Nikomu nie ujawniaj loginów i haseł

Pod koniec lutego na stronach PKO BP pojawiło się ostrzeżenie przed nowym rodzajem oszustw z wykorzystaniem Facebooka. Jak to działa? Cyberprzestępcy przejmują cudze konto na tym portalu (a nie jest to trudne), logują się na nie i wysyłają do znajomych użytkownika wiadomość z prośbą o pomoc finansową – zrobienie przelewu na drobną kwotę. Później nadawca wiadomości przesyła ofierze link do płatności internetowej za pośrednictwem jednego z popularnych serwisów, np. Przelewy24, Dotpay, BlueCash, itp.

Jak ostrzegają PKO BP oraz Związek Banków Polskich (ZBP), w rzeczywistości jest to link do fałszywej strony pośrednika, umieszczonej na kontrolowanym przez przestępców serwerze. Na tej stronie hakerzy dają ofierze do wyboru opcje: „zapłać przez bank” lub „zapłać kartą”.

Po wybraniu banku ofiara jest proszona o podanie danych do logowania. A kiedy poda te informacje, przestępcy logują się do bankowości internetowej danej osoby i przygotowują przelew z rachunku klienta na maksymalną dostępną kwotę.

Klient w tym czasie widzi na fałszywej stronie komunikat o przetwarzaniu płatności. Po kilku minutach na ekranie pojawia się prośba o podanie hasła SMS. Po wpisaniu go przez ofiarę przestępcy autoryzują przelew z rachunku.

ZBP informuje, że w przypadku wybrania na pierwszej stronie opcji: „zapłać kartą”, otwiera się strona, która wyłudza wrażliwe dane karty. Mogą one służyć do dokonywania płatności przez internet.

Standardowy komunikat

Dlaczego PKO BP teraz ostrzega przed przestępcami, którzy mogą okraść konto za pośrednictwem Facebooka?

– Regularnie informujemy o zagrożeniach w sieci, niezależne od tego, czy w danej chwili klienci padają ofiarą przestępców czy nie. Działamy z wyprzedzeniem. Nasze zespoły bezpieczeństwa szybko identyfikują nowe potencjalne zagrożenia – mówi Michał Tkaczuk z biura prasowego banku.

Przyznaje, że lutowe ostrzeżenie jest „odświeżeniem informacji z ubiegłego roku”.

– Nasze zespoły bezpieczeństwa stale monitorują sieć, a fałszywe strony są zawsze na wniosek banku blokowane – dodaje przedstawiciel PKO BP.

Każdy przypadek jest zgłaszany do organów ścigania oraz do międzynarodowych zespołów CERT, zajmujących się zwalczaniem naruszeń bezpieczeństwa komputerowego oraz przeciwdziałaniem tego typu oszustwom. W ostatnim czasie PKO BP publikował m.in. ostrzeżenia przed oszustami podszywającymi się pod instytucje państwowe czy wyłudzającymi kody autoryzacyjne.

Sztuczki cyberprzestępców

PKO BP nie udziela informacji, czy doszło do prób wyłudzenia danych lub kradzieży pieniędzy klientów z wykorzystaniem portalu społecznościowego. Zresztą inne banki też nie chcą informować o takich sytuacjach.

W ubiegłym roku mBank wydał ostrzeżenie przed mejlami powiadamiającymi o rzekomej blokadzie rachunku. Takie nieprawdziwe mejle docierały do skrzynek wielu osób. Zostały stworzone przez hakerów, którzy starali się przejąć wrażliwe dane posiadaczy rachunków.

– Staramy się ostrzegać klientów za każdym razem, gdy w sieci pojawia się zagrożenie phishingiem, czyli gdy oszuści podszywają się pod bank lub inne firmy czy instytucje i próbują wyłudzić loginy oraz hasła – tłumaczy Marta Rutkowska z biura prasowego mBanku.

Cyberprzestępcy wykorzystują różne scenariusze ataków: fałszywe mejle z wiadomością dotyczącą zabezpieczeń, wiadomości z informacją o rzekomej blokadzie rachunku czy nieprawdziwe komunikaty systemowe.

Z kolei ING Bank Śląski w ubiegłym roku ostrzegał przed stronami internetowymi wyłudzającymi dane do logowania w bankowości internetowej. Do klientów banku trafiały mejle wysyłane przez osoby podszywające się pod ING Bank Śląski. Zawierały link do strony łudząco podobnej do prawdziwej strony banku.

Fałszywa witryna zachęca do podania pełnego hasła do systemu bankowości elektronicznej oraz numeru PESEL. W ten sposób przestępca mógłby otrzymać dostęp do cudzego konta bankowego. – W ubiegłym roku doszło do nieskutecznego ataku phishingowego, którego celem było pozyskanie danych uwierzytelniających klientów. Nikt nie poniósł strat finansowych – zapewnia Miłosz Gromski z biura prasowego ING Banku Śląskiego.

Informacji nigdy za wiele

Bank ten informuje klientów o każdej próbie ataku na stronach internetowych. Podobnie postępują inne instytucje.