Jedna wiadomość SMS może sprawić, iż rano obudzisz się bez grosza na koncie. Oszuści masowo podszywają się pod największe banki w Polsce, a ich metody stają się coraz bardziej wyrafinowane. Eksperci alarmują: skala problemu osiągnęła rekordowe rozmiary.
Fot. Shutterstock / Warszawa w Pigułce
Telefon wibruje, na ekranie pojawia się wiadomość od banku. „Twoje konto zostanie zablokowane za 24 godziny. Kliknij w link, aby uniknąć problemów.” Brzmi znajomo? To klasyczny przykład oszustwa, które w 2024 roku dotknęło dziesiątki tysięcy Polaków. Tylko w roku 2024 r. – jak podaje CERT Polska (będący działającym w strukturach NASK – Państwowego Instytutu Badawczego – Zespołem Reagowania na Incydenty Bezpieczeństwa Komputerowego) odnotowano ich aż 40 120 przypadków.
Cyberprzestępcy nie próżnują. W pierwszych sześciu miesiącach 2024 roku w Polsce odnotowano oszustwa związane z kartami płatniczymi i przelewami na łączną kwotę przekraczającą 381 milionów złotych. Kwota robi wrażenie, ale prawdziwa skala może być jeszcze większa – wiele osób nie zgłasza oszustw z powodu wstydu lub nieświadomości.
Nowa fala ataków. Banki na celowniku
Oszuści nie wybierają przypadkiem swoich celów. CyberTarcza zablokowała 305 tys. domen phishingowych i ochroniła 4,85 mln osób przed utratą wrażliwych danych i pieniędzy. To pokazuje, jak masowe są te działania. Przestępcy celują w klientów największych instytucji finansowych: Alior Banku, BNP Paribas, Santandera, czy Banku Pekao.
Mechanizm działania jest prosty, ale skuteczny. Fałszywe SMS-y informują o rzekomym wygasaniu dostępu do aplikacji bankowej lub konieczności pilnej „weryfikacji” konta. Użytkownicy, którzy klikną w podany link, trafiają na stronę wizualnie identyczną z oficjalną witryną banku. Tam wprowadzają swoje dane logowania, nieświadomie przekazując je wprost przestępcom.
CERT Orange Polska dokumentuje najnowsze przykłady fałszywych wiadomości. W jednej z nich oszuści piszą: „ALIOR BANK: Twoje Alior-Mobile kontó wygaśa dnia 17\09\2024, ukończ weryfikację aby uniknąć źáblokowania konta.” Inny przykład dotyczy Santandera: „Twoje Santánder-Mobile kontó wygasa dnía 16\09\2024, Ukóncz weryfíkacje aby uníknac zàblokowaníá konta.”
Literówki nie są przypadkowe. Cyberprzestępcy celowo wprowadzają błędy i nietypowe znaki diakrytyczne, aby ominąć automatyczne filtry antyspamowe operatorów telekomunkacyjnych. To sprawia, iż więcej fałszywych wiadomości dociera do odbiorców.
Dlaczego ludzie dają się oszukać?
Aż 42% badanych deklaruje, iż spotkało się kiedyś z próbą przestępstwa finansowego, a u 7% była to próba udana. Te dane z badania SW Research dla Banku Pocztowego pokazują, jak powszechny jest problem. Oszuści doskonale znają ludzką psychologię i wykorzystują podstawowe mechanizmy behawioralne.
Presja czasu to najważniejszy element ataku. Wiadomości zawierają informacje o tym, iż „konto zostanie zablokowane za kilka godzin” lub „dostęp wygaśnie dziś o północy”. Odbiorca ma działać szybko, bez zastanowienia. To klasyczna manipulacja, która skutkuje choćby u osób świadomych zagrożeń.
Drugi element to autorytet. Wiadomość rzekomo pochodzi od banku – instytucji, której ufamy. Fałszywe strony internetowe są wykonane z niemalże chirurgiczną precyzją. Kopiują nie tylko wygląd oficjalnych serwisów, ale również logotypy, kolory i układ elementów.
Trzeci czynnik to strach. Nikt nie chce zostać bez dostępu do swojego konta. Wizja zablokowanych pieniędzy, zwłaszcza tuż przed weekendem lub świętem, paraliżuje racjonalne myślenie. Oszuści to wykorzystują, oferując pozornie prostą „weryfikację”, która ma rozwiązać problem.
Ewolucja przestępczości. Sztuczna inteligencja w służbie oszustów
Metody cyberprzestępców ewoluują w tempie błyskawicznym. W 2024 wśród metod phishingowych dominowały fałszywe inwestycje – stanowiły aż 60% wszystkich oszustw, dwukrotnie więcej niż rok wcześniej. To pokazuje, jak gwałtownie przestępcy dostosowują się do nowych trendów i możliwości.
Coraz częściej wykorzystują sztuczną inteligencję do tworzenia bardziej przekonujących treści. Automatyczne systemy generują tysiące domen na godzinę, a algorytmy dostosowują treść wiadomości do profilu potencjalnej ofiary. Ataki są coraz bardziej zestandaryzowane – około 90% powstaje na bazie jednego szablonu, domeny są produkowane automatycznie, na masową skalę.
Przestępcy nie działają chaotycznie. Następnie jednak indywidualnie wybierane są ofiary – dokładnie rozpoznawane przez przestępców pod kątem potencjału finansowego i prawdopodobieństwa podatności na oszustwo. Wykorzystują dane z mediów społecznościowych, publicznie dostępne informacje i profilowanie behawioralne.
