Ostrzeżenia Bezpieczeństwa

Komunikat FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP z dnia 28 lutego 2022 r. w sprawie rozprzestrzeniania się treści dezinformujących dotyczących sytuacji sektora bankowego w Polsce

Dziś w okresie rosnących niepokojów w związku z sytuacją w Ukrainie należy zachować szczególną rozwagę przy analizie i interpretacji „komunikatów prasowych” a szczególnie newsów z portali społecznościowych, które bez weryfikacji przekazywane są między użytkownikami wywołując niepokój.

Klika dni temu obserwowaliśmy kolejki na stacjach benzynowych czy wzmożona wypłatę środków z bankomatów i w placówkach bankowych. Reakcja społeczeństwa w tych okolicznościach była podobna do obserwowanych reakcji ludności z początków pandemii COVID-19. Związek Banków Polskich ściśle współpracuje z Narodowym Bankiem Polskim, który informuje, że jest przygotowany do zasilania banków w związku z obsługą zwiększonych wypłat gotówki, której nie zabraknie. Podejmowane działania przez banki mają za zadanie sukcesywne uzupełnianie niedoborów. Co jest bardzo istotne, pieniądze w bankach są bezpieczne i klienci banków mogą realizować swoje bieżące zobowiązania finansowe z użyciem zdalnych kanałów dostępu do swoich pieniędzy.

Czas paniki to doskonała okazja dla oszustów. Personalizowane sms- czy wiadomości e-mail mogą być próbą oszustwa. W treści fałszywej wiadomości oszuści mogą Państwa prosić o wsparcie finansowe dla zaatakowanego kraju lub informować o mobilizacji i powołaniu do wojska. Klikniecie w zamieszczone tam linki może wywołać działania, w wyniku których klient może nawet utracić swoje pieniądze.

Szanowni Państwo,

Działajmy jak dotychczas i z rezerwą podchodźmy do otrzymywanych informacji, nawet jeśli ich nadawcami są członkowie naszych rodzin, przyjaciele lub znajomi. To uchroni nas przed realizacją planu nakreślonego przez osoby manipulujące sytuacją.

Możemy się chronić:

Nie ulegajmy panice, na spokojnie i ze zrozumieniem czytajmy treść, weryfikujmy ja w kilku niezależnych źródłach;
Nie przekazujmy dalej treści wątpliwych, to może wywołać efekt kuli śniegowej, którą ciężko jest zatrzymać i ograniczyć skutki jej działania;
Nie starajmy się być ekspertami we wszystkich dziedzinach, mało kto z nas zna strategie wojskowe czy potrafi celnie dokonać analizy rynku;
Chrońmy naszą młodzież i dzieci przed informacjami niesprawdzonymi/ niepotwierdzonymi;
Czytajmy z uwagą wszystkie personalizowane do nas wiadomości sms i mailowe. Nie klikajmy w zamieszczone tam linki;
Nie dajmy się nabrać na telefony od rzekomych służb mundurowych, które będą „wymuszały” na nas przekazanie środków;
Mogą być próbą oszustwa, a klikniecie w linki może spowodować utratę wszystkich zgromadzonych na rachunkach pieniędzy. Czas paniki to doskonała okazja dla oszustów. Personalizowane sms’y, czy wiadomości e-mail mogą być próbą oszustwa.

W przypadku podejrzenia próby popełnienia przestępstwa lub gdy przestępstwo to zostało popełnione należy niezwłocznie poinformować o tym fakcie swój bank oraz złożyć stosowne zawiadomienie na Policję lub do Prokuratury. Szybkość złożenia takiego zawiadomienia może zwiększyć szansę uratowania utraconych środków, które fizycznie mogły jeszcze nie zostać wypłacone przez oszustów przede wszystkim jednak należy zachować spokój i wnikliwie analizować docierające do nas treści.

