Zastawione przez cyberprzestępców pułapki na klientów banków łatwo wykryć, ale osoby rzadko korzystające z konta w internecie mogą dać się złapać.

Wczorajszy atak na klientów Deutsche Banku PBC to kolejna pułapka phishingowa. Takim mianem eksperci określają e-maile nakłaniające do zalogowania się w serwisie transakcyjnym banku za pośrednictwem zawartego w treści listu linku. Ten kieruje użytkownika na sfałszowaną stronę, do złudzenia przypominającą oryginał, ale w rzeczywistości będącą we władaniu cyberprzestępców. Zalogowanie się na niej może spowodować utratę kontroli nad pieniędzmi. W ostatnich tygodniach pułapki były zastawiane m.in. na klientów PKO BP, mBanku czy Banku Śląskiego.

Zdaniem specjalistów od bezpieczeństwa w sieci najbardziej narażeni na ataki są ci klienci, którzy do autoryzacji operacji wykorzystują jeszcze listy haseł jednorazowych na kartach ze zdrapkami. Zawarte na nich kody są ważne tak długo, aż ktoś z nich skorzysta. Jeżeli oszustom uda się je poznać, mogą w każdej chwili wyczyścić konto ofiary z pieniędzy. – Stopniowo odchodzi się od tej metody na rzecz bezpieczniejszych sposobów autoryzacji, takich jak tokeny oraz hasła SMS – mówi Witold Gerstendorf, szef laboratorium antywirusowego firmy Eset.

Nie wiadomo, ilu klientów dało się złapać w te pułapki. Jeżeli ktoś wpadnie w sidła cyberprzestępców, ukradzionych przez nich pieniędzy najpewniej nie odzyska.

W ostatnich tygodniach wzrosła aktywność przestępców próbujących zdobyć dostęp do kont bankowych. Zdaniem ekspertów los osoby, która wpadnie w pułapkę phishingową, jest nie do pozazdroszczenia. – Jeśli klient zaloguje się na sfałszowanej stronie, a następnie poda wszystkie dane, o które jest poproszony podczas tej wizyty, może stracić kontrolę nad swoim rachunkiem oraz wszystkie zgromadzone na nim pieniądze – ostrzega Witold Gerstendorf, szef krakowskiego laboratorium antywirusowego firmy Eset.
Michał Czuma, dyrektor biura antyfraudowego w PKO BP, podkreśla, że zjawisko phishingu istnieje od początku bankowości internetowej. – Nasiliło się, bo przestępcy zaczęli wykorzystywać nieuwagę klientów, którzy po latach funkcjonowania tego rodzaju bankowości mogą utracić czujność, jaką mieli dawniej, u początków działalności banków w sieci – mówi. Dodaje też, że najsłabszym ogniwem systemu bankowego jest człowiek. – Dlatego oszuści, widząc, że niemożliwe jest przełamanie zabezpieczeń banków, skierowali działania na klientów, licząc na ich nieuwagę – uważa przedstawiciel PKO.
Klienci skarżą się, że za część ataków phishingowych odpowiedzialne są same banki, które w serwisach transakcyjnych umieszczają reklamy np. w wyskakujących okienkach. W rezultacie klient, logując się poprawnie do banku, może stracić orientację, czy wciąż jest w bezpiecznym połączeniu. Jednak bankowcy mówią, że w wyskakujących okienkach umieszczają tylko takie informacje, które muszą dotrzeć do klientów. Najczęściej to właśnie aktualności z dziedziny bezpieczeństwa.
Ulubieńcem cyberprzestępców staje się PKO – największy bank detaliczny. Duża część jego klientów wciąż używa kodów autoryzacyjnych z papierowych list haseł jednorazowych, co ułatwia oszustom kradzież pieniędzy. – Cyberprzestępcy szukają możliwości maksymalizacji prawdopodobieństwa odniesienia sukcesu. Skoro PKO jest największy w kraju, to szanse na to, że wśród przypadkowych adresatów e-maili znajdą się klienci tego banku, również są największe – mówi Krzysztof Kasperkiewicz z Biura Bezpieczeństwa Dagma.
Phishing: złodzieje w sieci zwiększają aktywność. Jak się bronić?
Phishing: złodzieje w sieci zwiększają aktywność. Jak się bronić?

Zobacz również
Zdaniem bankowców przed atakiem phishingowym łatwo się obronić. Wystarczy przestrzegać podstawowych zasad bezpieczeństwa. – Najważniejsze, aby pamiętać, że bank nigdy nie wysyła e-maili z prośbą o podanie hasła. A odwiedzając stronę logowania serwisu transakcyjnego, należy się upewnić, czy wpisany adres jest prawidłowy oraz czy strona jest zabezpieczona ważnym certyfikatem – wskazuje Miłosz Gromski z biura prasowego ING Banku Śląskiego. Witold Gerstendorf podkreśla jednak, że niektórzy mogą dać się złapać. – Jeżeli klient rzadko korzysta z konta w internecie, część zasad bezpieczeństwa może mu ulecieć z pamięci. Właśnie na takie osoby polują cyberprzestępcy – mówi przedstawiciel firmy Eset.
Czy utracone w wyniku ich działania pieniądze można odzyskać? – Każde takie zdarzenie jest traktowane indywidualnie. Bank dokonuje wnikliwej analizy całego zajścia oraz weryfikuje informacje przekazane przez klienta i dopiero wówczas podejmuje decyzję, czy zwróci pieniądze nieuważnemu klientowi – tłumaczy Michał Czuma. Podkreśla, że zdarzają się sytuacje, gdy zachowanie klientów można uznać za rażąco niedbałe. A to skutkuje ich pełną odpowiedzialnością za nieautoryzowane operacje.

Pamiętaj, bank nigdy nie wysyła e-maili z prośbą o podanie hasła