Nowe zagrożenia ważne informacje

Od czasu do czasu pojawiają się informacje medialne dotyczące wycieku danych składowanych na zasobach serwisów oferujących usługi przechowywania plików. Duże instytucje finansowe stosują wyłącznie takie rozwiązania, nad którymi mają pełną kontrolę. Małe podmioty i użytkownicy indywidualni zazwyczaj korzystają z usług mniejszych, lokalnych dostawców usług.

Korzystanie z serwisów oferujących przechowywanie plików, wiąże się z pewnymi zagrożeniami. Oto najważniejsze z nich:

1. Naruszenie prywatności – w przypadku niezaszyfrowania przechowywanych plików, dostawca usługi ma dostęp do ich zawartości. Ponadto korzystanie z niektórych usług może być związane z udostępnianiem danych użytkowników podmiotom trzecim (np. reklamodawcom). Pamiętaj o tym, wybierając miejsce do przechowywania istotnych informacji.
2. Utrata danych – chociaż rzadkie, ale jednak występujące awarie sprzętu lub błędy w zarządzaniu zasobami, mogą prowadzić do utraty plików. Możliwe jest również przypadkowe usunięcie plików, co może być poważnym problemem w przypadku usług nieoferujących możliwości odzyskania danych. Ryzyko to jest również związane z utratą stosowanych kluczy szyfrujących. Zapoznaj się z instrukcjami dostawcy usług i świadomie skonfiguruj wszystkie opcje bezpieczeństwa, w tym odzyskiwania.
3. Złośliwe oprogramowanie – synchronizacja plików zainfekowanych złośliwym oprogramowaniem może skutkować przeniesieniem złośliwego oprogramowania na inne urządzenia. Pamiętaj, że  takie serwisy mogą być wykorzystywane do rozpowszechniania złośliwego oprogramowania ukrytego w spakowanych archiwach (w tym zabezpieczonych hasłem). Stosowanie przez przestępców tego rozwiązania ma na celu ominięcie mechanizmów bezpieczeństwa analizującego zawartość poczty elektronicznej.
4. Blokada konta – niektóre serwisy blokują konto użytkownika (np. w wyniku naruszenia regulaminu lub problemów z płatnościami za korzystanie z usług), co może skutkować czasową lub całkowitą utratą danych.
5. Problemy prawne – przepisy, jakim podlega użytkownik, mogą być również określane przez miejsce składowania danych. To zazwyczaj prowadzi do nieoczekiwanych problemów prawnych związanych np. ze stosowaniem przepisów obowiązujących w innej jurysdykcji.
6. Utrata kontroli nad danymi – przechowywane danych na zasobach dostawcy powoduje utratę pełnej kontroli nad danymi. Dodatkowo niesolidny dostawca może zmienić warunki usługi, zwiększyć ceny lub zakończyć działalność nie przejmując się tym jakie to niesie konsekwencje dla użytkowników.

Świadomość tych zagrożeń i stosowanie odpowiednich środków ostrożności może znacząco zmniejszyć ryzyko związane z korzystaniem z usługi.

Poniżej praktyczne działania, które pozwalają zwiększyć bezpieczeństwo korzystania z tego typu usług.

1. Renomowane usługi - Wybieraj usługi z pozytywnymi opiniami dotyczącymi bezpieczeństwa i prywatności. Sprawdź, czy jakość usługi jest potwierdzona aktualnymi certyfikatami bezpieczeństwa.
2. Regulamin korzystania z usługi i polityka prywatności - Nie korzystaj z usług, które w ramach regulaminu i polityki prywatności zawierają niezrozumiałe bądź nieprecyzyjne zapisy ograniczające odpowiedzialność dostawcy.
3. Silne hasła i uwierzytelnianie wieloskładnikowe - Stosuj długie, złożone hasła, które zawierają litery, cyfry i znaki specjalne. Korzystaj wyłącznie z tych usług, które oferują uwierzytelnianie co najmniej dwuskładnikowe.Zapoznaj się z możliwością zabezpieczenia dostępu do swojego konta metodami odpornymi na phishing (FIDO Passkeys lub kluczem sprzętowym FIDO). Renomowani dostawcy usług wspierają tego typu metody uwierzytelniania. Inne metody uwierzytelnienia (kody TOTP, SMS czy akceptacja powiadomienia – również z wymianą tajnego numeru) nie są odporne na phishing. Przestępca może wygenerować łudząco podobną stronę z miejscem na ich wpisanie.
4. Szyfrowanie danych - Przed przesłaniem plików zaszyfruj je, np. spakuj do archiwum zabezpieczonego hasłem. Wybieraj usługi, które oferują szyfrowanie end-to-end, aby mieć pewność, że tylko Ty masz dostęp do swoich danych.
5. Zaawansowane metody ochrony kont w usługach
   Jeżeli korzystasz z usług wymienionych dostawców stosuj odpowiednio:
   Apple – Advanced Data Protection for iCloud,
   Google – Advanced Protection Program,
   Microsoft – analogiczny program dla skrzynek Outlook.com.
6. Kopie zapasowe - Regularnie twórz kopie zapasowe ważnych plików. Aby zmniejszyć ryzyko utraty danych w przypadku awarii, przechowuj kopie zapasowe w różnych lokalizacjach tak, by awaria urządzenia nie skutkowała brakiem dostępności do kopii zapasowej. Przemyśl zależności między usługami i urządzeniami, na których trzymasz kopie zapasowe. Jeśli do usługi przechowywania plików logujesz się kontem z innej usługi, to przy problemie u dostawcy tożsamości utracisz dostęp do kopii.
7. Stosowanie usługi dla plików z danymi wrażliwymi - Jeśli to możliwe, unikaj przechowywania wrażliwych danych (np. skany wyników badań lub dokumentów tożsamości). Jeśli musisz przechowywać wrażliwe dane, upewnij się, że są one zaszyfrowane. Wtedy nawet w wypadku przełamania zabezpieczeń usługi przestępca nie odczyta twoich wrażliwych danych.
8. Monitorowanie aktywności konta - Regularnie sprawdzaj historię logowań i aktywność na koncie, aby wykryć ewentualne nieautoryzowane działania. Stosuj usługi, które oferują przesyłanie powiadomień o logowaniu i zmianach w ustawieniach konta. Poznaj i skonfiguruj świadomie opcje dotyczące bezpieczeństwa każdej z usług.
9. Ograniczanie dostępu - Udostępniaj pliki tylko zaufanym osobom, ale ograniczaj uprawnienia do niezbędnego minimum (np. tylko do odczytu). Przejrzyj wszystkie dotąd udzielone zgody na dostęp do twoich zasobów z innych serwisów (np. do Dysku Google). Logowanie się istniejącą tożsamością Google/Apple/Microsoft jest wygodne. Zweryfikuj jednak czy zgoda, która została udzielona (lub której udzielasz), nie jest za szeroka i nie umożliwia dostępu dostawcy zewnętrznej usługi do wszystkich danych, zamiast do wybranego folderu czy pliku. Regularnie przeglądaj listę osób mających dostęp do Twoich plików i usuwaj niepotrzebne uprawnienia.
10. Plan awaryjny - Miej procedurę odzyskiwania danych, którą zastosujesz, gdy utracisz dostęp do konta. Zweryfikuj, czy dostawca oferuje wsparcie w przypadku pojawienia się problemów.

Stosowanie tych środków ostrożności może znacząco zmniejszyć ryzyko związane z korzystaniem z usług serwisów przechowujących pliki i zapewnić większe bezpieczeństwo Twoich danych.
 

W ostatnim dniach zaobserwowaliśmy próby podszywania się pod stronę internetową Alior Banku.

Przypominamy:
Cyberprzestępcy tworzą fałszywe strony (podszywające się pod strony banków) w celu pozyskania danych, które następnie wykorzystują podczas prób uzyskania dostępu do środków zgromadzonych na kontach. Aby pozyskać dane wykorzystują komunikację e-mailową z aktywnymi linkami, reklamy, wyskakujące okienka. Bazując na zaskoczeniu i działaniu (odbiorcy treści) pod presją czasu wprowadzają w błąd klientów.

Pamiętaj:

• zawsze sprawdzaj, czy znajdujesz się na właściwej stronie,
• zwracaj uwagę na treści znajdujące się na stronie,
• nie otwieraj załączników ani nie używaj odnośników z podejrzanych e-maili,
• jeśli dostajesz link do strony, przed kliknięciem zweryfikuj, dokąd prowadzi,
• nie podawaj danych wrażliwych na niezaufanych stronach.

Komplet informacji dotyczących bezpiecznego logowania znajdziesz na stronie WWW banku (zakładka Logowanie).

Sprawdź przykłady wyglądu fałszywych stron:







Szkodliwa domena została umieszczona na liście ostrzeżeń CERT Polska, podjęte zostały również działania związane z jej zablokowaniem.

Polecamy również nasz kurs samoobrony przed phishingiem dostępny na stronie phishingstop.aliorbank.pl.

Cyberprzestępcy nie śpią, dlatego aby ograniczyć skuteczność ich działań, cały czas ulepszamy nasze mechanizmy bezpieczeństwa. Jak zabezpieczamy nasze systemy, przeczytasz na naszej stronie internetowej w sekcji Bezpieczeństwo.

Polecamy również nasz Kurs samoobrony przed phishingiem dostępny na stronie phishingstop.aliorbank.pl.

Poniższe dane statystyczne pochodzą z ogólnodostępnych opracowań firm, które zajmują się monitorowaniem bezpieczeństwa i walką z cyberprzestępczością.
 

• Liczba odnotowanych ataków phishingowych wzrosła o prawie 60% w skali globalnej w 2023 r. (w stosunku do 2022 r.). Oszuści coraz częściej w phishingu wykorzystują głos oraz fałszywe okna logowania.
• Globalne straty w wyniku zgłoszonych ataków phishingowych i spoofingowych wyłącznie na systemy biznesowej poczty elektronicznej w 2023 roku przekroczyły 2,9 biliona dolarów (2,4 biliona dolarów w 2021 roku).
• Skóceniu uległ średni czas, jaki ma zaatakowany na reakcję i zatrzymanie wycieku danych podczas ataku złośliwego oprogramowania (ransomware). W 2023 roku wynosił on 2 dni (w 2021 roku 9 dni).
• W 2024 roku odnotowano przypadek skutecznego ataku na dużą korporację. Przestępcom realizacja ataku zajęła zaledwie 14 godzin, licząc od otwarcia korespondencji phishingowej do wykradzenia terabajtów danych i aktywacji ransomware na prawie 10 tysiącach komputerów.
• 94% organizacji oficjalnie przyznało się do tego, że w 2024 roku zostało celem ataków phishingowych (96% tych organizacji zapewnia, że nie były to ataki skuteczne).
• Podczas ataków socjotechnicznych podstawowym celem przestępców jest nakłonienie zaatakowanego do kliknięcia w link lub otworzenia załącznika, co skutkuje przejęciem dostępu do konta. Prawie 79% wyłudzeń poufnych informacji następuje w wyniku ataku phishingowego.
• Mniej niż 20% użytkowników służbowej poczty elektronicznej, którzy testowo otrzymują fałszywe e-maile, rozpoznaje je jako oszustwo. 50% odbiorców klika w link zawarty w takiej wiadomości.
• Ponad 90% użytkowników przyznaje się, że podejmuje ryzykowne działania w systemach informatycznych, gdy jest to dla nich wygodne.
• Połowa użytkowników ignoruje ostrzeżenia o niebezpieczeństwie (np. od antywirusa).
• Stosowanie sztucznej inteligencji (AI) pozwala przestępcom na szybkie (nawet w 5 minut!) i nie wymagające dużych nakładów tworzenie kampanii phishingowych.
• Co kwartał podwaja się liczba ataków phishingowych wymierzonych w użytkowników mediów społecznościowych.
• Liczba fałszywych stron internetowych wzrosła dwukrotnie od 2020 roku.

Ważne!
Jeśli podejrzewasz próbę popełnienia przestępstwa lub gdy padłeś jego ofiarą, zadzwoń do nas niezwłocznie pod numer 12 370 70 00 i złóż zawiadomienie na policję lub do prokuratury.

 

Zbliżają się święta i sylwester – czas zakupów przez Internet. Strony internetowe kuszą szeroką ofertą, ale uważaj na oszustów!

Jak nie dać się nabrać?

• Nie klikaj w każdy link – fałszywe strony często promują się w mediach społecznościowych, e-mailach czy SMS-ach. Zachowaj czujność!
• Zwróć uwagę na szczegóły – fałszywe sklepy mogą wyglądać jak znane marki, ale na ich stronie brakuje np. danych kontaktowych, danych adresowych lub regulaminu. Powinno to wzbudzić Twoje podejrzenia.
• Zbyt piękne, by było prawdziwe – za duży wybór i podejrzanie niskie ceny? To może być pułapka.
• Profesjonalizm jest ważny – błędy językowe, słaba jakość zdjęć czy chaotyczny układ strony to wyraźne ostrzeżenie.
• Sprawdź politykę sklepu – brak informacji o dostawie, zwrotach czy gwarancji to sygnał, że coś jest nie tak.
• Kontaktuj się, zanim kupisz – jeśli nie możesz łatwo skontaktować się ze sprzedawcą lub jego odpowiedzi są chaotyczne i niespójne, lepiej zrezygnować z zakupów.
•  Nie ufaj „dziwnym certyfikatom” – certyfikaty z nieznanych źródeł nie dają gwarancji bezpieczeństwa.

Jak rozpoznać oszustwo w ogłoszeniach lub na portalach aukcyjnych?

• Linki w ofercie prowadzą na podejrzaną stronę lub mają drobne błędy literowe.
• Sprzedawca wymaga niestandardowych działań, np. prosi o instalację oprogramowania, zalogowanie się na innej stronie lub zdjęcie Twojej karty płatniczej.
• Sprzedawca oferuje „darmowy towar” z płatną dostawą lub inne nietypowe warunki.
• O sprzedawcy nie ma żadnych opinii lub są one negatywne.

Czego nie ignorować?

• Ostrzeżeń przeglądarki, że strona jest niebezpieczna.
•  Komunikatów oprogramowania antywirusowego podczas zakupów.
• Podejrzanych kontaktów z „banku” w czasie płatności – zawsze samodzielnie zadzwoń do banku, nigdy nie oddzwaniaj na podejrzany numer.

Na co uważać?

• Oferty typu „superokazje” i presję czasu.
• Zmianę danych odbiorcy płatności lub przekierowanie na inne strony.
• Żądanie loginów i haseł do bankowości lub mediów społecznościowych.
• Próby wymuszenia płatności.

Co zrobić, jeśli kupiliśmy w fałszywym sklepie?

• Natychmiast zgłosić to do banku, w którym masz rachunek, kartę płatniczą.
• Powiadomić policję.
• Powiadomić bliskich, zwłaszcza jeśli utraciłeś loginy i hasła do mediów społecznościowych lub poczty elektronicznej.
• Opisać sytuację w Internecie, aby ostrzec innych.

Ponownie obserwujemy zwiększoną liczbę ataków polegających na wysyłaniu do klientów Alior Banku fałszywych wiadomości SMS z informacją o wygaśnięciu aplikacji mobilnej.

Link w treści SMS-a kieruje na fałszywą stronę udającą formularz logowania do bankowości internetowej, na której wyłudzane są:

• dane logowania,
• PESEL.

