Maile były wysyłane przez oszustów na przypadkowe adresy poczty elektronicznej. Korespondencja trafia zarówno na adresy mailowe klientów BZWBK, jak również osób zupełnie z Bankiem Zachodnim WBK nie związanych. Pod pozorem aktywacji konta BZWBK24, odbiorcy maili proszeni byli o podawanie numerów posiadanych kart płatniczych oraz ich numerów PIN i CVV/CVV2. Strona służąca do wprowadzania tych danych ma przypominać strony internetowe BZWBK, a oszuści bezprawnie stosują podobną kolorystykę i znaki graficzne banku.
Policja, na prośbę BZWBK, zablokowała już serwery w Brazylii i Kolumbii, z których były rozsyłane fałszywe maile. Obecnie bank prowadzi bardzo skrupulatny monitoring, który ma ujawnić ewentualne kolejne działania przestępców. Od początku specjaliści BZWBK ściśle współpracują z Komendą Główną Policji.
Trudno oszacować straty związane z akcją rozsyłania fałszywych maili, jednak – jak wskazują dane posiadane przez bank – są one nieduże. Obecnie bank posiada informacje o 27 tego rodzaju przypadkach. Łączna suma wyłudzeń wynosi ok. 7 tys. złotych.
Reklamacje klientów, którzy przekazali dane swoich kart będą rozpatrywane indywidualnie z uwzględnieniem wyjątkowych okoliczności, w jakich doszło do przekazania danych niepowołanym osobom. Dodatkowo, w najbliższych dniach, specjaliści banku skontaktują się ze wszystkimi osobami, które poinformowały bank o przekazaniu danych na fałszywą stronę internetową i przeprowadzą ankietę na temat okoliczności towarzyszących przekazaniu danych. Poza tym, klientom zostaną bezpłatnie wydane nowe, bezpieczne karty Banku Zachodniego WBK.
Bank przypomina, że jedną z podstawowych zasad bezpieczeństwa jest nie przekazywanie drogą mailową żadnych informacji dotyczących numerów kart, NIK i PIN.
Wstępne szacunki mówią o kilkudziesięciu tysiącach fałszywych maili wysłanych do polskich internautów. Biorąc pod uwagę niewielką ilość wyłudzeń, jakich dokonano tą drogą, zdecydowana większość z nich doskonale wie w jaki sposób bezpiecznie posługiwać się kartami.
BZWBK przypomina, że w przypadku wprowadzenia danych na fałszywej stronie należy niezwłocznie zastrzec kartę, której dane zostały podane.