Ostrzegamy przed próbami wyłudzenia danych przez oszustów podszywających się pod numer Biuro Informacji Kredytowej S.A

Od dnia 14 maja 2021 r. prowadzona jest przez przestępców kampania spoofing'owa, w której sprawcy podszywają się pod Biuro Informacji Kredytowej S.A i wykorzystując do tego celu rozwiązania umożliwiające wyświetlenie numeru telefonu Call Center BIK - (22) 348-44-44.

Z informacji uzyskanych z Biura Informacji Kredytowej S.A. wynika, że przestępcy wykonują połączenia telefoniczne do różnych osób, zarówno klientów BIK, jak i osób niekorzystających z usług Biura. Dzwoniący przedstawiają się jako pracownicy BIK, i prowadzą rozmowę wypytując o dane osobowe. Rozmówcy mówią ze wschodnim akcentem. Na telefonie rozmówcy wyświetla się ww. numer telefonu Call Center BIK.

Oszuści wykorzystują zaawansowaną socjotechnikę, a ich działania mają na celu zebranie jak największej ilości informacji o danej osobie, np. gdzie posiada rachunek bankowy, jakie ma zobowiązania finansowe. Oszuści mogą nakłaniać do podania danych np. do logowania bankowości elektronicznej lub zainstalowania oprogramowania na komputerze lub telefonie.

Ostrzegamy przed próbami wyłudzenia danych przez oszustów podszywających się pod numer Infolinii Banku.

Dlaczego gdy dzwonią oszuści, widać numer naszej infolinii?

Oszuści wykorzystują słabe strony sieci GSM, które pozwalają im podszywać się pod dowolny numer telefonu - w tym infolinię banku (tzw. Spoofing telefoniczny). Nie jest to związane z jakimkolwiek przełamaniem naszych systemów bezpieczeństwa.

Schemat działania przestępców:

przestępcy dzwonią do klienta z numeru infolinii Banku BPH SA lub innych banków;
osoba dzwoniąca posiada wschodni akcent i przedstawia się jako pracownik Banku;
prawdopodobnie oszust będzie znał imię i nazwisko klienta, a może nawet jego adres, który znajdzie w Internecie;
rozmowa będzie dotyczyła np. zablokowania przelewu wykonanego przez Klienta, aby pod pretekstem usprawnienia komunikacji z bankiem lub usunięcia wirusa, przekonać klienta do zainstalowania aplikacji, która przejmie kontrolę nad urządzeniem klienta;
osoba dzwoniąca może także próbować wyłudzić dane do logowania do bankowości internetowej lub dane odnośnie karty płatniczej także z innego banku;
podanie danych wrażliwych lub zainstalowanie ww. aplikacji może prowadzić do utraty środków z rachunku.

Zasady bezpieczeństwa dla klienta:

Infolinia Banku obsługuje klientów Banku BPH SA tylko w zakresie obsługi kredytów hipotecznych.
Pracownicy odpowiedzialni za bezpieczeństwo w Banku nigdy nie kontaktują się bezpośrednio z klientami.
Nigdy nie podawaj przez telefon pełnego loginu do bankowości internetowej lub pełnego numeru karty.
Nigdy nie podawaj przez telefon hasła do bankowości internetowe lub trzy cyfrowego kodu z karty CVV;
Nigdy nie instaluj dodatkowego oprogramowania by poprawić dostępność usług bankowych.
Poproś rozmówcę o podanie imienia i nazwiska, jeżeli ich sam nie podał. Pracownicy Infolinii Banku BPH SA przedstawiają się już na początku rozmowy.
Zachowaj ostrożność, jeżeli rozmówca wywiera na Tobie presję czasu. W pośpiechu dużo łatwiej podjąć nieprzemyślane decyzje.
Jeśli masz jakiekolwiek wątpliwości podczas rozmowy z osobą podającą się za konsultanta, rozłącz się i skontaktuj się bezpośrednio z Infolinią banku.