Powyższe dane, wraz z innymi informacjami wyłudzonymi od zaatakowanego przez przestępców, mogą zostać wykorzystane do aktywacji aplikacji mobilnej banku na kontrolowanych przez przestępców smartfonach, a w rezultacie doprowadzić do kradzieży środków z rachunku.

Przed podjęciem działania wskazanego w tego typu wiadomościach zweryfikuj:

• adres strony internetowej, na którą jesteś kierowany – w wysyłanych przez nas wiadomościach zawsze wskazany jest jedynie oficjalny adres strony internetowej Alior Banku,
• treść wiadomości – bank nie wysyła wiadomości SMS:
  • zawierających aktywne linki kierujące na strony logowania do bankowości elektronicznej – nigdy nie podawaj danych do logowania, jeżeli po kliknięciu w link zostaniesz o nie poproszony!
  • niezapowiedzianych i wskazujących na konieczność natychmiastowej reakcji -nigdy nie wykonuj poleceń z wiadomości SMS, których się nie spodziewasz!
  • wymagających podania danych do logowania na podlinkowanej w wiadomości stronie – nigdy nie kieruj się wyłącznie samym wyglądem strony!

Kliknięcie w link zwykle nie niesie ze sobą negatywnych konsekwencji. Jeśli jednak podałeś dane na fałszywej stronie, to niezwłocznie skontaktuj się z nami.

Pamiętaj, że przestępcy mogą ustawić dowolną nazwę nadawcy dla wiadomości SMS. Jeżeli masz jakiekolwiek wątpliwości dotyczące treści bądź autorstwa wiadomości, skontaktuj się z nami.

W przypadku podejrzenia próby popełnienia przestępstwa (lub gdy przestępstwo zostało popełnione), niezwłocznie skontaktuj się z nami, dzwoniąc na infolinię pod numer 12 370 70 00 oraz złóż stosowne zawiadomienie na policję lub do prokuratury.

Smishing to forma phishingu, polegająca na wyłudzaniu poufnych informacji od użytkowników telefonów komórkowych za pomocą fałszywych wiadomości SMS. Nazwa „smishing” powstała z połączenia terminów SMS i phishing. Podobnie jak phishing, smishing ma na celu wyłudzenie wrażliwych danych osobowych, takich jak numery kart kredytowych, dane logowania czy inne informacje finansowe. Smishing staje się coraz bardziej popularny, ponieważ telefony komórkowe są powszechnie używane do codziennej komunikacji, a użytkownicy często ufają wiadomościom SMS bardziej niż e-mailom.

Mechanizmy smishingu

Atak smishingowy najczęściej przybiera formę wiadomości SMS, która wydaje się pochodzić od zaufanej instytucji, takiej jak bank, firma kurierska czy instytucja urzędowa. Wiadomość może zawierać link do strony internetowej, która wygląda jak prawdziwa strona, ale w rzeczywistości jest fałszywa. Użytkownik, który kliknie w link i wprowadzi swoje dane logowania, nieświadomie przekazuje je cyberprzestępcom.

Przykładem smishingu może być wiadomość SMS informująca o nieautoryzowanym dostępie do konta bankowego i konieczności szybkiego zalogowania się w celu zabezpieczenia środków. Wiadomość zawiera link do strony, która wygląda identycznie jak strona banku, ale jest kontrolowana przez oszustów. Innym przykładem jest SMS od rzekomego operatora telefonii komórkowej z ofertą zniżki na nowe usługi, w którym również znajduje się link prowadzący do fałszywej strony.

Dlaczego smishing jest tak skuteczny?

Smishing jest szczególnie niebezpieczny z kilku powodów:

• trudność wykrycia ataku – wiadomości SMS często są formułowane w sposób, który nie budzi podejrzeń. Przestępcy fałszują informację wskazującą autora wiadomości SMS, naśladują styl komunikacji używany przez prawdziwe instytucje, używają profesjonalnych szablonów, logotypów, a nawet personalizują wiadomości.
• skuteczność ataku – ze statystyk wynika, że większość wiadomości SMS jest odczytywana w ciągu kilku minut od otrzymania, a odsetek odpowiedzi jest znacznie wyższy niż w przypadku e-maili. To czyni smishing bardzo atrakcyjnym narzędziem dla cyberprzestępców.
• pozyskanie bezpośredniego dostępu do aplikacji finansowych – atak smishingowy może skutkować natychmiastową kradzieżą danych logowania, co w przypadku bankowości elektronicznej może prowadzić do wymiernych strat finansowych.

Jak bronić się przed smishingiem?

Obrona przed smishingiem wymaga świadomości i stosowania kilku kluczowych zasad:

• ograniczone zaufanie – nigdy nie klikaj na linki zawarte w nieoczekiwanych wiadomościach SMS, szczególnie jeśli pochodzą od nieznanych nadawców lub wydają się podejrzane. Nawet jeśli wiadomość wygląda na pochodzącą od znanej instytucji, zawsze warto zweryfikować jej autentyczność, kontaktując się z nadawcą poprzez oficjalny kanał komunikacji, np. dzwoniąc na infolinię. Pamiętaj, bank zawsze uprzedza klienta o stosowaniu aktywnych linków w komunikacji e-mailowej lub SMS-owej w przypadku, gdy jest ona realizowana poza aplikacją bankową. Klient jest uprzedzany zarówno przed wejściem w proces jak i przed przesłaniem wiadomości zawierającej aktywny link, zaś sam link jest związany z realizowanym przez klienta krokiem procesu.
• weryfikacja linków – jeśli musisz kliknąć link w wiadomości SMS, najpierw upewnij się, że prowadzi on do właściwej strony internetowej. Sprawdź dokładnie adres strony internetowej, zwracając uwagę na literówki, dodatkowe znaki lub inne nieprawidłowości, które mogą wskazywać na fałszywą stronę.
• unikanie podawania wrażliwych danych – bank nigdy nie wysyła wiadomości SMS zawierających aktywne linki kierujące na strony logowania do bankowości elektronicznej. Bank nigdy nie prosi o podanie danych logowania, danych kartowych oraz danych osobowych przez wiadomość SMS. Żądanie podania takich informacji, to prawdopodobnie próba oszustwa.
• korzystanie z udostępnianych przez bank metod weryfikacji – w przypadku wątpliwości co do autentyczności komunikacji SMS-owej skontaktuj się doradcą osobistym lub z infolinią.
• zachowanie ostrożności przy pobieraniu aplikacji – nigdy nie instaluj aplikacji, do których jesteś odsyłany przez link w wiadomościach SMS. Mogą one zawierać złośliwe oprogramowanie, które umożliwi przestępcom przejęcie kontroli nad Twoim urządzeniem.

Smishing to poważne zagrożenie, wymaga od użytkowników telefonów komórkowych szczególnej uwagi i ostrożności. Dzięki świadomości zagrożeń oraz przestrzeganiu podstawowych zasad bezpieczeństwa można skutecznie zminimalizować ryzyko stania się ofiarą tego typu ataku. W dobie rosnącej liczby cyberzagrożeń, edukacja i ostrożność są kluczowe dla ochrony naszych danych i finansów.

Przypominamy, że w przypadku podejrzenia próby popełnienia przestępstwa lub gdy przestępstwo zostało popełnione, niezwłocznie skontaktuj się z naszą infolinią (tel. 12 370 70 00) oraz złóż stosowne zawiadomienie na Policję i do prokuratury.

Sztuczna Inteligencja (AI) może być wykorzystywana zarówno w dobrych celach, jak i niestety w celach przestępczych. Jest to narzędzie o dużym potencjale, które może być i jest wykorzystywane również przez cyberprzestępców. W obliczu rosnących zagrożeń związanych z upowszechnieniem stosowania AI, ważne jest podnoszenie świadomości ryzyka oraz metod obrony, które można zastosować, aby zabezpieczyć się przed zagrożeniami.

W jaki sposób AI może być wykorzystywane w cyberprzestępczości?

Cyberprzestępcy mogą wykorzystywać AI na różnych etapach działania przestępczego:

• przygotowanie ataku,
• realizacja ataku,
• weryfikacja i opracowanie pozyskanych informacji.,
• do osiągania różnorodnych celów, w tym do prowadzenia ataków na systemy informatyczne oraz naruszania prywatności i bezpieczeństwa użytkowników.

Przykładowe sposoby wykorzystywania potencjału AI przez cyberprzestępców:

1. Phishing – przed upowszechnieniem AI wiadomości phishingowe często były łatwo identyfikowane przez systemy filtrowania spamu i użytkowników świadomych istniejących zagrożeń. Przy pomocy zaawansowanych technik uczenia maszynowego i przetwarzania języka naturalnego, cyberprzestępcy są w stanie generować bardziej wiarygodne i przekonujące wiadomości phishingowe, które nie tylko będą trudniejsze do wykrycia przez tradycyjne metody filtrowania spamu, ale również mogą łatwo zwieść nawet ostrożnych użytkowników.
2. Fałszowanie tożsamości – użycie generatywnych modeli AI do tworzenia fałszywych obrazów, filmów lub nagrań głosowych, które mogą posłużyć do manipulowania informacjami i szerzenia dezinformacji dla osiągnięcia określonych celów, takich jak oszustwo, szantaż, wyłudzenie informacji, dezinformacja lub naruszanie reputacji.
3. Inżynieria społeczna – wykorzystanie AI do analizy danych ze źródeł online (np. mediów społecznościowych) w celu tworzenia bardziej wiarygodnych profili użytkowników oraz personalizowania ataków ukierunkowanych na wyłudzenie poufnych danych lub przekonania użytkowników do kliknięcia w złośliwe linki.
4. Kryptoanaliza – usprawnienie procesów łamania szyfrów w celu uzyskania dostępu do poufnych danych, takich jak hasła, klucze kryptograficzne lub dane finansowe.
5. Tworzenie złośliwego oprogramowania – automatyzacja generowania nowych wariantów złośliwego oprogramowania, które są trudniejsze do wykrycia przez tradycyjne programy antywirusowe opierające się o sygnatury. Wykorzystanie AI do automatycznego adaptowania się złośliwego oprogramowania w czasie rzeczywistym w odpowiedzi na zmiany w systemach zabezpieczeń.
6. Ataki z zastosowaniem botów – automatyzacja: poszukiwania i infiltracji systemów informatycznych i aplikacji, poszukiwania i testowania luk w zabezpieczeniach, testowania danych uwierzytelniających, poszukiwania możliwości przenikania do sieci.
7. Ataki złożone – zastosowanie uczenia maszynowego, do analizy ogromnych ilości danych w celu identyfikacji wzorców i przewidywania zachowań użytkowników oraz dostosowywania ataków w celu zwiększenia ich skuteczności.

Powyższe przykłady pokazują, że AI może być wykorzystywana przez cyberprzestępców w celu prowadzenia skuteczniejszych i bardziej złożonych ataków. W obliczu tych zagrożeń kluczowe jest ciągłe doskonalenie metod obronnych oraz rozwój świadomości na temat ryzyka związanego z wykorzystaniem AI w dziedzinie cyberbezpieczeństwa.

Jak możesz bronić się przed cyberprzestępczością?

Podstawową metodą obrony jest:

• ograniczenie do minimum ilości danych publikowanych przez nas w powszechnie dostępnych źródłach informacji (np. w mediach społecznościowych),
• ograniczenie dostępu do dotyczących nas informacji (zdjęć, filmów, prywatnych stron WWW) – udostępniajmy je wyłącznie znanym nam bliskim osobom i wyłącznie na określony czas.

Kolejną metodą obrony jest weryfikacja dostarczonej informacji – realizowana przed podjęciem działania wskazanego przez nadawcę informacji. Weryfikacja powinna być przeprowadzona w wiarygodnym źródle, np.:

• Dla informacji pochodzącej z internetu (np. banner, wyskakujące okienko, strona internetowa z ofertą) należy zweryfikować:
  • zgodność informacji z dotychczas publikowanymi treściami – np. jeżeli nastąpiła wcześniej niekomunikowana zmiana w wyglądzie strony logowania, jeżeli bank nie wymagał podawania pełnego hasła przy logowaniu do bankowości, to wszelkie zmiany w tym zakresie powinny budzić naszą czujność (prawdopodobnie zostaliśmy skierowani na fałszywą stronę),
  • informację na oficjalnej stronie źródła – np. jeżeli wizerunek osoby publicznej (sportowca, polityka, celebryty) jest wykorzystywany w kampanii marketingowej dotyczącej inwestycji w kryptowaluty, to należy zweryfikować, czy wskazana w reklamie instytucja dotychczas prowadziła tego typu działalność,
  • opinie o źródle informacji – media społecznościowe często są pierwszym miejscem, gdzie można pozyskać informacje dotyczące aktualnie prowadzonych oszukańczych kampanii medialnych lub zapoznać się z opisem historii tych, którzy padli ich ofiarą,
  • ostrzeżenia publikowane na stronie internetowej Komisji Nadzoru Finansowego oraz informacje dostępne na stronach internetowych UOKiK, Rzecznika Finansowego, ZBP.
• Dla informacji pochodzącej z wiadomości e-mail (oprócz czterech wymienionych powyżej elementów) należy w pierwszej kolejności zweryfikować istnienie powiązania pomiędzy treścią wiadomości, a wcześniej podejmowanymi przez nas działaniami – np. dostajemy powiadomienie o konieczności dokończenia/uzupełnienia transakcji, której nie realizowaliśmy (np. dostawa przesyłki przez kuriera) lub powiadomienie o atrakcyjnej, ograniczonej czasowo ofercie na zakup towaru lub usługi pomimo braku wyrażenia przez nas zgody na tego typu korespondencję,
• Dla informacji dostarczonej w rozmowie telefonicznej należy zweryfikować osobę, z którą rozmawiamy przez telefon:
  • jeżeli naszym rozmówcą jest ktoś bliski, kogo numer telefonu jest nam znany (np. członek rodziny, przyjaciel) – przerywamy rozmowę i korzystając z naszej książki telefonicznej oddzwaniamy lub pytamy o fakt znany wyłącznie nam i rozmówcy,
  • jeżeli naszym rozmówcą jest osoba nam nie znana (np. podająca się za policjanta, prokuratora) możemy zadać nieoczekiwane pytanie, na które odpowiedź jest nam znana (np. „Czy pani Kowalska, która wczoraj komunikowała się ze mną w tym temacie, przekazała już moje wczorajsze wyjaśnienia?”, „Czy przekazane przeze mnie dwa dni temu pieniądze są bezpieczne?”). W opisywanych powyżej przypadkach pytania muszą być sformułowane w taki sposób by przeczyły znanym nam faktom i stawiały odpowiadającego wobec konieczności odpowiedzi tak/nie. Jeżeli odpowiedź jest wymijająca, to powinniśmy kontynuować zadawanie pytań – co zazwyczaj zniechęca przestępcę i prowadzi do zakończenia rozmowy.
  • jeżeli naszym rozmówcą jest ktoś kto podaje się za pracownika Alior Banku, to możemy skorzystać z weryfikacji oferowanej przez bank, czyli zażądać:
    • podania ustalonego wcześniej hasła weryfikacyjnego lub,
    • potwierdzenia kontaktu ze strony banku poprzez wiadomość PUSH w aplikacji mobilnej.

Przypominamy, że w przypadku podejrzenia próby popełnienia przestępstwa, mając zasadne obawy dotyczące tożsamości osoby, z którą prowadzisz komunikację lub gdy przestępstwo zostało popełnione, niezwłocznie skontaktuj się z naszą infolinią 19 502 oraz złóż stosowne zawiadomienie na Policję i do prokuratury.

