Trwa kolejny atak phishingowy skierowany do klientów PKO Banku Polskiego. Pod pretekstem blokady konta oszuści próbują wyłudzić dane kart płatniczych. Przygotowali fałszywą stronę, która wygląda tak, jak nowy system transakcyjny iPKO.
„Dostęp do Twojego konta iPKO został zablokowany! W trosce o bezpieczeństwo naszych klientów zablokowaliśmy konto w systemie iPKO, powodem jest nieautoryzowany dostęp do konta. W celu odzyskania dostępu prosimy o weryfikację właściciela rachunku, logując się na: www.ipko.pl” – wiadomości o takiej treści trafiły dziś na losowo wybrane skrzynki e-mail. Ich nadawcą nie jest PKO Bank Polski – to próba wyłudzenia danych od klientów banku.
Po kliknięciu na wskazany w wiadomości link jesteśmy przenoszeni na stronę do złudzenia przypominającą nową stronę logowania do iPKO. Co więcej, nawet domena, na którą trafiamy przypomina adres banku: http://kontoipko.com/. Jeśli wprowadzimy dane identyfikacyjne – login i hasło zostaniemy przeniesieni na kolejną stronę. Tam fałszywy system poprosi nas o wpisanie numeru karty płatniczej, daty ważności i kodu CVC. Jeśli wpiszemy tam informacje, wszystkie dane wpadną w ręce złodziei.
Atak został przygotowany starannie. Wiadomość e-mail napisana jest poprawną polszczyzną (choć oczywiście nie zgadza się adres nadawcy). Nawet fałszywy link zamieszczony w mailu kieruje do fałszywej strony przypominającej obecnie obowiązującą stronę logowania. Bank zmienił ją na nową wersję zaledwie kilka tygodni temu. Co ciekawe, strona najprawdopodobniej od razu weryfikuje czy wprowadzony numer karty jest poprawny. Dopóki wpisywaliśmy zmyślony, wyświetlał się komunikat informujący o błędnym numerze karty.
Jest to klasyczny atak phishingowy, czyli próba wyłudzenia danych za pomocą fałszywych maili i podrobionej strony banku. Co ciekawe, w odróżnieniu od wcześniejszych ataków tym razem złodzieje nie proszą już o podanie kodów z karty zdrapki. Najprawdopodobniej ta metoda stała się już nieskuteczna. Tym razem atakują karty płatnicze, których dane mogłyby posłużyć do przeprowadzenia transakcji internetowych.
W tym kontekście warto przypomnieć, że bank oferuje dodatkowe zabezpieczenie dla płatności kartą w sieci – usługę 3D Secure. Po jej aktywacji podczas każdej płatności internetowej należy obok danych z karty wpisać także jednorazowy kod przesłany przez bank w smsie.
PKO Bank Polski przypomina:
Tego rodzaju fałszywe strony są zawsze na wniosek Banku blokowane. Reagujemy natychmiast na każdy sygnał o wysyłce fałszywych maili i każdy przypadek jest przez nas zgłaszany do organów ścigania oraz do międzynarodowych zespołów CERT, które zajmują się zwalczaniem przypadków naruszeń bezpieczeństwa komputerowego, jak również przeciwdziałaniem tego typu oszustwom w przyszłości.
Bank nigdy nie prosi o podawanie jakichkolwiek danych drogą e-mailową lub SMS-ową. Prosimy o zachowanie ostrożności i ograniczonego zaufania w stosunku do e-maili lub SMS-ów, w których znajduje się prośba o podanie poufnych danych lub skorzystanie z linku. Ostrzegamy, że są to fałszywe wiadomości mające na celu nie tylko wyłudzenie od odbiorcy danych osobowych lub danych karty, ale także zainstalowanie na jego komputerze lub w telefonie potencjalnie szkodliwych programów podglądających i śledzących jego działania.
Ważne, aby pod żadnym pozorem nie odpowiadać na podejrzane wiadomości, nie korzystać z podanego linku i nie udostępniać danych osobowych, loginu i haseł do konta, kodów jednorazowych, danych dotyczących karty płatniczej – PIN-u, kodu CVV, osobowych, ani żadnych innych poufnych informacji. Nie powinno się ich udostępniać osobom trzecim – nawet bliskim.
Logując się do serwisu transakcyjnego, należy zawsze upewnić się, czy połączenie jest szyfrowane, sprawdzając, czy adres strony w oknie przeglądarki rozpoczyna się od https:// oraz czy na pasku u dołu lub u góry ekranu (w zależności od wykorzystywanej przeglądarki) pojawia się ikona z zamkniętą kłódką – jej obecność potwierdza, że strona jest zabezpieczona certyfikatem bezpieczeństwa, a połączenie jest szyfrowane. Po kliknięciu na kłódkę należy sprawdzić poprawność oraz aktualność certyfikatu. Należy zwrócić uwagę, że tylko połączenie poprawnego adresu oraz poprawnej treści certyfikatu może gwarantować, że strona jest legalna i nie jesteśmy celem ataku phishingowego.