Haker poluje na łatwy pieniądz [infografika]
W weekend oszuści na celownik wzięli klientów ING Banku Śląskiego, jak kilka dni wcześniej mBanku, BZ WBK i PKO BP. Lepiej uważać!
O tym, jak może wyglądać atak phishingowy, przekonała się na własnej skórze bydgoszczanka, klientka BGŻ. Jak już pisaliśmy, w zeszłym roku z jej konta nagle zniknęło 20 tys. zł.
„Podaj hasło i PESEL”
- Nie robiłam przelewu. Nie siedziałam tego dnia przy komputerze i nie logowałam się na e-konto przez telefon - przekonywała pani Ewelina. - Nie przyszedł do mnie SMS z kodem autoryzacyjnym, bez którego transakcja nie powinna być zrealizowana. Wynajęłam prawnika i złożyłam skargę na bank, który, po obfitej korespondencji i walce na pisma, uznał, że logowanie przebiegło prawidłowo i brak jest podstaw, by zwrócił mi pieniądze.
Na szczęście, w tej sprawie pomogły i policja, i przypadek. Bydgoszczanka odzyskała swoje pieniądze. Pośrednik, który miał je przetransferować za granicę, sam się zgłosił na policję i je oddał.
Takiego szczęścia mogą jednak nie mieć ci, którzy się zalogowali w weekend na fałszywą stronę ING Banku Śląskiego. - Wiadomości phishingowe pod tytułem „Autoryzacja konta ING”, „Blokada rachunku ING” lub „Nowa wiadomość ING” przyszły na skrzynki e-mailowe - ostrzega Michał Kisiel, analityk Bankiera.pl - Przestępcy podszywający się pod ten bank informowali o zablokowaniu rachunku z powodu odnotowania nieautoryzowanego dostępu. Klient miał się zweryfikować przez zalogowanie. Link w treści wiadomości prowadził do podrobionego serwisu, przypominającego starą wersję systemu banku. Oszuści żądali podania loginu do e-bankowości i pełnego hasła oraz numeru PESEL. Po wpisaniu danych ofiara przekierowywana jest do oryginalnego serwisu bankowości internetowej ING.
- Był to atak phishingowy, w którym osoby podszywające się pod bank próbowały wyłudzić dane - potwierdza Ewa Szerszeń z biura prasowego ING Banku Śląskiego. - Bank nigdy nie przesyła wiadomości z linkiem kierującym do strony, na której należy wpisać login użytkownika oraz pełne hasło dostępu. W każdym przypadku, gdy klient otrzymuje taką wiadomość lub ma podejrzenia, że otrzymany e-mail jest próbą wyłudzenia danych, prosimy o pilny kontakt telefoniczny.
Komunikaty o podobnej treści wydały także mBank, BZ WBK i PKO BP, których klienci w ostatnich dniach również się znaleźli na celowniku cyberprzestępców.
Tak się nie logujmy
Phishing polega na podszywaniu się pod pewne osoby czy instytucje i wysyłaniu wiarygodnie wyglądającego e-maila z załączonym złośliwym oprogramowaniem lub linkiem do niego. Im większą liczbą informacji dysponuje atakujący, tym bardziej wiarygodna będzie jego przynęta.
- Bardzo wielu klientów nie zdaje sobie sprawy z zagrożeń, przez co bagatelizują najprostsze zasady bezpieczeństwa - twierdzi Łukasz Piechowiak, główny ekonomista Bankiera.pl. - Korzystają z niezabezpieczonych sieci Wi-Fi, nie aktualizują oprogramowania antywirusowego, zapisują swoje hasła w łatwo dostępnych miejscach, nie zabezpieczają telefonu kodem PIN, otwierają podejrzane e-maile i instalują oprogramowanie z niesprawdzonych źródeł. Logujmy się więc tylko ze sprawdzonych urządzeń. Publiczne sieci Wi-Fi są dobre do przeglądania portali informacyjnych, ale raczej nie korzystajmy z nich do logowania w banku. Na komputerach i telefonach powinniśmy mieć zainstalowane aktualne oprogramowanie antywirusowe. Pilnujmy telefonu tak jak portfela. W miarę regularnie powinniśmy zmieniać swoje hasła dostępu do bankowości. Ponadto raz na jakiś czas warto sprawdzić, czy zdefiniowane numery kont zgadzają się z odbiorcami. Ostatnia rada to przezorna asertywność: jeśli mamy wątpliwości co do bezpieczeństwa, to powstrzymujemy się od transakcji w serwisie internetowym banku i kontaktujemy się z bankiem w celu wyjaśnienia sprawy.
Maciej Krzysztoszek z Komisji Nadzoru Bankowego podpowiada, że jeśli bank nie uwzględni reklamacji okradzionego klienta, można złożyć skargę do KNF. Jeśli uzna ją za zasadną, zwróci się do banku z żądaniem wyjaśnień.