Najpopularniejszym obecnie sposobem wykorzystywanym przez oszustów jest nadal phishing. Polega on na podszyciu się pod rzeczywiste instytucje bądź ludzi w celu wyłudzenia danych ofiary, takich jak informacje osobowe czy finansowe. Phishing przybiera różne formy i jest stale udoskonalany przez przestępców, którzy poszukują nowych metod na skuteczny atak.

Zwrot podatku

W ostatnim czasie popularną formą ataku jest podszycie się pod Urząd Skarbowy bądź Ministerstwo Finansów. Wiążę się to z trwającym okresem składania rocznych deklaracji podatkowych, kiedy to wielu podatników oczekuje na zwrot nadpłaconego podatku.

Oszustwo polega na przesłaniu fałszywego e-maila z informacją o pozytywnym rozpatrzeniu wniosku o zwrot podatku. Taka wiadomość zawiera link do fałszywej strony, podszywającej się pod serwis rządowy, na której ofiara proszona jest o wpisanie danych płatniczych. Są to najczęściej dane kart płatniczych, które następnie są wykorzystywane do kradzieży środków z konta ofiary.

Treść często jest formułowana w taki sposób, aby dać ofierze złudne wrażenie podjęcia własnej decyzji. Na przykład, w e-mailu jest informacja o możliwości odebrania środków w Urzędzie, ale w celu rzekomego ułatwienia wypłaty udostępniono także możliwość wykorzystania serwisu internetowego.

Cechy charakterystyczne treści fałszywego e-maila:

• pochodzi od nieznanego, podejrzanego nadawcy – czasami oszuści używają podobnych do autentycznych nazw, ale z drobnymi zmianami,
• zawiera odnośnik do nieznanej domeny lub link wykorzystujący skrócony adres URL,
• zawiera podejrzany załącznik,
• często zawiera pozytywną informację – np. środki do odbioru przez ofiarę,
• treść wywiera presję czasową i zmusza do szybkiego działania – np. link aktywny przez ograniczony czas.

Oszustwo z wykorzystaniem zdalnego pulpitu

Wciąż popularną metodą wykorzystywaną przez oszustów jest nakłonienie ofiary do instalacji na swoim urządzeniu narzędzia zdalnego pulpitu. Atakujący podszywa się pod pracownika banku i informuje klienta o problemie na jego rachunku, wykorzystując zaufanie do instytucji finansowych. Najczęstszym scenariuszem jest przekazanie informacji o zablokowanych środkach na rachunku, np. z powodu wykrytej podejrzanej aktywności.

Oszuści przekonują ofiarę, że potrzebują dostępu zdalnego do jej urządzenia w celu rozwiązania problemu z kontem. Proszą ofiarę o pobranie i zainstalowanie specjalnego narzędzia, które rzekomo pomoże w rozwiązaniu problemu.

Przekazanie kontroli nad urządzeniem atakującemu umożliwia mu przeglądanie plików na komputerze, instalowanie złośliwego oprogramowania, a także wykorzystanie otwartej sesji bankowej do przejęcia środków z rachunku.

Pamiętaj, że pracownik banku nigdy nie poprosi Cię o:

• instalację dodatkowego oprogramowania,
• podanie danych logowania czy numeru PESEL drogą e-mailową czy telefoniczną,
• przekazanie jednorazowego kodu z SMS-a.

Nowe wyzwanie – sztuczna inteligencja

Cyberprzestępcy coraz częściej wykorzystują sztuczną inteligencję (SI) w swoich atakach, aby osiągnąć większą skuteczność. Za pomocą narzędzi SI generują treści graficzne i wideo z wizerunkami znanych osób, w celu zdobycia zaufania ofiary. Są to często porady inwestycyjne lub projekty, w których można zarobić pasywnie. Przedstawione są konkretne kwoty, a znana osoba przekonuje o ogromnych zyskach. Oszuści wykorzystują te techniki, aby manipulować ludźmi i wyłudzać od nich pieniądze. Dlatego zawsze należy być ostrożnym i weryfikować źródło informacji przed podjęciem jakichkolwiek działań inwestycyjnych.

Jak się chronić przed phishingiem?

• Sprawdzaj źródło – zawsze sprawdzaj, czy e-mail pochodzi z oficjalnego źródła. Otwieraj linki tylko na stronach, którym ufasz.
• Nie podawaj poufnych informacji – żaden urząd podatkowy nie prosi o dane osobowe czy numery konta bankowego drogą e-mailową. Nie podawaj tych informacji w odpowiedzi na e-maile.
• Uważaj na linki – jeśli otrzymasz e-mail z linkiem, najpierw najedź na niego kursorem myszy, aby sprawdzić dokąd prowadzi. Jeśli wydaje się podejrzany, nie klikaj.
• Zgłoś podejrzane wiadomości – jeśli masz podejrzenia dotyczące tożsamości osoby, z którą prowadzisz komunikację, skontaktuj się z nami dzwoniąc na infolinię pod numer 19 502.

Oszustwo inwestycyjne najczęściej polega na podszywaniu się pod osoby lub podmioty realizujące transakcje na rynku instrumentów finansowych (np. akcje, obligacje, certyfikaty) lub surowcowych (np. metale szlachetne, ropa, gaz) i nakłanianiu do inwestowania środków z wykorzystaniem pośrednictwa oszusta.

Oszuści wykorzystują elementy motywujące atakowanego do skorzystania z „okazji”, w tym między innymi:
 

• atrakcyjność oferty i wyjątkowo wysokie zyski z inwestycji, przy jednoczesnym braku ryzyka po stronie inwestora,
• brak wiedzy i naiwność atakowanego,
• kontakt telefoniczny, e-mailowy lub przez media społecznościowe,
• okresowy bądź cykliczny wzrost rynku inwestycyjnego, umożliwiający przedstawienie wyników za ostatni okres inwestycyjny jako wiarygodnego prognostyka przyszłych zysków,
• wizerunki znanych osób ze świata polityki, biznesu czy sportu (czasem w formie sfałszowanego filmu, tzw. „deepfake') lub nazwy znanych firm – jako elementy uwiarygadniające ofertę i wysokie zyski.

Oszust swe działanie poprzedza utworzeniem fałszywej strony internetowej do inwestowania pieniędzy i jej reklamą w internecie. Zadaniem profesjonalnie przygotowanej fałszywej strony i bogatej oprawy graficznej reklam jest przyciągnięcie uwagi potencjalnych ofiar.

Z osobami, które odpowiedziały na reklamę i wysłały swoje dane w formularzu kontaktowym, kontaktuje się „konsultant”, który przedstawia się jako doradca finansowy, makler, broker giełdowy bądź certyfikowany specjalista rynku inwestycyjnego i oferuje swą pomoc w bezproblemowym przejściu procesu związanego z realizacją inwestycji.

Oszust w ten sposób usypia czujność ofiary, ponieważ stara się brzmieć wiarygodnie, prezentuje bogatą wiedzę i umiejętności, operuje wynikami i prognozami zysków, w sposób wyczerpujący i niwelujący wszelkie wątpliwości odpowiada na postawione pytania związane z inwestycją.

Po wykazaniu zainteresowania przez ofiarę, konsultant podkreśla ograniczony czas trwania oferty i poprzez różne techniki manipulacyjne próbuje nakłonić rozmówcę do zainstalowania fałszywego oprogramowania na komputerze bądź smartfonie, które rzekomo ułatwia komunikację z konsultantem podczas inwestowania, pozwala na śledzenie inwestycji na żywo, lub umożliwia bezproblemową wypłatę wysokich zysków. W rzeczywistości jest to oprogramowanie, które umożliwia przestępcy zdalne korzystanie z zaatakowanego urządzenia, w tym podgląd danych logowania (identyfikator i hasło) do bankowości internetowej.

Jeżeli zaatakowany przez dłuższy czas nie zidentyfikuje przestępstwa, to w wyniku kolejnego kontaktu ze strony doradcy jest nakłaniany do realizacji kolejnych inwestycji, przy czym w takim przypadku uzasadnieniem dla inwestycji są wykazywane przez oszusta zyski z wcześniejszej inwestycji (oczywiście są to zyski odpowiednio spreparowane).

Ofiara przestępstwa zazwyczaj orientuje się, że została oszukana dopiero po podjęciu próby wypłaty zysków lub wycofania się z inwestycji.

Jak się chronić?
 

•  Nigdy nie podejmuj decyzji finansowych w oparciu o informacje, które nie zostały zweryfikowane i skonsultowane z wiarygodnymi źródłami informacji.
• Zweryfikuj informacje o podmiocie oferującym inwestycję – każdy oferent musi posiadać zezwolenie na prowadzenie takiej działalności. Podmioty, które są objęte nadzorem znajdziesz w wyszukiwarce podmiotów nadzorowanych na stronie internetowej Komisji Nadzoru Finansowego.
• Przed podjęciem kontaktu sprawdź listę ostrzeżeń publicznych na stronie internetowej Komisji Nadzoru Finansowego.
• Sprawdź podmiot na stronach UOKiK, Rzecznika Finansowego, ZBP.
• Omijaj wszelkie podejrzane, rewelacyjnie zyskowne inwestycje na rynkach, co do których masz znikomą wiedzę.
• Sprawdź opinie innych osób na temat podmiotu oferującego inwestycję. Oszukani klienci często w mediach społecznościowych publikują ostrzeżenia przed nieuczciwymi podmiotami.
• Nigdy nie instaluj oprogramowania pobieranego ze stron wskazanych poprzez aktywne linki (zawarte w wiadomościach) – zwłaszcza na urządzeniach, na których logujesz się do bankowości.
• Nigdy nie podawaj loginu i hasła do bankowości internetowej oraz danych kart płatniczych (numer karty, CVV, data ważności) – te informacje są poufne i powinny być znane wyłącznie ich właścicielowi (Tobie).
• Jeśli w wyniku działania oszusta podającego się za konsultanta, na Twoim koncie pojawi się  przelew z obcego rachunku, który został przez oszusta określony jako zysk z inwestycji (który powinien być natychmiast ponownie zainwestowany), nie przekazuj go dalej na wskazany rachunek. Jeśli to zrobisz, weźmiesz udział w przestępstwie. Natychmiast zgłoś się do swojego banku.

Przypominamy: W przypadku podejrzenia próby popełnienia przestępstwa, gdy masz podejrzenia dotyczące tożsamości osoby, z którą prowadzisz komunikację lub gdy przestępstwo zostało popełnione, niezwłocznie skontaktuj się z nami dzwoniąc na infolinię pod numer 19 502 oraz złóż stosowne zawiadomienie na Policję lub do prokuratury.

 

Hasła to nadal najczęstszy sposób zabezpieczania danych i systemów. Dlatego to bardzo ważne, aby były silne, czyli trudne do odgadnięcia.

Twoje hasło nie zapewni bezpieczeństwa, jeśli będzie zbyt krótkie (poniżej 8 znaków) i zbudowane w oparciu o ograniczony zbiór znaków (np. tylko cyfry). Oszuści złamią takie hasło bardzo szybko.  

Systemy bardzo często informują, o czym musisz pamiętać podczas tworzenia swojego hasła. Najczęściej wymagają od użytkowników, aby hasło składało się z kombinacji znaków: małe litery, wielkie litery, cyfry, znaki specjalne. Okazuje się jednak, że sposób realizacji tych wymogów nie zawsze zapewnia pełne bezpieczeństwo.

Należy również pamiętać o tym, że rejestrowanie naciśnięć klawiszy, phishing czy ataki oparte o socjotechnikę są równie skuteczne zarówno w przypadku prostych, jak i długich czy złożonych haseł.

Długość hasła

Długość hasła jest głównym czynnikiem, który charakteryzuje siłę hasła. Jeśli hasło jest zbyt krótkie, może być podatne na:

• ataki siłowe (polegające na sprawdzeniu wszystkich możliwych kombinacji znaków) oraz
• ataki słownikowe (wykorzystujące słowa i powszechnie wybierane hasła).

System, w którym wpisuje się hasło, może narzucać dodatkowe zabezpieczenie poprzez ograniczenie ilość prób logowania (im skromniejsze hasło, tym mniejsza jest liczba dozwolonych błędnych prób).

Oszuści korzystają z różnych środków technicznych. Z tego powodu ważne jest, aby hasła w systemach offline (w bazach danych) były bardziej złożone niż stosowane w rozwiązaniach online. Niestety  wyjątkowo długie hasła są bardzo długo przetwarzane przez algorytmy, które chronią te dane – dlatego często nakładany jest limit ilości znaków.

Złożoność hasła

Niektóre systemy narzucają użytkownikom stosowanie zasad tworzenia haseł określanych regułami kompozycji. Badania wykazały, że łatwo przewidzieć, jak zachowają się użytkownicy, którzy bagatelizują ten element i maksymalnie upraszczają narzucone wymagania.

Jest bardzo prawdopodobne, że użytkownik, który będzie mógł wybrać „hasło” jako swoje hasło, wybierze:

• „Hasło1”, jeśli będzie wymagane podanie dużej litery i cyfry lub
• „Hasło1!” jeśli wymagany jest również znak specjalny.

Systemy często odrzucają hasła, które są niezgodne z zasadami kompozycji. Jest to dobre rozwiązanie, chociaż dla niektórych może być frustrujące.

Systemy mogą również odrzucać hasła, które zawierają spację i wybrane znaki specjalne (wykorzystywane przy atakach np. SQL Injection).

Jeśli w haśle występuje spacja, to najczęściej jest to hasło dłuższe. W takiej sytuacji użytkownicy zazwyczaj stosują wyrażenia do budowy haseł (np. Wlazł kotek na płotek i mruga., Litwo! Ojczyzno moja! Ty jesteś jak zdrowie). Niestety spacja może powodować pewne problemy z użytecznością. Użytkownik może na przykład wprowadzić dwie spacje zamiast jednej i tego nie zauważyć.

Pozornie trudno jest przewidzieć jakie hasło wybierze użytkownik systemu. Oszuści często nie mają z tym problemu, stosują różne techniki do przełamania haseł, wykorzystując m.in. listy haseł powszechnie stosowanych.

W Internecie dostępne są rozwiązania, w których można sprawdzić siłę hasła. Należy jednak zapoznać się z zasadami, które dla potrzeb oceny stosuje dane rozwiązanie. Mechanizm obliczenia siły hasła, który bazuje na języku angielskim, może być zaburzony, zwłaszcza jeśli będzie sprawdzać hasło ze znakami diakrytycznymi. Przykładowo hasło „Zółw1!” będzie bardzo wysoko ocenione.  

Skomplikowane i trudne do zapamiętania hasła tworzą nową potencjalną lukę w zabezpieczeniach –wzrasta prawdopodobieństwo, że zamiast zapamiętania zostaną zapisane lub będą przechowywane elektronicznie w sposób nie gwarantujący ich bezpieczeństwa (np. w niezabezpieczonym hasłem pliku aplikacji Word). Chociaż praktyki te nie zawsze są podatne na ataki, to jednak warto je uwzględnić i nie wymagać zbyt długich i skomplikowanych haseł.

Jaką metodą stworzyć silne hasło?
 