Spoofing telefoniczny, czyli podszywanie się pod dowolny numer lub nazwę oznacza, że mimo wyświetlanej w telefonie nazwy (np. mama, Tomek itp.) czy numeru telefonu (np. numeru infolinii banku czy innej instytucji), tak naprawdę dzwoni lub pisze wiadomości zupełnie inna osoba.

Voice phishing zwany krócej vishing, to, podobnie jak phishing, metoda kradzieży danych poufnych. Jak sama nazwa wskazuje do ataku będzie wykorzystywany głos. Chodzi tutaj o rozmowy telefoniczne. Najczęstszymi ofiarami vishingu są klienci banków. Przestępcy podają się za pracowników tych instytucji i próbują namówić ofiarę do podania swoich danych. Zazwyczaj są to dane niezbędne do poprawnego zalogowania się na konto bankowe. Czasami osoby dzwoniące proszą o zainstalowanie specjalnego oprogramowania. Głównym powodem rozmowy telefonicznej są względy bezpieczeństwa danej osoby. Zazwyczaj atakujący wspomina o włamaniu na konto bankowe czy o podejrzanej aktywności na koncie.

Archiwalne ostrzeżenia

Ostrzegamy przed ogłoszeniami związanymi za szczepionkę przeciwko koronawirusowi COVID-19np. potrzebą zapłat

Ostrzegamy Państwa przed fałszywymi informacjami dotyczącymi epidemii koronawirusa (COVID-19) nakłaniającymi Klientów banków do dokonywania transakcji finansowych. Niniejsze ostrzeżenie jest adresowane do klientów wszystkich polskich banków.

Proszę pamiętać, że w tym szczególnym okresie najskuteczniejszą metodą kontaktu z bankiem może okazać się przesłanie wiadomości e-mail. Ze względu na obostrzenia epidiomologiczne, które dotyczą także banków i ich pracowników czas połączenia telefonicznego z konsultantem może się wydłużyć. Dziękujemy za zrozumienie sytuacji. Państwa zgłoszenia mailowe będą przeanalizowane i podjęte zostaną stosowne działania.

Ostrzegamy przed wyłudzaniami poufnych informacji w związku ze zmianami funkcjonowania bankowości elektronicznej

W dniu 6 września 2019 r. Urząd Komisji Nadzoru Finansowego wydał ostrzeżenie dotyczące wyłudzania poufnych informacji w związku ze zmianami funkcjonowania bankowości elektronicznej wprowadzanymi przez banki na podstawie przepisów dyrektywy o usługach płatniczych (tj. PSD2). Przepisy te zostały wprowadzone do polskiego porządku prawnego poprzez nowelizację ustawy o usługach płatniczych. Informowaliśmy Państwa o tym ostrzeżeniu UKNF komunikatem FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP w dniu 13 września 2019 r.

W dniu 14 września 2019 r. weszły w m. in. w bankach nowe zasady w zakresie tzw. "silnego uwierzytelnienia klienta". To oznacza, że od tej daty zmianie uległy zasady płatności kartami oraz dostępu do innych instrumentów płatniczych (bankowości internetowej, bankowości mobilnej, bankowości telefonicznej). Celem wprowadzenia nowych zasad jest zwiększenie bezpieczeństwa posługiwania się wyżej wymienionymi instrumentami poprzez wdrożenie dodatkowych czynników uwierzytelnienia np. potwierdzenie tożsamości z użyciem bankowej aplikacji mobilnej, w celu uzyskania dostępu do rachunku w serwisie bankowości internetowej. Zgodnie z przewidywaniami UKNF banków i FinCERT.pl przestępcy bardzo szybko dostosowali swoje działania i przygotowali nowe ekrany udające strony internetowe banków zawierające okienka, w których klienci mają wpisać przesłany przez bank kod sms.

Tutaj znajdą Państwo rzykłady fałszywych stron internetowych przygotowanych przez przestępców.

