Tak w chwilę stracisz oszczędności. Jeden z największych banków ostrzega, podwyższony stan zagrożenia

Podwyższony stan zagrożenia w polskich bankach

Zabezpieczenie środków na rachunku bankowym to już nie tylko kwestia silnego hasła, ale przede wszystkim świadomości metod, jakimi posługują się współcześni cyberprzestępcy. W ostatnim czasie polski rynek finansowy zalewa fala oszustw typu phishing (metoda polegająca na podszywaniu się pod godną zaufania instytucję w celu wyłudzenia poufnych informacji). Statystyki są nieubłagane – mimo rosnącej liczby kampanii edukacyjnych, polscy internauci wciąż padają ofiarą socjotechniki.

Mechanizm jest zazwyczaj podobny: przestępcy wywołują w nas poczucie pilności lub strachu, co paraliżuje logiczne myślenie i skłania do podejmowania pochopnych decyzji. Często zapominamy, że banki, choć stale modernizują swoje systemy, rzadko proszą o drastyczne kroki drogą mailową, zwłaszcza te dotyczące bezpośredniego dostępu do naszych danych wrażliwych.

Fot. Julio Lopez/Pexels/Canva

Warto w tym miejscu przypomnieć, że polskie prawo i regulacje unijne nakładają na instytucje finansowe surowe rygory dotyczące komunikacji z klientem, co paradoksalnie oszuści próbują obrócić na swoją korzyść, udając, że ich prośby wynikają właśnie z nowych przepisów bezpieczeństwa. Skala zjawiska rośnie wraz z popularnością bankowości mobilnej, która, choć niezwykle wygodna, staje się głównym polem walki o nasze pieniądze.

Czy jesteśmy w stanie odróżnić autentyczny komunikat od perfekcyjnie przygotowanej pułapki? Odpowiedź na to pytanie staje się coraz trudniejsza, zwłaszcza gdy napastnicy personalizują swoje ataki, wykorzystując dane, które wyciekły z innych serwisów internetowych.

Pułapka ukryta w prośbie o aktualizację numeru

Najnowsza kampania wymierzona w klientów mBanku jest wyjątkowo perfidna, ponieważ uderza w jeden z najbardziej fundamentalnych elementów bezpieczeństwa – numer telefonu powiązany z autoryzacją transakcji. Scenariusz ataku zaczyna się od otrzymania wiadomości e-mail, która na pierwszy rzut oka wygląda niemal identycznie jak oficjalna korespondencja banku. Logo, stopka, a nawet stylistyka języka zostały skopiowane z dużą starannością.

Treść wiadomości sugeruje konieczność pilnej aktualizacji numeru telefonu w systemie bankowości elektronicznej. Oszuści straszą, że brak podjęcia natychmiastowych działań doprowadzi do zablokowania dostępu do konta lub uniemożliwi wykonywanie jakichkolwiek przelewów. To klasyczny przykład manipulacji, gdzie rzekome „bezpieczeństwo” jest marchewką, a „blokada środków” kijem. W mailu znajduje się przycisk lub link, który zamiast do prawdziwego serwisu transakcyjnego, prowadzi do spreparowanej witryny.

Arkadiusz Ziolek/East News

Strona ta jest wizualną kopią panelu logowania mBanku, a nieświadomy użytkownik, wpisując tam swój identyfikator oraz hasło, przekazuje je bezpośrednio w ręce złodziei. Co gorsza, w kolejnym kroku ofiara proszona jest o podanie kodu z SMS-a lub zatwierdzenie operacji w aplikacji mobilnej. W rzeczywistości nie jest to proces aktualizacji numeru, lecz autoryzacja dodania „zaufanego urządzenia” przez przestępców lub zlecenie przelewu wychodzącego na ich konto.

W ten sposób jednym kliknięciem klient otwiera drzwi do swojego skarbca, a oszuści zyskują pełną kontrolę nad rachunkiem, co często kończy się jego całkowitym wyczyszczeniem w ciągu zaledwie kilku minut.

Zobacz też: Senior chciał spełnić marzenie sprzed lat. Urząd każe mu zwrócić emeryturę za cały rok

Jak nie dać się okraść i chronić swój majątek?

Obrona przed tego typu atakami wymaga przede wszystkim żelaznej dyscypliny i stosowania zasady ograniczonego zaufania do każdej formy elektronicznej komunikacji. mBank, podobnie jak inne czołowe instytucje finansowe, wielokrotnie podkreślał, że nigdy nie wysyła linków do stron logowania w wiadomościach e-mail ani w SMS-ach. Jeśli otrzymamy prośbę o aktualizację danych, najbezpieczniejszą drogą jest samodzielne wpisanie adresu banku w przeglądarce lub skorzystanie z oficjalnej aplikacji zainstalowanej na telefonie.

Warto również zwrócić uwagę na detale, które często zdradzają oszustów – nietypowy adres nadawcy e-maila, błędy językowe, które mimo użycia AI wciąż się zdarzają, czy wreszcie adres URL strony, na którą zostaliśmy przekierowani. Jeśli adres różni się choćby jedną literą od oryginału, mamy do czynienia z próbą kradzieży. W przypadku, gdy doszło już do podania danych na fałszywej stronie, kluczowy jest czas. Należy niezwłocznie skontaktować się z infolinią banku, zablokować dostęp do kanałów elektronicznych oraz zastrzec wszystkie karty płatnicze.

Kolejnym krokiem powinno być zgłoszenie sprawy na policję oraz poinformowanie zespołu CERT Polska, który zajmuje się monitorowaniem cyberzagrożeń w kraju. Edukacja finansowa i cyfrowa to dziś najlepsza tarcza, jaką dysponujemy. Pamiętajmy, że banki dysponują ogromnymi budżetami na bezpieczeństwo, ale nawet najdroższy system nie zastąpi czujności użytkownika. W dobie, gdy oszczędności gromadzone latami mogą zniknąć w okamgnieniu, chwila zastanowienia przed kliknięciem w podejrzany link jest warta więcej niż jakiekolwiek ubezpieczenie.