1. Menadżer haseł
   Menadżer haseł utworzy silne hasło, ale nie będzie to hasło łatwe do zapamiętania i stosowania poza tym narzędziem. Dodatkowo w niektórych menadżerach haseł można wprowadzić schemat hasła (np. ograniczyć liczbę czy zakres znaków w haśle lub wskazać wybrany prefiks). Dlatego hasła, które wygeneruje menadżer, stosowane są wyłącznie w ramach korzystania z aplikacji lub strony realizowanej z wykorzystaniem manadżera.
2. Łączenie słów
   Hasło zbudowane zgodnie z tą metodą składa się z kilku połączonych słów. Można wykorzystać np. nazwy ulubionych zwierząt, kolorów, piosenek, itp. Aby ułatwić sobie zapamiętanie hasła, można wszystkie słowa zaczynać wielką literą i ustawić je w kolejności alfabetycznej (np. KotPiesŻyrafa, PoniedziałekŚrodaWtorek).
3. Stosowanie fraz
   Tutaj wykorzystuje się gotowe zdania, np. przysłowia, cytaty, tytuły filmów lub abstrakcje (np. KtoPodKimDołkiKopie, OlaZjadaLatającąMotorówkę).
4. Tworzenie akronimów
   Hasło buduje się w oparciu o pierwsze (lub inne dowolnie wybrane) litery poszczególnych słów, które składają się na frazę (np. PsKzswW – Pomnik szewca Kilińskiego znajduje się w Warszawie).
5. Frazy z przesunięciem znaków
   Najpierw ustala się frazę, która jest bazą dla hasła. Następnie stosuje się znaki, które znajdują się, np. na prawo od znaków, które zawarte są we frazie (np. Nos:u{ord – BiałyPies).   
6. Frazy z błędami ortograficznymi
   Hasło buduje się tak, aby zawierało błędy ortograficzne, a w miejscu znaków diakrytycznych znajdowały się znaki niediakrytyczne (np. TżeszczacySledz – TrzeszczącyŚledź).

Najprostszym rozwiązaniem jest zastosowanie bardzo długiego ciągu przypadkowych znaków, a następnie wykorzystanie menadżera haseł do zapamiętania tak zbudowanego hasła.

Należy podkreślić, że hasła opierające się o frazę, które mają mniej niż 10 znaków, są uważane za słabe. Istnieje wiele innych elementów, które dodatkowo mogą osłabić takie hasło. Nie warto:

•  ograniczać zestawu znaków – np. używać wyłącznie cyfr lub liter,
• stosować łatwych do ustalenia danych – np. imię i nazwisko użytkownika, numer telefonu, data urodzenia.

 

Dwuskładnikowe uwierzytelnienie (2FA) to sposób zabezpieczania dostępu do aplikacji, logowania do systemów bankowości internetowej, poczty elektronicznej czy mediów społecznościowych.

Zalety 2FA

1. Dodatkowy poziom bezpieczeństwa

• Wymagane dwa elementy weryfikacyjne są niezależne od siebie. Najczęściej są to dwa elementy z zestawu:
  • składnik, który użytkownik zna (np. hasło),
  • składnik, który użytkownik posiada (np. kod służący do uwierzytelnienia, który jest wysłany do użytkownika na wcześniej zdefiniowane urządzenie poprzez wiadomość SMS, odcisk palca).

• Zdobycie przez atakującego wyłącznie jednego elementu uwierzytelniającego nie daje mu możliwości dostępu do chronionej aplikacji. Atakujący potrzebuje zarówno hasła (pozyskanego np. w wyniku phishingu), jak i drugiego czynnika weryfikacyjnego (który jest wysyłany wyłącznie na urządzenie użytkownika użytkownika).

2. Zabezpieczenie przed atakami na hasła

• Redukcja ryzyka związanego z wyciekiem hasła – w przypadku wycieku bazy danych z hasłami (np. w wyniku ataku na witrynę internetową), przestępcy nadal nie będą mieli pełnego dostępu do kont użytkowników, ponieważ nie będą posiadali drugiego elementu weryfikacyjnego.
• Ochrona przed atakami typu brute force – ataki polegające na wielokrotnym próbowaniu różnych kombinacji haseł, są praktycznie uniemożliwione, ponieważ atakujący w celu weryfikacji poprawności testowanego hasła potrzebują poprawnego drugiego elementu weryfikacyjnego.

3. Elastyczność i wygoda

• Różne sposoby dostarczenia drugiego elementu weryfikacyjnego: kody SMS, wiadomości PUSH, token sprzętowy, dane biometryczne. Użytkownicy mogą wybrać metodę, która najlepiej odpowiada ich preferencjom.

4. Minimalizacja skutków utraty hasła

• Powiadomienie o próbie nieautoryzowanego dostępu – użytkownik otrzymując powiadomienie lub prośbę o potwierdzenie przy pomocy drugiego elementu uwierzytelniającego jest jednocześnie informowany o aktywności na koncie (ewentualnej próbie włamania), co umożliwia mu natychmiastową reakcję.
• Zdalne zarządzanie bezpieczeństwem konta – rozwiązania korzystające z 2FA umożliwiają użytkownikom zdalne zarządzanie bezpieczeństwem, co zwiększa kontrolę zarówno nad dostępem jak i aktywnością.

Choć wprowadzenie 2FA przyczyniło się do znacznego podniesienia poziomu bezpieczeństwa w środowisku online, a korzyści wynikające z tej praktyki są istotne zarówno dla jednostek, jak i organizacji, to w zakresie oceny bezpieczeństwa stosowanych elementów uwierzytelniających oraz sposobów ich dostarczania wciąż następują zmiany. Aktualnie z powszechnie stosowanych metod dostarczania elementu uwierzytelnienia największą popularnością, wynikającą zarówno z kosztów związanych z implementacją jak i przystępnością w użytkowaniu, cieszy się metoda dostarczania poprzez wiadomości PUSH kierowane do wskazanego przez użytkownika smartfonu (zdefiniowanego dla konta użytkownika w systemie).

Ataki na rozwiązania stosujące 2FA

Przestępcy zauważyli rosnącą popularność 2FA i dostosowali narzędzia i techniki ataku. Aby atak miał szanse przynieść efekt, ofierze wysyła się link prowadzący do fałszywej bramki płatności, przez którą przechodzi ona do podstawionej strony logowania do banku. Po wpisaniu loginu i hasła zostają one przesłane do atakującego, a on przesyła je dalej do serwisu bankowego. Bank widzi, że klient próbuje się zalogować, więc wysyła do niego SMS z kodem albo oczekuje podania ciągu znaków wygenerowanych w aplikacji. Oczywiście ten etap też jest przewidziany na podstawionej stronie, gdzie wyświetla się okienko w celu podania wybranej metody, z której korzysta klient. Atakujący, po wprowadzeniu przez nieświadomą osobę swoich danych i kodu, uzyskuje w dostęp do konta bankowego ofiary.

Inną metodą ataku jest wyrobienie duplikatu karty SIM. Operatorzy telekomunikacyjni są wyczuleni i podchodzą do prośby o duplikat z większą uwagą, tym nie mniej przestępca może podać się za właściciela numeru i wystąpić o wyrobienie drugiej karty przypisanej do numeru. W tym scenariuszu zakłada się, że atakujący ma już dostęp do konta bankowego ofiary. Gdy pozyskany duplikat karty SIM zostanie aktywowany na telefonie przestępcy, prawowity właściciel utraci zasięg na swoim telefonie (nie jest w stanie korzystać ze swojej karty SIM). Od tego momentu przestępca otrzymuje wszystkie połączenia i wiadomości SMS. Mając dostęp do konta, zleca przelew i poprzez SMS otrzymuje kod, po wpisaniu którego bank weryfikuje transakcję. Z tego powodu dostęp do np. konta bankowego powinien być potwierdzany za pomocą aplikacji (komunikacją PUSH).

Jak się chronić przed atakiem

• Zarówno w SMS jak i PUSH podawane są szczegóły transakcji - jeżeli coś się nie zgadza, nie należy autoryzować takiej transakcji. Bardzo ważne jest czytanie, co się akceptuje (tak samo jak czytanie treści dokumentu przed podpisaniem). Często treść komunikatu to jedyny element umożliwiający zorientowanie się, że jesteśmy na celowniku oszustów.
• Należy dbać o bezpieczeństwo fizyczne urządzenia, które służy nam do pozyskania drugiego elementu uwierzytelniającego (token, smartfon). W przypadku jego utraty należy bezzwłocznie o tym fakcie poinformować stronę dostarczającą usługę.
• Należy dbać o bezpieczeństwo konfiguracji urządzenia, które służy nam do pozyskania drugiego elementu uwierzytelniającego. Jeśli do odblokowania urządzenia wykorzystujemy elementy biometryczne, np. odcisk palca, to dbajmy o to by nikt poza nami nie dodał swojego odcisku.
• Należy mieć na uwadze możliwość pozyskania przez atakującego duplikatu karty SIM – zduplikowanie telefonu lub sparowanie nowego telefonu do aplikacji.
• Należy z dużą dozą nieufności podchodzić do wszelkich stron realizacji płatności podstawianych w aktywnych linkach – najlepiej z takich linków nigdy nie korzystać. Każdą wątpliwość w zakresie autentyczności strony płatności należy brać bardzo poważnie.
• Nie należy ufać osobom w rozmowie telefonicznej przychodzącej podającym się za pracownika instytucji zaufania publicznego (policjanta, prokuratora, bankowca). Dla weryfikacji pracownika naszego banku należy skorzystać z opcji podania prze niego hasła zwrotnego lub potwierdzenia realizacji kontaktu poprzez wiadomość PUSH.

Black Friday, tak jak każdy okres ukierunkowany na zwiększenie przychodów z handlu, przynosi ze sobą nie tylko atrakcyjne promocje i wyjątkowe oferty. Sprzyja on również wzmożeniu działalności przestępców, którzy podszywają się pod sklepy online i operatorów płatności.

W trosce o bezpieczeństwo Waszych środków, przedstawiamy krótki poradnik, w którym przypominamy podstawowe zasady bezpieczeństwa zakupów w sieci.

Przed zakupem:

• Unikaj kuszących okazji: 
  • np. sprzedaży produktu znacząco (np. 50%) poniżej średniej ceny rynkowej,
  • oferowanych przez nieznanych sprzedawców,
  • do których przechodzi się po kliknięciu w link zawarty w reklamie bądź w mailu,
  • wkrótce się kończących, przez co zmuszających do działania w pośpiechu i bez zwracania uwagi na kwestie bezpieczeństwa.
• Zweryfikuj przedstawione na stronie sklepu dane sprzedającego. Sprawdź czy:
  • podane są dane rejestrowe (REGON, NIP i KRS) - jeżeli masz wątpliwości, sprawdź ich zgodność z danymi zawartymi w ogólnodostępnych rejestrach,
  • adres siedziby sklepu nie wskazuje nieistniejącej lokalizacji (np. pola kukurydzy),
  • na podany numer telefonu można się dodzwonić i porozmawiać ze sprzedawcą na temat oferty.
• Zwróć uwagę na to, kiedy sklep został uruchomiony:
  • dłuższa obecność na rynku to często większe bezpieczeństwo,
  • nie daj się zwieść zapisom typu „do tej pory funkcjonowaliśmy jako …” – godny zaufania sprzedawca ceni sobie historię swej działalności, zwłaszcza jeżeli jest ona pozytywna.
• Sprawdzaj na wiarygodnych stronach opinie i komentarze innych klientów na temat:
  • sklepu bądź sprzedającego, o oferowanego produktu,
  • procesu realizacji transakcji/reklamacji/zwrotu.

Z taką samą rezerwą podchodź do zakupów w przypadku dużej ilości negatywnych opinii, jak i pozytywnych wystawionych w bardzo krótkim czasie (np. w ciągu ostatniego tygodnia/miesiąca).

W trakcie zakupu:

• Pamiętaj, że bardziej wiarygodny sklep to ten, w którym masz możliwość:
  • osobistego odbioru zamówienia,
  • uiszczenia płatności w momencie dostarczenia towaru (np. u kuriera),
  • odroczenia momentu otrzymania płatności przez sprzedającego do czasu potwierdzania dostarczenia towaru zgodnego z zamówieniem.
• Unikaj sklepów z tylko jedną formą płatności.
• Miej na uwadze, że zarówno symbol kłódki jak i „https” przy adresie stronie internetowej sklepu nie gwarantują bezpieczeństwa transakcji – już w 2021 roku 80% serwisów oszukańczych miało przynajmniej jeden z wymienionych elementów.

Podczas płatności:

• Nigdy nie zgadzaj się na wykonywanie niestandardowych czynności takich jak:
  • instalacja dodatkowego oprogramowania,
  • podanie danych do logowania do bankowości w celu opłacenia towaru.
• Nigdy nie korzystaj z linków do płatności otrzymanych w wiadomościach SMS lub mailach w sytuacji gdy sprzedawca:
  • proponuje, aby zrealizować transakcję poza sklepem w celu rzekomego uniknięcia prowizji lub podatku,
  • domaga się lub prosi o dopłatę (zazwyczaj groszową), która wybawi zapracowanego sprzedawcę z konieczności wyjaśniania wobec swego pracodawcy pomyłki dotyczącej ceny towaru. Takie linki najczęściej prowadzą do fałszywych stron podszywających się pod pośredników płatności lub banki.
• Sprawdź, czy znajdujesz się na prawdziwej stronie agenta rozliczeniowego (czy nazwa domeny jest prawidłowa i ma ważny certyfikat) – w przypadku jakichkolwiek wątpliwości przerwij transakcję i skontaktuj się ze sklepem.
• Sprawdź, czy po wybraniu banku na stronie operatora płatności, zostałeś przekierowany na stronę w domenie aliorbank.pl.
• Dokładnie czytaj treść wiadomości SMS lub komunikatu PUSH przy zatwierdzaniu transakcji.
• Jeżeli otrzymujesz automatyczne połączenie z Banku - dokładnie go wysłuchaj i zweryfikuj czy Lektor opisuje operacje, którą właśnie zlecasz.
• Upewnij się, że zgadza się numer konta, kwota oraz rodzaj składanej dyspozycji – w przypadku zakupów powinien to być przelew, a nie np. założenie szablonu zaufanego.

Przestrzeganie powyższych zasad uchroni Was przed przykrymi niespodziankami związanymi z realizacją planów zakupowych.

Kody QR możesz znaleźć na przykład w komunikacji miejskiej, urzędach, taksówkach, reklamach na przystankach, parkomatach, menu restauracji, ulotkach oraz stronach WWW dostawców usług. Kody QR pozwalają uzyskać dostęp do stron internetowych, sklepów z aplikacjami lub umożliwiają szybkie podłączenie się do sieci Wi-Fi.

Możliwości kodów QR wykorzystywane są także przez przestępców, którzy:

• zamieszczają kody QR na specjalnie przygotowanych materiałach lub
• wklejają lub wstawiają odpowiednio spreparowany kod QR na oficjalnych materiałach prowadzących do źródeł informacji.

Takie działanie nazywamy QRishingiem - jest to forma phishingu, w którym hakerzy wykorzystują kody QR w celu:

• kradzieży informacji (zazwyczaj identyfikatora i hasła lub danych kartowych),
• zainstalowania na urządzeniu złośliwego oprogramowania,
• skierowania odbiorcy kodu QR na niebezpieczną stronę internetową.

Dlaczego QRishing jest niebezpieczny?
 

• kody QR zazwyczaj nie są wykrywane przez systemy antyphishingowe jako niebezpieczne linki zawarte w wiadomościach,
• kody QR mogą być ukryte w innych obrazach lub np. w dokumentach PDF w załączniku,
• kod QR umożliwia szybszą realizację niektórych procedur, a osoba korzystająca z kodu otrzymuje mniej szczegółów dotyczących podejmowanych działań,
• szkolenia z bezpieczeństwa są zwykle nastawione na unikanie klikania w linki więc czynność skanowania kodu QR zazwyczaj nie jest wiązana przez użytkowników z potencjalnym zagrożeniem.

