Phishing bankowy: Jak oszuści atakują klientów mBanku, PKO BP, ING i Santander

Polska ma jeden z najnowocześniejszych systemów bankowości cyfrowej w Europie. Ponad 80% dorosłych Polaków korzysta z bankowości internetowej, a aplikacje mobilne mBanku, PKO BP, ING i Santandera należą do najczęściej pobieranych w kraju. Oszuści doskonale o tym wiedzą i budują coraz bardziej wyrafinowane kampanie phishingowe wymierzone w klientów każdego dużego polskiego banku.

Oto jak te ataki działają i jak chronić swoje pieniądze.

Najczęstsze ataki phishingowe na polskie banki

1. Fałszywe strony logowania (Strony phishingowe)

Dostajesz SMS lub maila, który wygląda jak wiadomość z Twojego banku:

• „Twoje konto zostało zablokowane. Zaloguj się, aby odblokować"
• „Wykryto podejrzaną transakcję. Zweryfikuj"
• „Nowa aktualizacja systemu — wymagane logowanie"

Link prowadzi do strony będącej idealną kopią ekranu logowania Twojego banku. Gdy wpiszesz dane logowania i kody autoryzacyjne, oszust uzyskuje pełny dostęp do Twojego konta.

2. Phishing SMS-owy (Smishing)

Krótkie, pilne wiadomości SMS mające wywołać panikę:

• „PKO BP: Nieautoryzowana transakcja 2 499 PLN. Anuluj: [link]"
• „mBank: Twoja karta została zablokowana. Aktywuj: [link]"
• „ING: Zmiana limitu przelewów wymaga potwierdzenia: [link]"

3. Fałszywe aplikacje bankowe

Oszuści rozpowszechniają zmodyfikowane aplikacje bankowe nieoficjalnymi kanałami (pliki APK udostępniane przez SMS lub media społecznościowe). Wyglądają identycznie jak prawdziwe, ale wysyłają wszystkie wpisane dane logowania do atakującego.

4. Vishing (phishing głosowy)

Dzwoni ktoś podający się za pracownika banku. Zna Twoje imię, a czasem częściowe dane konta (z wycieków danych). Prosi o „weryfikację" transakcji przez podanie kodów autoryzacyjnych lub zainstalowanie „oprogramowania zabezpieczającego" na telefonie.

5. Fałszywa obsługa klienta banku

Googlujesz „mBank kontakt" lub „PKO BP pomoc" i dzwonisz pod numer ze sponsorowanej reklamy. To nie Twój bank — to oszust, który poprosi o dane logowania.

Wzorce phishingu w zależności od banku

Bank	Typowe oszustwo	Przykłady fałszywych domen
mBank	Powiadomienia o zawieszeniu konta	mbank-logowanie.pl, mbank24-verify.com
PKO BP (iPKO)	Ostrzeżenia o nieautoryzowanych transakcjach	ipko-bp.com, pko-weryfikacja.pl
ING	Powiadomienia o zablokowaniu karty	ing-online.com, ing-autoryzacja.pl
Santander PL	Logowanie wymagane z powodu aktualizacji systemu	santander-bank.com, santander-pl-login.com
Millennium	Powiadomienia o aktualizacji zabezpieczeń	bankmillennium-login.pl
BNP Paribas	Weryfikacja transakcji	bnpparibas-go.pl

Jak rozpoznać prawdziwą komunikację bankową

Prawdziwa komunikacja z banku

• Przychodzi przez oficjalną aplikację banku (powiadomienie push)
• Używa Twojego pełnego imienia i nazwiska i odnosi się do konkretnych danych konta
• Nigdy nie zawiera klikalnych linków w wiadomościach SMS
• Nigdy nie prosi o pełne hasło ani kody autoryzacyjne
• Numer kontaktowy odpowiada numerowi z tyłu Twojej karty bankowej

Fałszywa komunikacja

• Przychodzi przez SMS z linkiem lub niechciany email
• Wywołuje poczucie pilności i paniki („zablokowane", „nieautoryzowana", „natychmiast")
• Prosi o kliknięcie linku w celu logowania
• Żąda kodów autoryzacyjnych, numeru PESEL lub pełnych haseł
• Numer telefonu nie odpowiada oficjalnym kontaktom banku

10 zasad ochrony konta bankowego

1. Nigdy nie klikaj linków w SMS-ach lub mailach podających się za bank
2. Zawsze wchodź do banku przez oficjalną aplikację lub wpisując adres URL bezpośrednio
3. Weryfikuj adres URL — sprawdź dokładną domenę banku (mbank.pl, pkobp.pl, ing.pl)
4. Nigdy nikomu nie udostępniaj kodów autoryzacyjnych, również „pracownikom banku"
5. Ustaw powiadomienia o transakcjach w aplikacji bankowej
6. Ustaw niskie dzienne limity przelewów i zwiększaj tylko, gdy potrzebujesz
7. Używaj logowania biometrycznego (odcisk palca, twarz) zamiast wpisywania haseł
8. Pobieraj aplikacje bankowe wyłącznie z Google Play lub App Store
9. Jeśli dostaniesz podejrzany telefon, rozłącz się i zadzwoń do banku pod numer z karty
10. Zgłaszaj phishingowe SMS-y, przekazując je na 8080 (CERT Polska)

Co zrobić, jeśli wpisałeś dane na fałszywej stronie

1. Zadzwoń do banku natychmiast — użyj numeru z karty bankowej, nie z fałszywej wiadomości
2. Zablokuj konto i karty przez linię alarmową banku
3. Zmień hasło bankowe z innego, zaufanego urządzenia
4. Sprawdź ostatnie transakcje pod kątem nieautoryzowanych przelewów
5. Złóż zawiadomienie na policji w najbliższym komisariacie
6. Zgłoś do CERT Polska na incydent.cert.pl
7. Przeskanuj telefon pod kątem malware, jeśli cokolwiek zainstalowałeś

Bezpieczne udostępnianie danych bankowych

Gdy musisz udostępnić numer konta bankowego, IBAN lub inne dane finansowe komuś, komu ufasz — wynajmującemu, pracodawcy czy członkowi rodziny — nigdy nie wysyłaj ich przez SMS lub Messengera. Użyj LOCK.PUB, żeby utworzyć chronioną hasłem notatkę z automatycznym wygaśnięciem. Odbiorca wpisuje hasło, widzi informacje, a one znikają.

Podsumowanie

Polskie banki mają silne systemy bezpieczeństwa, ale nie mogą Cię chronić, jeśli sam przekażesz dane logowania oszustowi. Najważniejsza zasada: Twój bank nigdy nie wyśle Ci linku przez SMS do logowania lub weryfikacji transakcji. Jeśli otrzymasz taką wiadomość, jest to próba phishingu — gwarantowane.

Do bezpiecznego udostępniania informacji finansowych odwiedź LOCK.PUB i utwórz darmowe, szyfrowane linki z automatycznym wygaśnięciem. Chroń dane logowania do banku jak klucze do sejfu — bo dokładnie tym są.