W świąteczny poniedziałek 24 marca na skrzynki mailowe tysięcy internautów z Polski trafiły fałszywe wiadomości z linkiem do formularza, na którym, pod pozorem aktywacji konta, proszono o podanie numerów kart płatniczych, dat ich ważności i numerów PIN, czyli danych, o podanie których bank nigdy klientów nie prosi. Wiadomości były wysyłane przez kilka następnych dni. Był to klasyczny przypadek phishingu, czyli przestępstwa internetowego polegającego na wyłudzaniu danych, dzięki którymi można uzyskać dostęp do pieniędzy innych osób.
Bank Zachodni WBK niezwłocznie powiadomił o tym fakcie policję i wspólnie z nią rozpoczął akcję blokowania serwerów służących oszustom do ściągania danych. Łącznie w ramach akcji zablokowano około 20 serwerów, których większość zlokalizowana była zagranicą, nawet w tak odległych krajach, jak Brazylia i Kolumbia, czy w takich miejscach jak Falklandy. Serwery w tych państwach zablokowano jako pierwsze. Oszuści włamywali się na nie w godzinach nocnych czasu lokalnego, próbując tym samym utrudnić polskim specjalistom nawiązanie kontaktu z ich administratorami. Jak pokazują efekty kilkudniowej akcji – prawie bezskutecznie. Mimo wysłania łącznie kilkudziesięciu tysięcy maili, których adresatami byli nie tylko klienci BZWBK, udało im się uzyskać dane zaledwie 180 kart. Tyle bowiem osób wypełniło fałszywe formularze. „Zyski” oszustów są jeszcze bardziej mizerne – dane tylko 20 kart posłużyły im do wypłacenia pieniędzy. Łączne straty posiadaczy kart BZWBK wyniosły około 14,5 tys. złotych. We wszystkich pozostałych przypadkach bank w porę dokonał blokad. Co ciekawe, skradzione dane zostały wykorzystane do przeprowadzania transakcji w Rumunii, Bułgarii i USA.
Zarząd Banku Zachodniego WBK podjął decyzję o wyrównaniu strat wszystkim osobom, które przekazały dane i poniosły z tego powodu straty finansowe. To wyjątkowa decyzja, gdyż w tej sytuacji bank nie ma obowiązku zwracania poszkodowanym pieniędzy. Zgodnie z zapisami ustawy o elektronicznych instrumentach płatniczych nie wolno bowiem przekazywać osobom postronnym tak wrażliwych danych, jak numery PIN. BZWBK wziął jednak pod uwagę wyjątkowe okoliczności, w jakich wyłudzono dane oraz trudną sytuację, w jakiej znaleźli się niektórzy z poszkodowanych. W siedmiu przypadkach oszuści wypłacili bowiem przy pomocy danych niemal wszystkie środki znajdujące się na kontach, do których wydano karty.
Wszystkie osoby, które przekazały dane oszustom otrzymają od BZWBK bezpłatnie nowe karty. Dodatkowo bank wyśle im specjalne powiadomienie o zasadach bezpieczeństwa przy korzystaniu z internetu. Podobne komunikaty już od kilku lat umieszczane są na witrynie banku, stronach bankowości elektronicznej oraz w korespondencji wysyłanej do klientów.
Od samego początku w banku działał Zespół Zarządzania Incydentami, w skład którego wchodzą specjaliści działów odpowiedzialnych za bezpieczeństwo informatyczne, zapobiegania wyłudzeniom, kontakty z klientami i mediami. Część danych kart, z których nie udało się skorzystać przestępcom zablokowano jeszcze przed ich zastrzeżeniem przez właścicieli. Było to możliwe dzięki funkcjonującemu w BZWBK systemowi zapobiegania wyłudzeniom.
W szybkim powstrzymaniu phishingu pomogli przede wszystkim polscy internauci, którzy przysłali do banku około 3 tys. wiadomości o fałszywych mailach. Dzięki nim można było na bieżąco identyfikować kolejne serwery, którymi posługiwali się oszuści. Bardzo istotne było również zaangażowanie mediów, które szybko przekazały informacje, jak powinno postępować się w przypadku otrzymania fałszywych wiadomości. Podstawowa to nieprzekazywanie drogą mailową żadnych wrażliwych danych, jak numer karty, czy PIN oraz niezwłocznie powiadomienie banku.