Jak się zabezpieczyć?
 

• kody QR bywają niebezpieczne w różnych sytuacjach, a nie tylko podczas korzystania z usług dostępnych w internecie,
• do wszystkich kodów QR należy podchodzić z ostrożnością – tak jak do zawartego w wiadomości e-mail „skróconego” linku, w którym na pierwszy rzut oka nie widać, dokąd zostaniemy przekierowani,
• wynikiem zeskanowania kodu QR może być przekierowanie na stronę, która jedynie udaje oficjalne źródło informacji,
• skorzystanie ze spreparowanego kodu QR nie zawsze musi być związane z natychmiastową utratą środków pieniężnych – dla przestępców równie cenne są dane podawane przez atakowanych na podstawionych fałszywych stronach,
• wszelkie zachęty w postaci otrzymania korzystnego rabatu na usługę lub gratisu po zeskanowaniu kodu QR i zainstalowaniu aplikacji lub realizacji transakcji na podstawionej stronie www, należy traktować jako przesłankę wskazującą na próbę ataku,
• należy zablokować domyślny dostęp do kamery dla zewnętrznych aplikacji – dostęp do kamery powinien być nadawany wyłącznie w wyniku świadomego działania użytkownika,
• należy uruchamiać kamerę wyłącznie w momencie wykonywania zdjęć – aktywny aparat w miejscach publicznych może sam zaproponować zeskanowanie kodu QR,
• należy aktualizować oprogramowanie zainstalowane na urządzeniu mobilnym – systemowe i zainstalowane aplikacje,
• nie należy realizować płatności na dowolnej platformie oraz podawać danych logowania na stronie, do której dostęp nastąpił za pomocą kodu QR,
• przed skorzystaniem z kodu QR zamieszczonego w przestrzeni publicznej pozornego zaufania (np. urząd, bank, restauracja) sprawdź czy nie został on zasłonięty naklejonym, spreparowanym kodem QR,
• zanim przejdziesz do strony kierującej z kodu QR, sprawdź jaka domena jest wyświetlana w podglądzie – jeśli jest błędna lub wzbudza ona Twoje podejrzenia, nie otwieraj strony.

Co zrobić, gdy zorientujemy się, że padliśmy ofiarą oszustwa?
 

1. Jak najszybciej poinformuj bank, w którym prowadzony jest Twój rachunek bądź karta płatnicza – zadzwoń na numer 19 502.
2. Zgłoś incydent na policji.
3. Ostrzeż innych. Poinformuj bliskich i znajomych – zwłaszcza jeżeli utraciłeś identyfikatory i hasła.

Przed rozpoczęciem roku szkolnego kompletujemy wyprawkę dla ucznia. Ponieważ dla realizacji tego zadania często wykorzystywany jest możliwość zakupów w internecie, poniżej przedstawiamy podstawowe zasady bezpieczeństwa dla tej czynności.

Jak rozpoznać stronę sprzedawcy-oszusta?
 

1. Zawsze miej na uwadze sposób w jaki trafiłeś na stronę sklepu. Typowymi miejscami łowienia potencjalnych ofiar przez cyberprzestępców są media społecznościowe, komunikatory, poczta elektroniczna wiadomości SMS.
2. Przestępcy dbają o to, by ich strony pokazywały się pomiędzy stronami popularnych, rzetelnych sklepów internetowych – nie traktuj odpowiedzi wyszukiwarki jako wskazania stron 100% pewnych sprzedawców.
3. Jeśli szukasz podręczników szkolnych a wyszukiwarka proponuje stronę sklepu z ofertą podręczników i np. bielizny, materiałów budowlanych i elektroniki, to wzmóż swą czujność podczas korzystania ze sklepu z tak szerokim asortymentem.
4. Nieprofesjonalny wygląd strony internetowej, tekst pisany łamaną polszczyzną, błędy ortograficzne, gramatyczne i językowe, słaba jakość zdjęć i grafiki – to wszystko może świadczyć o stronie zbudowanej przez przestępcę. Rzetelnym sprzedawcom zależy na pozytywnej opinii klientów, ich strony nie wyglądają jak „robione na kolanie”.
5. Brak określenia bądź niska jakość i spójność elementów biznesu e-commerce: regulaminu, sposobów: dostarczenia towaru, płatności, reklamacji, gwarancji, zwrotu towaru.
6. Brak, błędne lub niekompletne dane sprzedawcy i dane adresowe. Firma podana na stronie jako jej właściciel nie istnieje w KRS. We wpisie KRS wskazany jest np. sklep stacjonarny lub firma prowadząca działalność inną niż handlowa może świadczyć o tym, że oszust podszywa się pod istniejącą firmę, która nie ma sklepu internetowego lub stosuje nieużywaną domenę sugerując właściciela strony.
7. Brak możliwości kontaktu telefonicznego ze sprzedawcą bądź sprzedawca nie znający odpowiedzi na pytania lub szybko się irytujący,  jakiekolwiek niespójności w udzielanych odpowiedziach.

Czy kłódka przy adresie sklepu to gwarancja bezpiecznych zakupów?

Oszuści opracowali metody wykorzystania tego oznaczenia, dlatego ten element nie może stanowić o pozytywnej weryfikacji sklepu. Należy dokładnie zweryfikować poprawność certyfikatu i wziąć pod uwagę wyżej wymienione elementy.

Co robić, by nie dać się oszukać podczas zakupów na wiarygodnej stronie internetowej (np. znanego portalu aukcyjnego lub serwisu z ogłoszeniami)?
 

1. Jeżeli oferta zawiera link do „pełnego opisu”, sprawdź czy nie kieruje on do podejrzanej strony, znajdującej się w nieznanej domenie, albo czy nie pojawia się w nim łatwy do przeoczenia błąd literowy, ukrywający podszywanie się pod znany podmiot (np. attegro.pl, gralka.pl).
2. Długi czas działalności sprzedawcy nie jest gwarantem uczciwości – zwłaszcza gdy konto zostało przejęte przez oszusta.
3. Wiarygodność i spójność innych ofert sprzedającego też umożliwia jego ocenę.
4. Odrzuć oferty z dodatkowym warunkiem zakupowym – np. konieczność zalogowanie się w innym miejscu, pobranie i zainstalowanie jakiegoś oprogramowania, sfinalizowanie transakcji na niestandardowej stronie.
5. Odrzuć propozycje typu „W celu potwierdzenia tożsamości proszę o zdjęcie karty kredytowej” lub „Towar jest gratis, proszę tylko opłacić kuriera”.
6. Jeżeli cokolwiek wydaje się podejrzane - pytaj. Poproś o wyjaśnienia sprzedającego oraz skonsultuj się z bliskimi ci osobami.

Opinie o sklepie – czy warto je sprawdzać?

Opinie zwłaszcza te, które są wystawione na forach internetowych (poza sklepem), zdecydowanie warto brać pod uwagę. Opinie w samym sklepie mogą również nasunąć nam pewne przypuszczenia. Jeżeli w historii wystawianych opinii istnieje luka, np. najnowsze opinie pochodzą z ostatnich tygodni, potem mamy długą przerwę, a kolejne opinie są dużo starsze, to ograniczmy zaufanie. Być może sklep został przejęty i przestępcy spreparowali opinie tak, by właściwie wpłynęły na potencjalnego klienta.

Czego nigdy nie powinniśmy ignorować?
 

1. Powiadomienia przeglądarki informującego, że strona nie jest bezpieczna.
2. Sygnałów oprogramowania antywirusowego pojawiających się w trakcie zakupów.
3. Pojawienia się kontaktu ze strony „banku” – w momencie realizacji płatności, np. z prośbą o dodatkowe działania na naszym koncie. Przerwij połączenie z „bankiem” i samodzielnie skontaktuj się z bankiem dzwoniąc na numer 19 502.

Inne elementy wskazujące na potencjalne problemy
 

1. Ograniczone czasowo wyjątkowe zniżki, super okazje, „gorące” oferty, skłaniające do podejmowania nieprzemyślanego działania.
2. Próby podsunięcia ci legalnej płatności w fałszywym sklepie – w tym samym czasie oszust dokonuje zakupów na swoje dane, natomiast nieświadomy tej techniki nabywca płaci za niego.
3. Próby podmiany danych odbiorcy płatności, przekierowanie do fałszywej strony banku lub operatora płatności.
4. Żądanie podania danych uwierzytelniających (identyfikator, hasło) do portalu społecznościowego czy bankowości.

Jakie są konsekwencje dokonania zakupu w fałszywym sklepie internetowym?
 

1. Utrata kwoty, którą zapłaciliśmy za produkt czy usługę, których nigdy nie otrzymamy.
2. Utrata wszystkich oszczędności i wrażliwych danych – jeżeli w procesie zakupowym zainstalujemy oprogramowanie podsunięte nam przez przestępców.
3. Utrata oszczędności przyjaciół – jeżeli wykradzione dane uwierzytelniające posłużą przestępcom do przeprowadzenia ataku, w którym podając się z Ciebie poproszą ich o pilny przelew BLIK.

Czy utracone pieniądze można odzyskać?
 

1. W przypadku płatności kartą wystarczy złożyć reklamację w banku by po jej uznaniu skorzystać z mechanizmu tzw. obciążenia zwrotnego (chargeback).
2. Dla płatności wykonanych przelewem próba odzyskania środków jest możliwa dopiero po zatrzymaniu sprawców przez organy ścigania.

Co zrobić, gdy zorientujemy się, że zrobiliśmy zakupy w fałszywym sklepie?
 

1. Jak najszybciej poinformuj dostawcę płatności, czyli bank, w którym prowadzony jest twój rachunek bądź karta płatnicza – zadzwoń na numer 19 502.
2. Zgłoś incydent na policji.
3. Ostrzeż innych. Poinformuj bliskich i znajomych – zwłaszcza jeżeli utraciłeś identyfikatory i hasła. Wystaw opinię na forach oraz w mediach społecznościowych organizacji broniących praw konsumentów.

 

Zasady bezpieczeństwa są uniwersalne i powinny być stosowane, bez względu na to, czy korzystamy z internetu w domu, czy też łączymy się z publiczną siecią Wi-Fi. Zawsze należy zachować ostrożność i rozwagę, aby zmniejszyć ryzyko stania się ofiarą ataku hakerskiego. Przestępca nie musi dążyć do natychmiastowego wyłudzenia pieniędzy. Z pozoru niezwiązane z finansami włamanie na skrzynkę e-mail czy profil w mediach społecznościowych może skutkować licznymi problemami, na przykład mogą to być próby oszukania osób z naszej listy kontaktów.

Warto znać sposoby działania cyberprzestępców, którzy mogą być szczególnie aktywni podczas wakacyjnego wypoczynku. Cyberprzestępcy często tworzą sieci Wi-Fi podobne do publicznych hotspotów hoteli, czy restauracji, w których po połączeniu użytkownika mogą uzyskać dostęp do jego danych.

Pamiętaj o poniższych zasadach, które mogą ochronić Cię przed działaniami cyberprzestępców:
 

1. Wyłącz funkcję automatycznego wyszukiwania i łączenia się z siecią Wi-Fi – w wielu urządzeniach mobilnych ta funkcja domyślnie jest uruchomiona.
2. Na wakacjach nie korzystaj z aplikacji, których nie musisz używać, zwłaszcza jeżeli ich użytkowanie wymaga podania danych uwierzytelniających. Najlepiej wszystkie zbędne aplikacje zatrzymaj na czas wakacyjnego wyjazdu (lub wyloguj się z nich).
3. Zweryfikuj czy mechanizmy bezpieczeństwa, takie jak firewall i antywirus, aktywnie działają na używanym laptopie.
4. Nie loguj się do banków lub mediów społecznościowych podczas korzystania z publicznego hotspotu.
5. Przed wyjazdem rozważ zasadność wykupienia usługi VPN – podczas korzystania z usługi wszystkie dane przesyłane do sieci są szyfrowane i zabezpieczane (również podczas korzystania z publicznych hotspotów).
6. Pilnuj swoich urządzeń mobilnych – znajduje się na nich dużo wrażliwych informacji, które cyberprzestępcy mogą próbować wykorzystać, zanim zdążysz zablokować numer lub zmienić hasła (co podczas wyjazdu zagranicznego nie jest banalnie proste).
7. Z zabieranych na wakacje urządzeń mobilnych usuń newralgiczne dane, które nie będą potrzebne oraz zrób kopię zapasową.
8. Jeśli przechowujesz na urządzeniu mobilnym hasła, to użyj do tego celu menagera haseł. W żadnym wypadku nie trzymaj haseł w otwartych plikach i notatkach.
9. Zainstaluj aplikację lub włącz funkcję lokalizującą urządzenie mobilne lub uaktywnij funkcję zdalnego resetu urządzenia, wykorzystywaną w przypadku zgubienia czy kradzieży. Mechanizmy te mogą pomóc w odnalezieniu, lub zablokowaniu i usunięciu danych, gdy złodziej będzie próbował się włamać do utraconego urządzenia.
10. Przyjmij założenie, że darmowe, publiczne i bezpieczne Wi-Fi na wakacjach praktycznie nie istnieje. Rozważ wykupienie pakietu danych na swoim urządzeniu mobilnym i udostępnij go całej swojej rodzinie.

Zaufane sieci publiczne również mogą zostać zaatakowane przez hakerów i posłużyć do kradzieży danych ich użytkowników.

Loguj się do bankowości online lub serwisów internetowych wyłącznie gdy masz pewność, że korzystasz z bezpiecznego połączenia internetowego!

Coraz częściej stosowaną formą oszustwa jest Vishing (voice phishing). Podobnie jak phishing jest to oparty o inżynierię społeczną atak mający na celu skłonienie ofiary do podania wrażliwych danych lub wykonania określonych działań. Realizowany jest on za pomocą kontaktu telefonicznego. W celu wyłudzenia poufnych informacji lub „potwierdzenia” danych posiadanych przez bank lub instytucję, przestępca podszywa się pod osobę lub instytucję godną zaufania (np. pracownika banku, agenta ubezpieczeniowego, policjanta, wnuczka czy konsultanta).

Na co zwrócić uwagę?

Zazwyczaj przestępca wykorzystuje element zaskoczenia, wskazuje problem wymagający podjęcia natychmiastowego działania. Wskazując ofierze wymagane działanie wskazują na zapewnienie bezpieczeństwa klienta. Przedstawianym ofierze powodem kontaktu mogą być pilna potrzeba wsparcia bliskiej osoby, awaria techniczna, audyt jakości usług lub nawet rzekomy atak hakerski.

Sugerując możliwe rozwiązania przestępca wymaga potwierdzenia danych teleadresowych, osobowych, numeru PESEL, dowodu osobistego, identyfikatora klienta czy hasła do bankowości internetowej, danych karty płatniczej (numer karty, CVV, data ważności). Przestępca może również żądać potwierdzenia smsem autoryzacyjnym transakcji wykonanej na wcześniej wyłudzonych danych bądź podania kodu autoryzacyjnego.

Połączenia telefoniczne wykorzystywane w ataku często posiadają cechy połączenia przychodzącego z zaufanego źródła. Przestępca wykorzystując tzw. „spoofing”, podszywa się pod osobę lub instytucję zaufaną, a na telefonie wyświetlany jest inny numer niż ten, z którego faktycznie następuje połączenie, np. numer Banku.

