniejsze w zapobieganiu tego typu oszustwom.

Zagrożenie phishingiem w Polsce nieustannie rośnie, a jego głównym celem są klienci banków. adekwatna ostrożność oraz przestrzeganie podstawowych zasad bezpieczeństwa mogą znacząco zmniejszyć ryzyko padnięcia ofiarą tego rodzaju ataków.

Rząd reaguje na ogromną ilość ataków

Ostatnio w Polsce wprowadzono przepisy, które nakładają na operatorów telekomunikacyjnych nowe obowiązki w zakresie przeciwdziałania oszustwom takim jak phishing i smishing. Wprowadził je jeszcze poprzedni rząd, ale dopiero tego lata przepisy weszły w życie. Na mocy ustawy o przeciwdziałaniu nadużyciom w komunikacji elektronicznej operatorzy są zobowiązani do aktywnego blokowania wiadomości tekstowych, które mogą stanowić zagrożenie, np. te podszywające się pod instytucje publiczne lub banki. Przepisy te mają na celu ochronę użytkowników przed oszustami próbującymi wyłudzić dane logowania dzięki fałszywych SMS-ów.

Operatorzy są teraz zobowiązani nie tylko do blokowania fałszywych wiadomości, ale także do uniemożliwiania dostępu do stron internetowych wykorzystywanych w kampaniach phishingowych. Co więcej, mogą blokować numery telefonów, które są używane do takich działań, a także przerywać połączenia czy zatrzymywać pobieranie opłat za usługi, które naruszają prawo. Dodatkowo, prezes Urzędu Komunikacji Elektronicznej ma możliwość natychmiastowego nakazania blokady numerów telefonicznych, choćby na podstawie ustnego polecenia, co pozwala na szybką reakcję na zagrożenia.

Za nieprzestrzeganie nowych przepisów grożą wysokie kary, w tym grzywny do 3% rocznych przychodów firmy, co ma na celu zniechęcenie operatorów do ignorowania zagrożeń. Z drugiej strony, przepisy te nałożyły również nowe wymagania na dostawców usług e-mailowych, którzy muszą stosować zaawansowane technologie zabezpieczające, takie jak SPF, DKIM i DMARC, aby zapobiec fałszywym wiadomościom.

Te działania rządu mają na celu ograniczenie coraz powszechniejszych ataków phishingowych, które stają się w Polsce coraz większym problemem. Zgodnie z danymi CERT Polska, liczba incydentów związanych z phishingiem rośnie z roku na rok, co wymagało podjęcia pilnych działań legislacyjnych.