W ciągu zaledwie kilku ostatnich dni klienci PKO Banku Polskiego stali się celem dwóch nowych, zmasowanych ataków cyberprzestępców. Obie metody znacząco się od siebie różnią, ale cel przestępców jest ten sam: przejąć dostęp do naszego konta, by wykraść pieniądze. Banki i ich klienci są na celowniku cyberprzestępców praktycznie non stop. W dzisiejszych czasach znacznie prościej jest wysłać tysiące fałszywych maili niż organizować tradycyjny napad. Na szczęście nie jesteśmy zupełnie bezbronni. Wystarczy odrobina czujności i przestrzeganie kilku prostych zasad, by nasze oszczędności były bezpieczne. Oszustwo na zablokowaną kartę. Atak phishingowy w PKO BP Pierwsze ostrzeżenie pojawiło się 4 listopada od samego CERT Polska. Eksperci ds. cyberbezpieczeństwa zaobserwowali kampanię mailową, w której oszuści podszywają się pod bank. I to bezwstydnie, bo nawet zamieszczają oryginalne logo. Wiadomość jest krótka i stresująca. "Szanowny Kliencie, Od dnia 03.11.2025 Twoja karta będzie działała wyłącznie po aktywowaniu nowego systemu zabezpieczeń" – brzmi początek jednego z maili. Oczywiście cała operacja ma na celu wyłudzenie danych. Przestępcy straszą, że na "aktualizację bezpieczeństwa" mamy tylko 1 dzień, inaczej karta rzekomo zostanie zablokowana i nie będzie można nią płacić ani wypłacać pieniędzy. W mailu znajduje się duży, niebieski przycisk "Aktywuj teraz". Pod żadnym pozorem w niego nie klikajmy. CERT podaje, że link z przycisku "przekierowuje na fałszywy panel logowania do banku, który służy do wykradania loginów i haseł do bankowości elektronicznej". To klasyczny phishing, który bazuje na strachu i presji czasu. Nowe oszustwo w PKO BP. Fałszywe potwierdzenie z iPKO Biznes Zaledwie trzy dni później, 7 listopada, sam bank PKO BP wydał pilny komunikat. Tym razem na celowniku znaleźli się klienci biznesowi (i nie tylko) korzystający z serwisu iPKO Biznes. Oszuści rozsyłają e-maile o temacie: "Potwierdzenie operacji iPKO biznes". Wiadomość znów wygląda bardzo wiarygodnie. W polu nadawcy widnieje sfałszowany adres sugerujący, że to oficjalna korespondencja bankowa. W treści maila widzimy miniaturkę dokumentu PDF o nazwie "PKO_TRANS_DET...". To nie jest jednak prawdziwy załącznik. To jest obrazek, który w rzeczywistości jest klikalnym linkiem. Bank ostrzega: "Link kieruje do strony ze złośliwym plikiem". PKO BP stanowczo odcina się od tych wiadomości, pisząc: "nie jesteśmy autorem tych wiadomości". Skutki kliknięcia w podstępny obrazek mogą być opłakane: "możesz stracić pieniądze i kontrolę nad kontem". Jak nie dać się okraść oszustom? Proste zasady bezpieczeństwa Oba ataki są nowe, ale bazują na starej i oklepanej socjotechnice. Przestępcy liczą, że w pośpiechu i natłoku codziennych spraw klikniemy fałszywy link i bez namysłu zrobimy, co każą. Jak się chronić? Zasady są uniwersalne dla klientów i PKO BP i każdego innego banku. Przede wszystkim musimy pamiętać, że bank nigdy nie wysyła maili z prośbą o logowanie, podanie hasła, numeru karty czy kodu CVV. Bank nie straszy też blokadą konta czy karty w mailu, który wymaga kliknięcia linku do "weryfikacji". E-maile i SMS-y z banku nie zawierają linków do logowania. Właśnie dlatego, by utrudnić życie hakerom.