Również często stosowaną metodą jest SMS uprzedzający kontakt telefoniczny. Zawarte w nim informacje (takie jak nazwa czy imię i nazwisko „pracownika” zaufanej instytucji) mają w atakowanym wzbudzić zaufanie do następującego po nim kontaktu telefonicznego.

Jak się chronić?

Jeżeli podawana przyczyna kontaktu telefonicznego z jakiegokolwiek powodu wydaje się nietypowa lub podejrzana, należy założyć, że jest to atak. W celu weryfikacji należy zadzwonić pod znany numer kontaktowy osoby lub organizacji, która się z nami kontaktuje (uwaga: nie należy korzystać z numeru telefonu podanego w trakcie rozmowy lub w uprzedzającej rozmowę wiadomości SMS). W przypadku rozmówcy podającego się za pracownika banku można skorzystać z opcji autoryzacji rozmówcy dostępnej w aplikacji mobilnej banku lub z ustanowionego wcześniej hasła.

O czym należy pamiętać?

• pracownik banku nigdy nie prosi o dane do logowania do bankowości internetowej (identyfikator, hasło),
• pracownik banku nigdy nie zasugeruje wypłaty środkó, wykonania przelewu na „konto bezpieczeństwa” lub na inne bezpieczne konto techniczne,
• pracownik nigdy nie prosi o podanie kodu BLIK;
• pracownik banku nigdy nie przesyła linku do dodatkowej aplikacji i nie wymaga od klienta jej zainstalowania,
• wszelkie problemy techniczne po stronie banku są rozwiązywane przez bank – bez żądania realizacji działań przez klienta,
• zawsze należy zwracać uwagę na treść SMS-ów i komunikatów z aplikacji mobilnej, które dostajesz – może z nich wynikać, że jesteś nakłaniany do akceptacji transakcji przygotowanej przez przestępcę.

Najlepszą ochroną jest zachowanie rozwagi i zdrowego rozsądku. Zweryfikuj rozmówcę zanim podasz jakiekolwiek informacje. Nie podawaj swojego identyfikatora i innych danych (np. danych osobowych, kartowych) bez upewnienia się co do tożsamości rozmówcy.

Przypominamy: W przypadku podejrzenia próby popełnienia przestępstwa, gdy masz podejrzenia dotyczące tożsamości osoby z którą rozmawiasz lub gdy przestępstwo zostało popełnione, niezwłocznie skontaktuj się z nami dzwoniąc na infolinię pod numer 19 502 oraz złóż stosowne zawiadomienie na Policję lub do prokuratury.

Phishing jest metodą oszustwa polegającą na podszywaniu się (przede wszystkim z wykorzystaniem poczty elektronicznej, SMS-ów, komunikatorów społecznościowych i stron internetowych) pod inną osobę, instytucję lub znaną markę. Stosowanie tego oszustwa ma na celu wyłudzenie określonych informacji, takich jak: numery oraz hasła PIN kart płatniczych, identyfikatory i hasła logowania do urzędów, banków, płatności internetowej czy też kodów BLIK.

Aby pozyskać poufne informacje przestępcy tworzą fałszywe strony internetowe (łudząco podobne do prawdziwych stron) i wysyłają komunikację zawierającą odnośniki do tych stron – z treścią nakłaniającą do wejścia na fałszywą stronę i podania danych. Zazwyczaj w treści komunikacji wykorzystywane są elementy socjotechniki (presja autorytetu i czasu), aby skłonić atakowanego do natychmiastowego i nieprzemyślanego podjęcia niekorzystnego działania.

W celu poprawy efektywności phishingu przestępcy prowadzą rozpoznanie ofiary, umożliwiające stworzenie ataku spersonalizowanego. Rozpoznanie polega na zebraniu danych (adres e-mail, numer telefonu, dane publikowane przez ofiarę i jej znajomych, rodzinę czy współpracowników) ogólnodostępnych na portalach społecznościowych czy forach wymiany informacji. Przestępcy wysyłają do odbiorców wiadomości opracowane tak, aby nawiązywały do realizowanego przez atakowanego działania (np. zakup towaru bądź usługi), lub by wyglądały na wysłane przez osobę lub firmę znaną atakowanemu.

Na co zwrócić uwagę?

Wykrycie ataku spersonalizowanego jest możliwe, jeśli wiemy na co zwrócić uwagę. Przed podjęciem jakichkolwiek wskazanych w komunikacji działań, należy sobie odpowiedzieć na następujące pytania:

1. Czy wiadomość wywołuje zwiększone poczucie pilności? Czy wywiera presję, aby ominąć obowiązujące zasady bezpieczeństwa? Czy jesteś przynaglany do działania, co może skutkować popełnieniem błędu? – im większa presja lub poczucie pilności, tym bardziej prawdopodobne, że jest to atak.
2. Czy komunikacja ma sens? Czy na pewno autor komunikacji pilnie wysłałby do Ciebie SMS-a z prośbą o pomoc? Czy bliska Ci osoba prosząc o pomoc ograniczyłaby się wyłącznie do komunikacji e-mailowej, SMS-owej lub przez portal społecznościowy? Dlaczego bank lub firma obsługująca karty kredytowe miałaby prosić o podanie danych, które powinna już posiadać, lub których przekazanie przez klienta nie jest uzasadnione? – jeśli komunikacja wydaje się dziwna lub masz jakiekolwiek wątpliwości, może to wskazywać na atak.
3. Czy wymagane przez autora komunikacji działanie jest działaniem standardowym lub dotychczas stosowanym? Czy jesteś proszony o instalację oprogramowania z innych źródeł niż oficjalne (np. sklep Google Play lub App Store)?
4. Czy w komunikacji jesteś proszony o podanie kodu BLIK, weryfikację identyfikatora, hasła, danych osobowych lub danych kart płatniczych?
5. Czy otrzymujesz komunikację związaną z pracą od współpracownika lub przełożonego, ale wiadomość została wysłana na prywatny adres e-mail?
6. Czy otrzymałeś komunikację od kogoś, kogo znasz, ale sformułowanie, sposób przekazania informacji lub podpis w wiadomości są niewłaściwe lub nietypowe?
7. Czy jesteś proszony o kliknięcie w zawarty w komunikacji link, baner lub otwarcie załącznika? Poniżej przykład komunikacji (przedstawiony w komunikacie CSIRT NASK z maja br.)

Jak się chronić?

Jeśli komunikacja z jakiegokolwiek powodu wydaje się dziwna lub podejrzana, należy założyć, że jest to atak. Jedną z możliwości sprawdzenia czy komunikacja jest prawdziwa, jest zadzwonienie pod znany numer kontaktowy osoby lub organizacji wysyłającej komunikację (uwaga: nie należy korzystać z podanego w komunikacji numeru telefonu lub z opcji „odpowiedz” w poczcie).

Pamiętaj, że to Ty jesteś dla siebie najlepszą ochroną. Zdrowy rozsądek to podstawowa linia obrony. Dokładnie weryfikuj adres witryny WWW zanim się na niej zalogujesz. Nie podawaj swojego identyfikatora, hasła i innych danych (nr. telefonu, danych osobowych) na podejrzanych stronach internetowych. Nie podawaj kodów BLIK. Nie wypłacaj środków z konta ani nie wykonuj przelewów na polecenie oszusta podającego się za osobę godną zaufania. Zawsze weryfikuj drugą stronę kontaktu.

Przypominamy: W przypadku wątpliwości dotyczących tożsamości osoby która się z Tobą komunikuje, podejrzenia próby popełnienia przestępstwa lub gdy przestępstwo zostało popełnione, niezwłocznie skontaktuj się z nami dzwoniąc na infolinię pod numer 19 502 oraz złóż stosowne zawiadomienie na Policję lub do prokuratury.

W aktualnie trwającej kampanii przestępcy informują o tym, że ktoś przesłał nam przelew i nakłaniają do kliknięcia w fałszywy link, aby odebrać przelane środki.

Charakterystyczne w tym oszustwie jest to, że przestępcy podrobili nazwę nadawcy, co może wprowadzać w błąd.

Treść wiadomości może wyglądać następująco:

Ktos wyslal przelew 300 zl na twoj numer, odbierz teraz: httpx://tinyurl.com/jo6n1a819/

Pod dołączonym do wiadomości linkiem znajduje się fałszywa strona, która przypomina bramkę płatności. Jej zadaniem jest wyłudzenie informacji.

Kiedy dostajemy takie wiadomości, warto zwrócić uwagę na:

1. pisownię - w tym przypadku brak polski znaków diakrytycznych,
2. nazwę domeny w linku - nie jest to domena operatora płatności online. Ich lista znajduje się na stronie BLIKA,
3. treść wiadomości – BLIK nigdy nie wysyła takich wiadomości.

Nawet jeżeli kliknąłeś w link, to dopóki nie podasz danych, nie ma negatywnych konsekwencji Twojego działania. Jeśli jednak podałeś dane na fałszywej stronie, to niezwłocznie skontaktuj się z bankiem.

Dodatkowe informacje dotyczące bezpieczeństwa są dostępne na stronie głównej banku w zakładce Bezpieczeństwo.

W przypadku podejrzenia próby popełnienia przestępstwa, lub gdy przestępstwo zostało popełnione, niezwłocznie skontaktuj się z nami, dzwoniąc na infolinię pod numer 19 502 oraz złóż stosowne zawiadomienie na Policję lub do prokuratury.

Obserwujemy wzrost aktywności kampanii przestępczej z wykorzystaniem złośliwego oprogramowania (HookBot) na smartfony.

Ofiara jest proszona o pobranie i zainstalowanie aplikacji (z podanego przez przestępców źródła) - podszywającej się pod inne oprogramowanie, np. przeglądarkę Google Chrome. Złośliwa aplikacja żąda szeregu uprawnień (np. do wysyłania SMS-ów, kontaktów) a po jej uruchomieniu prosi o wrażliwe dane (m.in. o login, hasło, numer PESEL, nazwisko panieńskie matki, kod PIN).

Po pozyskaniu wyżej wymienionych danych, przestępcy mogą uzyskać dostęp do kont klientów i zgromadzonych na nich środkach.

Przypominamy zasady bezpiecznego korzystania z bankowości na urządzeniach mobilnych:

• Nie instaluj oprogramowania z niezaufanych źródeł. Instaluj wyłącznie programy pobrane z oficjalnych, udostępnionych przez producentów systemu, sklepów z aplikacjami (Google Play, Apple App Store),
• Pamiętaj, że w wiadomościach SMS Alior Bank nigdy nie przesyła linków służących do pobrania aplikacji na urządzenia mobilne,
• Jeśli korzystasz z aplikacji na urządzeniu z obsługą biometrii i włączyłeś logowanie za pomocą odcisku palca, pamiętaj, żeby zweryfikować, czyje odciski palca są dodane do urządzenia jako zaufane. Zgodnie z regulaminem, odciski palca mogą należeć tylko do posiadacza konta,
• Zwracaj szczególną uwagę na uprawnienia, jakich wymaga instalowana aplikacja (w szczególności Twoje podejrzenia powinien wzbudzić dostęp do SMS-ów, wykonywania połączeń oraz wymaganie praw administracyjnych na urządzeniu),
• Upewnij się, że na swoim urządzeniu mobilnym posiadasz najnowszą wersję systemu operacyjnego dostarczanego przez producenta i pamiętaj, aby regularnie go aktualizować,
• W przypadku systemu Android, bank wymaga wyłączenia opcji „Zezwalaj na instalację aplikacji ze źródeł innych niż sklep Play” – bank nigdy nie poprosi Cię o jej włączenie,
• Nie udostępniaj swojego urządzenia osobom trzecim,
• Zabezpiecz dostęp do swojego urządzenia trudnym do odgadnięcia kodem, hasłem, gestem lub poprzez wykorzystanie biometrii (skan linii papilarnych, rozpoznawanie twarzy itp.),
• Pamiętaj, że Twoje urządzenie mobilne to klucz do Twojego konta! Jego utrata lub przejęcie przez przestępców może skutkować przejęciem konta bankowego, a w rezultacie utratą środków,
• Nie korzystaj z otwartych lub podejrzanych sieci Wi-Fi, które mogą być kontrolowane przez przestępców i wykorzystywane np. do przejęcia kontroli nad połączeniem z Twojego telefonu do systemów bankowości elektronicznej.

Złośliwe aplikacje potrafią podszywać się pod strony banków pozyskując w ten sposób login i hasło użytkownika, a także SMS-y z kodami jednorazowymi, które są następnie wysyłane do przestępców. Podszywają się najczęściej pod niegroźne oprogramowanie, a jednym z elementów, który powinien zwrócić Twoją uwagę są uprawnienia wymagane przez aplikację (np. aplikacja typu „latarka” wymaga dostępu do wiadomości SMS i do Internetu).

W ostatnim czasie ponownie obserwujemy wzrost aktywności przestępców podszywających się pod pracowników banków podczas połączeń telefonicznych. Przestępca wykonując do Ciebie połączenie potrafi podszyć się pod prawdziwy numer banku - z tego powodu w połączeniu przychodzącym na Twoim telefonie może wyświetlać się fałszywie numer infolinii banku.

Atak przebiega w trzech etapach:
 

1. Uwiarygodnienie wobec atakowanego – na tym etapie przestępcy wprowadzają atakowanego w błąd poprzez:
   • wykorzystanie luki sieci komórkowej, która w połączeniu przychodzącym umożliwia wyświetlenie numeru infolinii banku na Twoim telefonie,
   • przedstawienie się jako pracownik banku i proponowanie przesłania „legitymacji pracowniczej” – często za pośrednictwem komunikatora.
2. Wskazanie celu kontaktu – przestępcy informują atakowanego o:
   • nieuprawnionych transakcjach na rachunku,
   • przejęciu danych logowania przez złodziei (np. w systemach banku stwierdzono logowanie z innego rejonu świata),
   • uruchomieniu kredytu.
3. Skierowanie żądania do ofiary ataku – korzystając ze zbudowanego zaufania przestępcy proszą o:
   • przekazanie kodu BLIK, np. w celu „weryfikacji” konta, lub
   • instalację programu do zdalnego dostępu na urządzeniu, aby rzekomo pomóc w zabezpieczeniu środków, lub
   • wejście na przesłaną w wiadomości SMS stronę internetową w celu zweryfikowania danych logowania – oczywiście wskazana strona nie należy do banku, a jedynie ją udaje.

Przestępcy proponują także założenie nowego rachunku technicznego oraz przelanie tam pozostałych środków z konta. W celu skuteczniejszego podszycia się pod pracowników banku przesyłają na podany adres e-mail bardzo dobrze sfałszowaną umowę rachunku osobistego.
Konto z fałszywej umowy należy do oszustów i przelanie środków na takie konto może skutkować ich całkowitą utratą.
Aby wywrzeć dodatkową presję na ofiarę przestępcy wskazują, że brak współpracy i szybkiej realizacji ich żądań będzie skutkował konsekwencjami prawnymi lub finansowymi.

