Zalew fałszywych listów z banków

„Twoje konto w systemie iPKO zostało zablokowane". Taki e-mail pan Tomasz dostał na firmowy adres elektroniczny. W treści mógł przeczytać, że bank „w trosce o bezpieczeństwo klientów zablokował konto w systemie PKO BP z powodu nieautoryzowanego dostępu do konta". W celu odblokowania dostępu klient był poproszony o zalogowanie się do bankowości internetowej.

– Wyglądało to jak prawdziwy e-mail z banku, ale nie wszedłem na stronę przez załączony link, bo list był adresowany na skrzynkę mojej firmy, więc zapaliło mi się światełko ostrzegawcze – opowiada pan Tomasz.

Nie klikaj w przesłany link

– Nie jesteśmy autorem takich wiadomości. Ostrzegamy klientów, że nigdy nie prosimy o podawanie jakichkolwiek informacji drogą e-mailową lub esemesową – podkreśla Michał Tkaczuk z PKO BP.

To samo mówi Ewa Szerszeń, zastępca rzecznika w ING Banku Śląskim. Przestrzega klientów przed otwieraniem stron i linków nieznanego pochodzenia. Jeśli wiadomość budzi podejrzenia, nie należy na nią odpowiadać ani otwierać załączonych plików czy linków.

– Nigdy nie należy używać do logowania adresu lub linku przesłanego w wiadomości e-mail. Nie przesyłamy klientom komunikatów z linkami do strony logowania ani nie prosimy o instalację dodatkowego oprogramowania – zapewnia Ewa Krawczyk, rzecznik BZ WBK.

Marta Rutkowska z mBanku radzi, by w razie otrzymania takiego listu elektronicznego, jaki dotarł do pana Tomasza, przede wszystkim zwrócić uwagę na adres strony w polu „adres" przeglądarki internetowej. Należy porównać go z prawidłowym adresem strony banku i sprawdzić, czy ma tzw. zieloną kłódkę.

Przekierowanie na fałszywą stronę

E-maile lub SMS, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linku, to fałszywe wiadomości mające na celu nie tylko wyłudzenie od odbiorcy danych osobowych lub danych karty, ale także zainstalowanie na jego komputerze lub w telefonie szkodliwych programów podglądających i śledzących działania. Wiadomości te często wykorzystują prawdziwe logo i podrobiony nagłówek, co jeszcze bardziej upodabnia je do prawdziwego e-maila z banku. Często informują odbiorców o zmianie infrastruktury IT przez bank, w związku z czym wszyscy klienci są proszeni o powtórne potwierdzenie swoich danych. Gdy klient kliknie w zawarty w e-mailu odsyłacz, zostaje przekierowany na fałszywą stronę, na której jest nakłaniany do ujawnienia poufnych informacji.

Właściwie we wszystkich bankach działają zespoły, które monitorują sieć pod kątem pojawiających się zagrożeń. Po wykryciu fałszywej strony od razu podejmują działania zmierzające do zablokowania danego adresu.

Bank PKO BP ostatnio rozesłał swoim klientom informację, że wkrótce zablokuje możliwość zapamiętywania w przeglądarkach internetowych danych logowania do konta. Klient będzie musiał za każdym razem wpisać te dane. Zmiana ma zwiększyć bezpieczeństwo.

Nie ujawniaj PIN nawet rodzinie

Bankowcy ostrzegają, że nie wolno udostępniać swoich danych osobowych, loginu i haseł do konta, kodów jednorazowych, danych dotyczących karty płatniczej, czyli PIN, kodu CVV ani żadnych innych poufnych informacji osobom trzecim, nawet bliskim. Klient, który dostał podejrzane linki i podał dane do logowania lub podejrzewa, że mógł paść ofiarą phishingu, powinien jak najszybciej skontaktować się z bankiem.

Trzeba też dbać o bezpieczeństwo komputera poprzez stosowanie aktualizowanych na bieżąco programów antywirusowych oraz firewalla. Podczas korzystania z bankowości internetowej należy używać własnego sprzętu.

Jak ochronić się przed atakiem phishingowym

1

Uważaj na wiadomości e-mail, w których jesteś proszony o podanie osobistych informacji. Jest mało prawdopodobne, aby twój bank żądał od ciebie takich danych za pośrednictwem e-maila. Jeżeli masz wątpliwości, zadzwoń i sprawdź!

2

Nie wypełniaj formularzy w wiadomościach e-mail, w których należy podać informacje osobiste. Wprowadzaj takie dane tylko za pośrednictwem bezpiecznej strony internetowej. Sprawdź, czy adres URL zaczyna się od https://, a nie http://. Poszukaj symbolu kłódki w prawym dolnym rogu przeglądarki i kliknij go dwukrotnie, aby sprawdzić ważność certyfikatu cyfrowego, lub skontaktuj się z bankiem telefonicznie.

3.

Natychmiast informuj swój bank o wszystkim, co wydaje ci się podejrzane.

4

Nie otwieraj stron internetowych przy użyciu odsyłaczy zawartych w wiadomościach e-mail. Zamiast tego wpisuj adres URL do przeglądarki internetowej.

5

Sprawdź, czy twój program antywirusowy blokuje strony phishingowe, lub rozważ zainstalowanie paska narzędzi przeglądarki internetowej, który ostrzega przed znanymi atakami phishingowymi.

6

Regularnie sprawdzaj swoje konta bankowe (w tym karty debetowe i kredytowe, wyciągi z rachunków itd.), aby mieć pewność, że wszystkie transakcje zostały przeprowadzone przez ciebie.

7.

Używaj najnowszej wersji przeglądarki internetowej i stosuj wszystkie łaty bezpieczeństwa. źródło: Kaspersky Lab

Uwaga na jednozłotowe przelewy

- Plagą w internecie są także fałszywe ogłoszenia oferujące pracę, głównie zdalną. Gdy ktoś się zgłosi i zostanie zaakceptowany, jest proszony o przesłanie danych osobowych, skanu dowodu osobistego oraz wykonania przelewu o wartości 1 zł. Przelew ten ma potwierdzać, że dane wpisane przez kandydata w formularzu zgłoszeniowym są prawdziwe.

- Gdy potencjalny pracownik prześle dane i skan dowodu, oszust w jego imieniu zakłada w banku konto. Żeby je aktywować, należy przesłać przelew o wartości 1 zł. Na tej podstawie bank weryfikuje klienta (w przelewie przychodzącym znajdują się nazwisko i adres). Bank wychodzi z założenia, że klient został już sprawdzony przez bank, w którym wcześniej założył rachunek.