Poniżej kilka zasad, które zwiększają bezpieczeństwo klientów w procesie logowania się do internetowego serwisu transakcyjnego banku oraz potwierdzania prawidłowości danych przy zleceniu płatności:

1. Przed podaniem swojego loginu i hasa do serwisu bankowości internetowej Twojego banku spójrz w pasek adresu i upewnij się, że jest tam adres strony Twojego banku!

2. Jeśli masz możliwości techniczne i Twój bank oferuje możliwość rezygnacji z kodów sms na rzecz zatwierdzania operacji logowania się do bankowości internetowej oraz zatwierdzania transakcji za pośrednictwem aplikacji mobilnej banku – skorzystaj z tej możliwości.

3. Zawsze przy potwierdzaniu operacji wykorzystując jakiekolwiek narzędzie autoryzacyjne (kod sms lub aplikację mobilną banku) czytaj treść wiadomości, porównuj ją z informacjami wyświetlanymi na ekranie – jeśli się różnią nie wpisuj podanego przez bank kodu sms lub nie potwierdzaj tej transakcji w aplikacji mobilnej banku i natychmiast skontaktuj się z bankiem.

Ostrzegamy przed fałszywymi stronami udającymi pośredników szybkich płatności.

Komunikat Prokuratury Krajowej Komendy Głównej Policji Urzędu Ochrony Konkurencji i Konsumentów Europejskie Centrum Konsumenckiego FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP z dnia 15 maja 2019 r.

Ostrzegamy przed fałszywymi stronami udającymi pośredników szybkich płatności. Na atak narażeni są użytkownicy bankowości internetowej i mobilnej robiący zakupy przez internet.

Przestępcy podszywają się pod serwisy oferujące szybkie przelewy (np. Dotpay, PayU, czy Przelewy24). Podstawione strony przestępców wyłudzają loginy i hasła do bankowości internetowej oraz kody autoryzacyjne zatwierdzające przelewy.

Przykłady fałszywych stron internetowych przygotowanych przez przestępców.
Źródło: zaufanatrzeciastrona.pl

Ofiary ataków, które nie zachowają ostrożności, mogą stracić swoje oszczędności. Problem jest poważny - tylko w marcu odnotowano ponad 100 różnych stron udających pośredników płatności, używanych przez przestępców. Nieświadomi konsumenci ujawniając swoją tożsamość przestępcom mogą doprowadzić do wykorzystania jej do zawarcia w ich imieniu umów i w konsekwencji np. zaciągnięcia zobowiązań finansowych.

Przestępcy używają różnych sposobów, by ściągnąć ofiary na fałszywe strony. Użytkownicy mogą być do nich kierowani przez linki w SMSach, komunikatorach internetowych lub poprzez fałszywe sklepy internetowe. Aby nie zostać ofiarą przestępców należy zwrócić uwagę na kilka ważnych elementów:

Uważaj na wszystkie wiadomości o konieczności zapłaty lub dopłaty drobnych kwot (np. 0,76 PLN) zawierające link do strony udającej pośrednika płatności. Przed wykonaniem przelewu skontaktuj się z firmą, która figuruje jako nadawca wiadomości (np. operator telekomunikacyjny, sklep czy serwis internetowy).

Przykład wiadomości SMS rozsyłanych przez przestępców.
Źródło: zaufanatrzeciastrona.pl

Jeśli strona prosi o login i hasło do bankowości internetowej, sprawdź w pasku przeglądarki, czy jej adres internetowy zgadza się z adresem strony Twojego banku. Jeśli adres jest inny niż zwykle, nie loguj się na tej stronie - nie podawaj tam swoich danych oraz powiadom o tym swój bank.
Zawsze czytaj uważnie treść każdego SMSa z kodem autoryzacyjnym od swojego banku. Jeśli twój bank to umożliwia zamień SMSy na autoryzację za pośrednictwem aplikacji mobilnej.