„Twoje konto zostało zablokowane przez brak zgody na…”
Szum dookoła wprowadzenia nowego prawa to zawsze doskonała okazja dla hakerów i złodziei, aby wykorzystując ludzką niewiedzę i nieuwagę, rozesłać groźnego wirusa, nakłonić ofiarę do wykonania im przelewu czy nawet wykraść jej wszystkie pieniądze z konta bankowego. Dlatego w ciągu najbliższych tygodni wszyscy Polacy powinni być wyczuleni na następujące komunikaty:
- odblokuj swoje konto – jednym z popularniejszych sposobów na wyłudzenie pieniędzy jest przekonanie odbiorcy, że jego konto (w tym wypadku bankowe) zostało zablokowane przez brak zgody (na PSD2) i musi się na nie zalogować celem jego ponownej aktywacji. Zazwyczaj taki atak prowadzony jest przy użyciu e-maila z linkiem wiodącym na odpowiednio spreparowaną stronę banku. Po podaniu na niej swoich danych, hakerzy zyskują pełen dostęp do wspomnianego konta i mogą „wyczyścić” je ze wszystkich środków. Dlatego należy pamiętać, że bank nigdy nie dokonuje w ten sposób weryfikacji i jakiegokolwiek “odblokowania”.
- wykonaj przelew weryfikacyjny – sytuacja analogiczna do poprzedniej. W tym wypadku konto „zostanie odblokowane” jeżeli wykona się przelew na określoną kwotę i na podany w wiadomości adres. Pamiętajmy więc, że nasz bank nigdy o coś takiego nie prosi. Wykonanie takiego przelewu nie tylko pozbawi nas środków, które przelaliśmy, ale też narazi nas na to, że w naszym imieniu zostanie wzięty kredyt – niektóre instytucje finansowe (np. udzielające pożyczki „chwilówki”) stosują bowiem taki właśnie sposób autoryzacji kredytobiorcy.
- podaj numer karty płatniczej – PSD2 określa nowe zasady korzystania z kart płatniczych, dlatego wiadomości, w których oszuści proszą nas o podanie numeru CVC/CCV (trzy ostatnie cyfry z tyłu karty) mogą nie wzbudzić u niektórych osób podejrzeń. To właśnie ten numer uwierzytelnia kartę w transakcjach internetowych, dlatego jego podanie pozwoli złodziejom na wyprowadzenie w ten sposób dużych sum z naszego konta. Podobnie jak w przypadku przelewu weryfikującego konto, bank nigdy nie zapyta nas o CCV/CVC.
- pobierz nową wersję aplikacji bankowej – wielu Polaków korzysta dziś z bankowości elektronicznej w telefonach przy wykorzystaniu specjalnych aplikacji. Złodzieje wiedząc to, często przygotowują podobnie wyglądające programy i przekonują swoje ofiary, że należy je zainstalować. Po zalogowaniu się do fałszywej aplikacji nasz login oraz hasło wędrują wprost do cyberprzestępców. Ponadto, takie programy mogą zawierać w sobie szereg ukrytych wirusów, które wyrządzają dodatkowe szkody np. poprzez kradzież informacji przechowywanych na urządzeniu. Fałszywą wiadomość rozpoznamy po tym, że każdy z banków rekomenduje pobranie aplikacji tylko z wiarygodnego źródła.
Tego typu ataki przeprowadzane są najczęściej drogą elektroniczną, za pomocą maili i SMS’ów, dlatego to właśnie na te kanały komunikacji trzeba najmocniej uważać.
Co robić, jeżeli staniesz się ofiarą ataku?
W przypadku, kiedy otrzymamy wiadomość o tym, że nasze konto zostało zablokowane przez PSD2, czy też, że potrzebujemy nowej aplikacji najlepiej jest… potwierdzić ją u źródła. Jeżeli chcemy się przekonać, że dana wiadomość na pewno nie pochodzi z naszego banku, możemy zadzwonić na jego infolinię. Pamiętajmy jednak, by numer wziąć z zaufanego źródła, a nie z maila czy SMS’a, który właśnie otrzymaliśmy.
Co jednak, jeżeli przez nieuwagę kliknęliśmy w przesłany link bądź podaliśmy swoje dane?
W przypadku zorientowania się, że zostaliśmy oszukani, liczy się zachowanie spokoju i szybka reakcja. Przede wszystkim sprawdźmy, czy wciąż mamy dostęp do swojego bankowości elektronicznej i natychmiast zmieńmy hasło.
Należy też niezwłocznie powiadomić bank o zaistniałej sytuacji – mogą oni zablokować naszą kartę i uniemożliwić w ten sposób kradzież środków.
Tak jak wiele innych cyberataków, także ten związany z PSD2 wykorzystuje mieszankę niewiedzy, pośpiechu i strachu użytkowników. Dlatego tak ważne jest, by nie tylko samemu pozostać czujnym, ale też poinformować o zagrożeniach osoby ze swojego najbliższego otoczenia.
Autor: Karolina Wrońska, ekspertka CyberRescue