Aby nie paść ofiarą przestępstwa należy pamiętać, że:

1. Wyświetlenie w Twoim telefonie numeru infolinii podczas połączenia przychodzącego nie jest gwarancją, że dzwoni do Ciebie przedstawiciel banku.
2. Bank nigdy samodzielnie nie zakłada rachunków/uruchamia kredytu bez oświadczenia woli klienta.
3. Konsultant infolinii nigdy nie prosi o instalowanie dodatkowego oprogramowania (w celu „zabezpieczenia telefonu”, lub „przeskanowania systemu”).
4. Bank nigdy nie prosi o:
   • przekazywanie kodów BLIK,
   • realizację przelewu,
   • wejście na stronę banku w celu weryfikacji identyfikatora i hasła.
5. Trzeba zwracać uwagę na zawartość wiadomości SMS i nigdy nie korzystać z aktywnych linków umieszczonych w wiadomościach e-mail lub SMS.

Zawsze sprawdzaj, czy rozmawiasz rzeczywiście z pracownikiem banku!

Każdorazowo podczas rozmowy, prawdziwy pracownik naszej infolinii może wysłać do Ciebie wiadomość PUSH do Twojej aplikacji mobilnej Alior Mobile lub podać Ci Twoje indywidualne hasło do weryfikacji zwrotnej (o ile zostało przez Ciebie zdefiniowane), co pozwoli Ci zweryfikować tożsamość rozmówcy.

Jeśli masz jakiekolwiek wątpliwości dotyczące rozmowy, którą prowadzisz z osobą podającą się za pracownika banku, rozłącz się i natychmiast zadzwoń na infolinię banku, samodzielnie wybierając numer 19 502.

Zbliżający się czas Świąt Bożego Narodzenia to czas przygotowań, podczas którego mogą nam towarzyszyć: zakupowy szał, pośpiech i roztargnienie. Te okoliczności sprzyjają działalności przestępców, którzy korzystając z naszej nieuwagi mogą próbowali skusić nas „cenowymi promocjami” lub używając manipulacji będą chcieli pozyskać od nas poufne dane - przy użyciu których dokonają transakcji „w naszym imieniu”.

Podczas robienia zakupów szczególnie uważaj na:

• Oszukańcze witryny sklepowe podszywające się pod legalnie działających przedsiębiorców.
• Fałszywe sklepy internetowe, które proponują atrakcyjny towar po jeszcze bardziej atrakcyjnej cenie. Oczywiście oferowanego towaru nie posiadają, a zakup prowadzi jedynie do strat finansowych nabywcy.
• Oszukańcze strony operatorów płatności służące przestępcom do pozyskiwania poufnych danych, wykorzystywanych później do „wyczyszczenia” konta lub zaciągnięcia kredytu.

W okresie przedświątecznym rekomendujemy zachowanie najwyższej ostrożności oraz stosowanie kilku ważnych zasad.

Przed zakupem:

• Zweryfikuj sprzedawcę w niezależnych źródłach informacji (np. w ogólnodostępnych rejestrach). Sprawdź czy:
  • podane są prawdziwe dane rejestrowe (REGON, NIP i KRS),
  • adres siedziby sklepu istnieje i czy jest widoczny na mapach internetowych,
  • na podany numer telefonu można się dodzwonić i sprzedawca chętnie rozmawia na temat oferty.
• Zwróć uwagę na historię sklepu:
  • od jak dawna sklep działa na rynku,
  • od jak dawna i z jaką intensywnością wystawiane są opinie dotyczące sklepu.
• Szczególną uwagę poświęć analizie negatywnych opinii, gdyż te mogą być bardziej miarodajnym źródłem informacji niż pozytywne opinie i komentarze innych klientów na temat:
  • sklepu, bądź sprzedającego,
  • oferowanego produktu,
  • procesu realizacji transakcji/reklamacji/zwrotu.

W trakcie zakupu:

• Pamiętaj, że bardziej wiarygodny sklep to ten, w którym masz możliwość:
  • osobistego odbioru zamówienia,
  • uiszczenia płatności w momencie dostarczenia towaru (np. podczas odbioru od kuriera),
  • odroczenia momentu finalizacji płatności na rzecz sprzedającego do czasu potwierdzania dostarczenia towaru zgodnego z zamówieniem.
• Unikaj sklepów z tylko jedną formą płatności.
• Miej na uwadze, że zarówno symbol kłódki jak i „https” przy adresie strony internetowej sklepu nie gwarantują bezpieczeństwa transakcji.
• Przekazuj tylko te dane, które są niezbędne do przeprowadzenia płatności i dostawy towaru lub usługi.

Podczas płatności:

• Nigdy nie zgadzaj się na niestandardowe czynności takie jak:
  • instalacja dodatkowego oprogramowania, które jest „rzekomo” wymagane z uwagi na tzw. „bezpieczeństwo płatności”, lub które umożliwi udzielenie ci zdalnego wsparcia,
  • podanie danych do logowania do bankowości internetowej lub mobilnej.
• Nigdy nie korzystaj z linków do płatności otrzymanych w wiadomościach SMS, w e-mailach lub poprzez czat.
• Wybieraj platformę e-commerce lub dostawcę usługi płatniczej, który zaoferuje ci ochronę, w przypadku, kiedy towar lub usługa nie zostanie dostarczona lub jakość jego będzie odbiegała od zadeklarowanej w ofercie.
• Sprawdź, czy znajdujesz się na prawdziwej stronie agenta rozliczeniowego (czy nazwa domeny jest prawidłowa i ma ważny certyfikat) – w przypadku jakichkolwiek wątpliwości przerwij transakcję i skontaktuj się ze sklepem.
• Sprawdź, czy po wybraniu banku na stronie operatora płatności, zostałeś przekierowany na stronę w domenie aliorbank.pl.
• Jeśli zauważysz zmiany w wyglądzie strony internetowej swojego banku lub niestandardowe jej zachowanie, wstrzymaj realizację dyspozycji i niezwłocznie skontaktuj się z nami.
• Obserwuj czy podczas przeprowadzania transakcji nie pojawia się błąd płatności, a w następnym kroku pojawia się inny link do jej ponowienia, który będzie linkiem do podstawionej przez oszustów strony integratora płatności służącej do wyłudzenia poufnych danych.
• Dokładnie czytaj treść otrzymanej z banku wiadomości SMS lub komunikatu PUSH podczas zatwierdzania transakcji.
• Jeżeli otrzymujesz automatyczne połączenie z banku – dokładnie go wysłuchaj i zweryfikuj, czy lektor opisuje operację, którą właśnie zlecasz.
• Zawsze upewnij się, że zgadza się numer konta, kwota oraz rodzaj składanej dyspozycji – w przypadku zakupów powinien to być przelew, a nie np. założenie szablonu zaufanego.

W przypadku podejrzenia próby popełnienia przestępstwa, lub gdy przestępstwo to zostało popełnione, niezwłocznie skontaktuj się z nami, dzwoniąc na infolinię pod numer 19 502 oraz złóż stosowne zawiadomienie na Policję lub do prokuratury.

Zachęcamy do śledzenia informacji o nowych zagrożeniach na stronie internetowej Alior Banku!

Życzymy udanych zakupów i spokojnych świąt!

W ostatnim czasie zaobserwowaliśmy próbę podszycia się pod stronę internetową Alior Banku.

Przypominamy, że cyberprzestępcy co jakiś czas próbują podszywać się pod strony banków. Wykorzystując element zaskoczenia, wprowadzają w błąd klientów, aby pozyskać ich dane, które później mogą pomóc w uzyskaniu dostępu do środków pieniężnych zgromadzonych na kontach.

Pamiętaj:

• zawsze sprawdzaj czy znajdujesz się na właściwej stronie,
• zwracaj uwagę na treści znajdujące się na stronie,
• nie otwieraj załączników ani nie używaj odnośników z podejrzanych e-maili,
• jeśli dostajesz link do strony, przed kliknięciem zweryfikuj, dokąd prowadzi,
• nie podawaj danych wrażliwych na niezaufanych stronach.

Dowiedz się więcej na temat bezpiecznego logowania do systemu bankowości internetowej.

Poniżej prezentujemy przykładowy wygląd fałszywej strony:




Szkodliwa domena została umieszczona na liście ostrzeżeń CERT Polska, podejmujemy także inne działania zmierzające do jej zablokowania.

W celu zwiększenia poziomu wiedzy na temat jak rozpoznawać phishing i nie dać się złowić, odwiedź naszą stronę phishingstop.aliorbank.pl.

W ostatnim czasie ponownie obserwujemy wzrost aktywności przestępców podszywających się telefonicznie pod pracowników banków. Wykorzystują oni lukę sieci komórkowej, która w połączeniu przychodzącym umożliwia wyświetlenie numeru infolinii banku na Twoim telefonie.

Przestępcy podają się za pracowników banku, i aby uwiarygodnić swoje późniejsze żądania proponują przesłanie „legitymacji pracowniczych”, często za pośrednictwem różnych komunikatorów. Następnie informują o nieuprawnionych transakcjach na rachunku, czy przejęciu danych logowania przez złodziei (np. logowaniu z innego rejonu świata), lub uruchomieniu kredytu. Czasem wywierają nacisk argumentując, że brak szybkiej współpracy będzie skutkował konsekwencjami prawnymi lub finansowymi.

Oszuści mogą prosić o przekazanie kodu BLIK, np. w celu „weryfikacji” konta, lub proszą o instalację programu do zdalnego dostępu na urządzeniu, aby rzekomo pomóc w zabezpieczeniu środków. Przestępcy proponują także założenie nowego rachunku technicznego oraz przelanie tam pozostałych środków z konta. W celu skuteczniejszego podszycia się pod pracowników banku przesyłają na podany adres e-mailowy bardzo dobrze sfałszowaną umowę rachunku osobistego.

Konto z fałszywej umowy należy do oszustów i przelanie środków na takie konto może skutkować ich całkowitą utratą.

Pamiętaj:

• Wyświetlenie w Twoim telefonie numeru infolinii podczas przychodzącego połączenia nie jest gwarancją, że dzwoni do Ciebie przedstawiciel banku.
• Bank nigdy nie zakłada samodzielnie rachunków bez oświadczenia woli klienta.
• Konsultant infolinii nie prosi o instalowanie dodatkowego oprogramowania (w celu „zabezpieczenia telefonu”, lub „przeskanowania systemu”).
• Bank nie prosi o przekazywanie kodów BLIK, ani o wykonanie przelewu.
• Zachęcamy do ustawienia hasła zwrotnego, które służy do weryfikacji pracownika banku

Jeśli masz jakiekolwiek wątpliwości dotyczące rozmowy, którą prowadzisz z osobą podającą się za pracownika banku, rozłącz się i natychmiast zadzwoń na infolinię banku, samodzielnie wybierając numer 19 502.

W ostatnim czasie, coraz częściej  spotykamy się z fałszywymi reklamami występującymi w internecie. Metoda tego oszustwa jest znana, od jakiegoś czasu, lecz ostatnio zauważyliśmy wzmożoną aktywność przestępców, wykorzystujących ten mechanizm w swoich działaniach. Poniżej przedstawiamy najpopularniejsze warianty oszustwa z wykorzystaniem reklam. Wskazujemy również na dobre praktyki pozwalające na bezpieczne funkcjonowanie w sieci i uchronienie się przed cyberprzestępcami.

Fałszywe inwestycje
Jednym z najczęściej występujących wariantów oszustwa są reklamy, które podszywają się pod znane, zaufane spółki, oferując niewyobrażalne zyski na inwestycjach.
Przykładem może być wykupienie reklamy w Internecie przez cyberprzestępców. Użytkownikowi zainteresowanemu inwestycjami, jako pierwsza w wyszukiwarce internetowej pojawi się reklama, która przekieruje na stronę oferującą fałszywe inwestycje.

Fałszywe strony banków
Przestępcy wykorzystując tę metodę celują również w klientów polskich banków. Wykorzystując mechanizm pozycjonowania, oszuści tworzą fałszywe strony banków, które pojawiają się wysoko lub nawet na pierwszym miejscu w wynikach wyszukiwania przeglądarki w postaci reklamy. Dzięki temu użytkownikowi, który wyszukuje nazwę banku w przeglądarce wyświetlany jest fałszywy serwis. Wejście w link prowadzi na fałszywą stronę wyłudzającą dane logowania do bankowości elektronicznej.

Co zrobić, aby nie paść ofiarą takiego oszustwa?
Najlepszym sposobem w walce z tego typu oszustwami jest samodzielne wpisanie adresu strony internetowej, na którą chcemy wejść, w miejscu  paska adresu, oraz dokładne weryfikowanie adresu strony internetowej, na której się znajdujemy. Dzięki temu będziemy mieć pewność, że znajdujemy się na właściwej stronie.
Przestępcy stosują coraz to nowe techniki, wykorzystując nieuwagę użytkowników. Na przykład adres strony internetowej może zawierać zmiany niewidoczne na pierwszy rzut oka, tj. drobne literówki, czy znaki pochodzące z innych alfabetów. Dobrą praktyką może okazać się ż dodanie adresu strony banku do zakładek i korzystanie z niej, w każdym przypadku, odwiedzin strony naszego banku.

Uwagę należy zwrócić na pojawiający się przy wyniku wyszukiwania napis „reklama”, gdyż wejście w link może prowadzić na niebezpieczną stronę.

Należy pamiętać o zweryfikowaniu ustawionych limitów transakcji, a także zachowaniu szczególnej ostrożności w podawaniu swoich danych personalnych w Internecie. Zawsze należy dokładnie czytać treści wiadomości SMS i powiadomień w aplikacji mobilnej,  z opisem wykonywanej transakcji. To z pewnością pozwoli na uchronienie się przed działaniami przestępców.

źródło: knf.gov.pl

 

W ostatnim czasie obserwujemy kolejne modyfikacje sposobu działania przestępców podszywających się telefonicznie pod pracowników banków. Wykorzystują lukę sieci komórkowej, która w połączeniu przychodzącym umożliwia wyświetlenie numeru infolinii banku na Twoim telefonie.

Przestępcy podają się za pracowników działu bezpieczeństwa, i aby uwiarygodnić swoje późniejsze żądania proponują przesłanie „legitymacji pracowniczych”, często za pośrednictwem różnych komunikatorów. Następnie informują o nieuprawnionych transakcjach na rachunku, czy przejęciu danych logowania przez złodziei (np. logowaniu z innego rejonu świata), lub uruchomieniu kredytu. Czasem wywierają nacisk argumentując, że brak szybkiej współpracy będzie skutkował konsekwencjami prawnymi lub finansowymi.

Oszuści mogą prosić o przekazanie kodu BLIK, np. w celu „weryfikacji” konta, lub proszą o instalację programu do zdalnego dostępu na urządzeniu, aby rzekomo pomóc w zabezpieczeniu środków.

Przestępcy proponują także założenie nowego rachunku technicznego oraz przelanie tam pozostałych środków z konta. W celu skuteczniejszego podszycia się pod pracowników banku przesyłają na podany adres e-mailowy bardzo dobrze sfałszowaną umowę rachunku osobistego.

Konto z fałszywej umowy należy do oszustów i przelanie środków na takie konto może skutkować ich całkowitą utratą.

Pamiętaj:

• Wyświetlenie w Twoim telefonie numeru infolinii podczas przychodzącego połączenia nie jest gwarancją, że dzwoni do Ciebie przedstawiciel banku.
• Bank nigdy nie zakłada samodzielnie rachunków bez oświadczenia woli klienta.
• Konsultant infolinii nie prosi o instalowanie dodatkowego oprogramowania (w celu „zabezpieczenia telefonu”, lub „przeskanowania systemu”).
• Bank nie prosi o przekazywanie kodów BLIK, ani o wykonanie przelewu.
• Zachęcamy do ustawienia hasła zwrotnego, które służy do weryfikacji pracownika banku

Jeśli masz jakiekolwiek wątpliwości dotyczące rozmowy, którą prowadzisz z osobą podającą się za pracownika banku, rozłącz się i natychmiast zadzwoń na infolinię banku, samodzielnie wybierając numer 19 502.