Banki kontra oszuści. Wyścig zbrojeń
Instytucje finansowe nie pozostają bierne. Wdrażają zaawansowane systemy zabezpieczeń, analizę behawioralną i mechanizmy wczesnego ostrzegania. Niektóre banki, jak PKO BP, analizują sposób pisania na klawiaturze i ruchy kursora, aby wykryć nieautoryzowane logowania.
BNP Paribas wprowadził system weryfikacji tożsamości konsultantów przez aplikację mobilną. W trakcie rozmowy poproś pracownika o potwierdzenie jego tożsamości. Otrzymasz powiadomienie PUSH w aplikacji GOmobile. W treści powiadomienia wyślemy dane pracownika. To znacznie utrudnia oszustom podszywanie się pod pracowników banku.
Podwójna autoryzacja stała się standardem. Każda transakcja wymaga potwierdzenia kodem SMS lub przez aplikację mobilną. Banki monitorują nietypowe wzorce transakcji i automatycznie blokują podejrzane operacje. Wprowadzają też opóźnienia w realizacji niektórych przelewów, dając klientom czas na reakcję.
Mimo wszystko przestępcy znajdją nowe sposoby. Wykorzystują inżynierię społeczną, by przekonać ofiary do samodzielnego wyłączenia zabezpieczeń lub podania kodów autoryzacyjnych przez telefon. Dlatego technologia to tylko część rozwiązania – równie ważna jest świadomość użytkowników.
Jak rozpoznać oszustwo?
Fałszywe wiadomości od banków mają charakterystyczne cechy, które pozwalają je zidentyfikować. Przede wszystkim błędy językowe – banki zatrudniają profesjonalnych copywriterów i każdy komunikat przechodzi wieloetapową weryfikację. Literówki typu „wygaśa dnía” czy „uníknac zàblokowaníá” to czerwona lampka.
Drugi sygnał to nietypowe znaki diakrytyczne. Oszuści używają znaków z innych alfabetów, które wizualnie przypominają polskie litery. „Santánder” zamiast „Santander” to klasyczny przykład. Trzeci element to podejrzane adresy internetowe. Oficjalne domeny banków to zawsze nazwy typu „pkobp.pl” lub „ing.pl”. Adresy z przypadkowymi cyframi jak „alior.016945.com” to gwarancja oszustwa.
Presja czasu to kolejny sygnał alarmowy. Banki nigdy nie grożą natychmiastową blokadą konta bez wcześniejszego powiadomienia listownego. jeżeli wiadomość sugeruje, iż masz „tylko kilka godzin” na reakcję, to najprawdopodobniej oszustwo.
Prawdziwe banki nie wysyłają linków do logowania w wiadomościach SMS. Każdy bank ma oficjalną aplikację mobilną i stronę internetową. Klienci powinni korzystać wyłącznie z tych kanałów, wpisując adres manualnie lub używając oficjalnej aplikacji.
Co robić gdy podejrzewasz oszustwo?
Jeśli otrzymasz podejrzaną wiadomość, najważniejsze to zachować spokój i nie działać pod presją czasu. Po pierwsze, nie klikaj w żaden link. Po drugie, skontaktuj się z bankiem przez oficjalną infolinię, numer z karty bankowej lub aplikację mobilną. Pracownicy banku gwałtownie zweryfikują, czy wiadomość jest autentyczna.
Podejrzany SMS można przesłać na numer 508 700 900 – to oficjalny kanał zgłaszania zagrożeń do CERT Orange Polska. Organizacja analizuje zgłoszenia i podejmuje działania mające na celu blokowanie szkodliwych domen.
Jeśli podejrzewasz, iż już padłeś ofiarą oszustwa, działaj natychmiast. Zadzwoń do banku i zablokuj konto. Zmień wszystkie hasła do bankowości internetowej i innych ważnych serwisów. Zgłoś sprawę na policji – każde zgłoszenie pomaga w tropowaniu przestępców i ostrzeganiu innych potencjalnych ofiar.
Regularnie sprawdzaj wyciągi z konta i historię transakcji. Szybka reakcja może ograniczyć straty i zwiększyć szanse na odzyskanie pieniędzy. Pamiętaj także o zastrzeżeniu karty w BIK, jeżeli podejrzewasz, iż twoje dane mogły wpaść w niepowołane ręce.
Przyszłość cyberprzestępczości
W 2024 roku udaremniono 130,1 tys. prób wyłudzeń na sumę 6,1 mld zł. To pokazuje skalę problemu, ale też skuteczność zabezpieczeń. Przestępcy jednak nie zwalniają tempa. Wykorzystują najnowsze technologie, w tym deepfake’i i zaawansowane systemy sztucznej inteligencji.
Eksperci przewidują, iż kolejną falą będą fałszywe rozmowy telefoniczne generowane przez AI, które będą niemal nie do odróżnienia od prawdziwych konsultantów bankowych. Przestępcy mogą też wykorzystywać biometrię głosową, imitując głosy znajomych osób czy pracowników banku.
Obrona przed oszustwami to nie tylko zadanie banków i służb. Każdy użytkownik musi rozwijać świadomość cyberbezpieczeństwa. Regularne szkolenia, aktualna wiedza o nowych metodach oszustów i zdrowa podejrzliwość wobec niespodziewanych wiadomości to podstawa bezpieczeństwa.
Oszuści liczą na ludzkie słabości: chciwość, strach, pośpiech i naiwność. Rozpoznając te mechanizmy i świadomie im się przeciwstawiając, możemy skutecznie chronić swoje pieniądze. Pamiętaj: w przypadku wątpliwości lepiej jeden raz za dużo zadzwonić do banku niż stracić wszystkie oszczędności życia.