Sezon wakacyjny rozpocznie się już za chwilę. Rezerwując nocleg na prywatnych stronach z kwaterami, oficjalnych stronach hoteli lub portalach pośredniczących w rezerwacji pamiętaj o podstawowych zasadach bezpieczeństwa, aby nie dać się oszukać. Coraz częściej zdarzają się o oszustwa związane z fałszywymi ogłoszeniami – na przykład proponowane są atrakcyjne miejsca noclegowe, które, jak się później okazuje, nie istnieją, a oszuści przestają odpisywać na e-maile, odbierać telefon, i znikają wraz z naszymi pieniędzmi, które wpłaciliśmy jako zaliczkę. Standardowo hotele, ośrodki czy właściciele apartamentów wymagają wpłaty zaliczki w ramach rezerwacji noclegu. Aby uchronić się przed potencjalnym oszustwem, przed wysłaniem pieniędzy pamiętaj o kilku prostych krokach, które możesz wykonać aby zmniejszyć ryzyko:

• korzystaj ze sprawdzonych ofert, które są polecane przez członków rodziny bądź znajomych,
• sprawdź nazwę i adres ośrodka - możesz do tego celu wykorzystać również Mapy Google czy Street View, ale uwaga: zdjęcia mogą być nieaktualne,
• możesz również zweryfikować to miejsce w lokalnej organizacji turystycznej,
• zawsze warto zapoznać się z opiniami na temat ośrodka, hotelu czy apartamentu w internecie,
• bądź czujny, jeśli w ogłoszeniu nie ma podanego numeru telefonu lub jeśli ogłoszenie zostało dodane przez nowego użytkownika,
• podejrzenie powinien wzbudzić również adres e-mailowy założony w darmowym i powszechnie dostępnym serwisie,
• jeśli podano numer telefonu, porównaj go z tym dostępnym na oficjalnej stronie internetowej ośrodka,
• warto poszukać czy wybrana przez nas oferta znajduje się na lokalnej stronie WWW, gdzie znajdują się ogłoszenia z danej miejscowości,
• tam gdzie to tylko możliwe korzystaj z portali noclegowych, które pośredniczą w dokonywaniu rezerwacji,
• jeśli zdjęcia z ogłoszenia występują też w innych miejscach w internecie, to sprawdź czy opis, lokalizacja, cena i numer telefonu są spójne na wszystkich dostępnych stronach.

Przypominamy, że obecna sytuacja geopolityczna wiąże się z wysokim ryzykiem zagrożeń cybernetycznych. Każdy może stać się celem ataku – prosimy o zachowanie ostrożności!

Cyberprzestępcy stale podejmują różne działania, których celem może być kradzież danych, wyłudzenie środków finansowych czy szerzenie dezinformacji. Przed tymi zagrożeniami może nas uchronić odpowiedzialne korzystanie z sieci. Dlatego, gdy korzystamy z poczty elektronicznej, serwisów społecznościowych czy komunikatorów, musimy przestrzegać podstawowych zasad bezpieczeństwa. W szczególności pamiętajmy, że nasze konto pocztowe to zasób danych, które powinny być szczególnie chronione, gdyż często za jego pomocą zarządzamy dostępem do innych zasobów internetowych.

Zabezpieczaj swój sprzęt i informacje chronione.

• Zawsze blokuj [ÿ+L] lub wyłączaj swój komputer, aby inni nie mieli do niego dostępu.
  Nikomu nie przekazuj swoich loginów i haseł.
• Zwracaj uwagę, aby osoby postronne i nieupoważnione nie mogły podejrzeć informacji chronionych z ekranu Twojego komputera czy smartfona.
• Wyłączaj komputer, gdy przemieszczasz się z nim i gdy kończysz swoją pracę (np. na noc).
• Nie zostawiaj służbowych dokumentów i przedmiotów wartościowych, w tym sprzętu i urządzeń bez nadzoru, np. w samochodzie, przedziale pociągu lub innym miejscu publicznym.

Prywatność i cyfrowy ślad

• Chroń swoją prywatność. W serwisach społecznościowych rozważnie zamieszczaj informacje o sobie i swojej pracy, ponieważ niektóre mogą być cenne dla cyberprzestępców. Uczuł na to również swoich bliskich.
• Na podstawie danych, które pojawią się w sieci, np. o Tobie i Twoich bliskich, w tym zdjęć czy śladów GPS z aplikacji sportowych, można stworzyć Twój profil i z sukcesem zidentyfikować Twoje dane osobowe – np. adres zamieszkania.
• Dodawaj do listy znajomych w mediach społecznościowych wyłącznie osoby, które rzeczywiście znasz i którym ufasz.

Bezpieczne logowanie

• Stosuj długie i unikalne hasła – inne dla każdego serwisu i dla każdej tożsamości prywatnej i służbowej. Trzymaj hasła w tajemnicy, nigdzie ich nie zapisuj i nie przekazuj nikomu, w żadnej formie. Nie zapisuj haseł w przeglądarce internetowej.
• Tam, gdzie to tylko możliwe, stosuj dodatkowe mechanizmy weryfikacji, oprócz hasła (czyli tzw. uwierzytelnianie dwuskładnikowe), np. aplikację lub generator kodów.
• Ograniczaj możliwość podejrzenia Twoich danych logowania przez osoby trzecie, np. w środkach komunikacji i innych miejscach publicznych, czy przez kamery monitoringu.

Bezpieczny sprzęt i połączenie

• Nie podłączaj swojego sprzętu do jakichkolwiek niezaufanych urządzeń – np. przez port USB czy HDMI, ponieważ w ten sposób można nieświadomie zainstalować złośliwe oprogramowanie. Nie używaj nośników otrzymanych na konferencjach, od osób trzecich oraz pochodzących z nieznanych źródeł (np. znalezionych).
• Chroń komputery i inne urządzenia w swojej sieci domowej – za ich pośrednictwem także może dojść do ataku na Twój sprzęt. Korzystaj z antywirusa i firewalla oraz regularnie je aktualizuj.
• Gdy pracujesz na komputerze poza siecią domową, z internetem łącz się poprzez VPN. Unikaj niezabezpieczonych publicznych sieci Wi-Fi.
• Chroń swoje urządzenia mobilne, zabezpieczaj je silnymi PIN-ami lub używaj biometrii. Instaluj oprogramowanie tylko z oficjalnych sklepów z aplikacjami, korzystaj z funkcji antykradzieżowych.

Uwaga na phishing
…czyli wiadomości, w których oszust, podszywający się pod zaufany podmiot lub osobę, próbuje wyłudzić informacje (np. dane logowania).

• Uważaj na linki i załączniki przesyłane w wiadomościach, zwłaszcza te, których nie oczekiwałeś. Nie otwieraj ich bez zweryfikowania bezpieczeństwa ich zawartości.
• Przed wpisaniem loginu i hasła sprawdź adres strony, na której się znajdujesz. Uważaj na literówki i złudne podobieństwa do właściwych serwisów.
• Zwracaj uwagę na wiadomości (e-mail, SMS, w komunikatorze), które wymagają zalogowania się do serwisu lub pobrania dodatkowej aplikacji poprzez przesłany link. Rozważnie podchodź też do próśb o przesłanie pieniędzy lub kodów do płatności mobilnych.
•  Przestępcy podejmują próby wyłudzania danych przez telefon, w których podają się np. za pracowników banków lub urzędów. Jeśli masz wątpliwości co do tożsamości swojego rozmówcy, zakończ rozmowę.

W razie wątpliwości, skontaktuj się z nami, dzwoniąc na infolinię pod numer 19 502.

Zachęcamy do śledzenia informacji o nowych zagrożeniach na stronie internetowej Alior Banku!

Kolejny raz obserwujemy dużą kampanię phishingową wykorzystywaną do dystrybucji złośliwego oprogramowania QakBot. W ramach kampanii rozsyłane są wiadomości e-mail z linkiem prowadzącym do pobrania złośliwego oprogramowania. Atakujący mogą również przejmować kontrolę nad serwerami pocztowymi legalnie działających na rynku organizacji i wykorzystywać te serwery do ataków na współpracujące z ww. firmami podmioty.

Wiadomości wysyłane są z adresów organizacji i mogą być próbą podszycia się pod adresy, z którymi wcześniej mogliśmy prowadzić normalną korespondencję biznesową.

W związku z tym zalecamy wzmożoną czujność.

Przestępcy mogą wysyłać wiadomości jako kontynuację rozmowy z wcześniejszej korespondencji prowadzonej z danym podmiotem, co dodatkowo może zmylić użytkownika.  W treści wiadomości może znajdować się krótka treść zachęcająca użytkownika do kliknięcia i pobrania zainfekowanego pliku z przesyłanego linku. Często bywa, że link prowadzi do zewnętrznego adresu, w dodatku plik jest zabezpieczony hasłem podanym w treści wiadomości, a wszystko po to aby zmylić program antywirusowy.

Przykład fałszywej wiadomości:



Niektóre złośliwe e-maile można łatwo rozpoznać po: błędach językowych, niewłaściwej obsłudze polskich znaków diakrytycznych i linkach do nieznanych domen. Aby ominąć wykrycie przez program antywirusowy, całość jest zabezpieczona hasłem podanym w treści wiadomości.

Pod wskazanymi linkami znajdują się pliki ZIP zawierające arkusze xls ze złośliwym oprogramowaniem. Po otrzymaniu podobnego e-maila zignoruj go i nie pobieraj złośliwego pliku.
 

Dbając o wygodę klientów, systematycznie rozwijamy bankowość internetową. Stale rozbudowujemy też systemy zabezpieczeń, aby  oferowane rozwiązania, szczególnie w kanałach zdalnych były w pełni bezpieczne w codziennym bankowaniu.

Bez wątpienia olbrzymi wpływ na bezpieczeństwo mają sami klienci. Dlatego tak ważna jest systematyczna edukacja oraz transparentne informowanie klientów o nowych metodach wykorzystywanych przez cyberprzestępców.

Obecnie przestępcy stosują trzy najpopularniejsze metody:

1. Rozsyłają fałszywe wiadomości e-mail, w których podszywają się pod instytucje finansowe. W treści wiadomości informują o braku zabezpieczeń konta i konieczności ich aktywowania przy pomocy adresu podanego w treści wiadomości. W rzeczywistości przesłany link prowadzi do fałszywej strony.
2. Zachęcają do zainstalowania aplikacji na urządzeniu mobilnym z systemem Android. Jest to nowy wariant złośliwego oprogramowania #FluBot, który imituje znaną aplikację do odtwarzania filmów. Po instalacji oszuści uzyskują dostęp do uprawnień, które umożliwią cyberatak.
3.  Podszywają się pod takie firmy jak: WizzAir, Polsat, AirBnB, zachęcając do zakupu akcji w atrakcyjnej cenie.

Za pomocą każdej z tych trzech metod oszuści mogą bezpośrednio lub pośrednio przejąć kontrolę nad kontem i ukraść zgromadzone na nim pieniądze.

Żeby bezpiecznie korzystać z bankowości internetowej należy bezwzględnie stosować zasadę ograniczonego zaufania. Przypominamy więc najważniejsze zasady bezpieczeństwa:

1. Dbaj o swoje dane wrażliwe (login i hasło, PESEL). Nie przekazuj ich osobom trzecim, zadbaj o to, by hasło było skomplikowane, nie wykorzystywane w innych miejscach.
2. Nie klikaj w linki ani załączniki w niespodziewanych wiadomościach! Nie podawaj swoich danych oraz nie instaluj dodatkowego oprogramowania.
3. Zawsze sprawdzaj czy znajdujesz się na właściwej stronie logowania. Adresy internetowe wpisuj ręcznie. Przy logowaniu zwracaj uwagę czy przeglądarka nie wyświetla ostrzeżeń związanych z certyfikatem bezpieczeństwa.
4. Zachowaj szczególną czujność w czasie rozmów telefonicznych.Oszuści podszywają się pod pracowników instytucji finansowych lub policję. W czasie rozmowy przekazują informację o niebezpiecznej aktywności na koncie bankowym. Proszą o przekazanie swoich danych (loginu, hasła), kodu BLIK  lub o zainstalowanie dodatkowej aplikacji (zdalnego dostępu). Jeśli nie masz pewności, z kim rozmawiasz - rozłącz się, a następnie samodzielnie skontaktuj z infolinią banku! Bank nigdy nie wymaga instalacji dodatkowego oprogramowania!
5. Jeśli jesteś proszony o przekazanie kodu BLIK przez bliską Ci osobę (szczególnie, jeśli prośba następuje poprzez portal społecznościowy), przed zatwierdzeniem dokładnie zapoznaj się z treścią komunikatu w aplikacji. Jeśli cokolwiek wzbudzi Twój niepokój - nie zatwierdzaj transakcji oraz zadzwoń do osoby proszącej o dokonanie przelewu. Być może jej konto zostało przejęte! 
6. Dbaj o bezpieczeństwo urządzeń, z których logujesz się do bankowości (mobilnej, internetowej). Upewnij się, że korzystasz z najnowszego i aktualnego oprogramowania.
7. Uważnie czytaj treść SMS-ów z kodami jednorazowymi. Przed potwierdzeniem operacji przeczytaj dokładnie całą wiadomość SMS. Bank nigdy nie poprosi Cię o potwierdzenie operacji, której samodzielnie nie zleciłeś.

Jak informują zewnętrzne media, pojawiła się nowa kampania phishingowa skierowana do polskich użytkowników internetu, korzystających z poczty e-mail. Tym razem przestępcy namawiają do pobrania i otwarcia faktury za usługę leasingu w jednym z banków, pod pretekstem wygenerowania nowego, indywidualnego rachunku bankowego do wpłat. Tekst wiadomości jest napisany poprawną polszczyzną, żeby nie wzbudzić podejrzeń u odbiorcy. Dodatkowo dystrybucja e-maili odbywa się przez wysyłkę na ogólne adresy mailowe firm takie: biuro@, sekretariat@, czy administracja@.

Załącznik w celu ominięcia ochrony antywirusowej został zabezpieczony hasłem, które podane jest w treści wiadomości.


Zadaniem złośliwego załącznika jest pobranie z sieci i zainstalowanie oprogramowania typu RAT (Remote Access Trojan), który umożliwi przestępcy zdalne połączenie z komputerem ofiary. W efekcie komputer może zostać wykorzystany do dowolnych działań, w tym do dalszej dystrybucji spamu, do szerzenia malware (złośliwego oprogramowanie) wewnątrz sieci czy do kradzieży danych (w tym do logowania do bankowości elektronicznej).

Malware jest wykrywany przez wbudowaną ochronę w Office365, co powoduje, że aplikacja usuwa podejrzane wiadomości do SPAMU.

Przypominamy, że należy zachować szczególną ostrożność jeśli wiadomość:

• pochodzi od nieznanego, podejrzanego nadawcy,
• został wysłany z domeny, która nie jest oficjalną domeną firmy,
• zawiera załącznik w formacie .exe, .vbs, .rar, .zip, .tar (w szczególności - załącznik spakowa-ny i zaszyfrowany, z hasłem przesłanym w treści e-maila), a nawet jako .pdf, .docx, .xslx (je-śli żąda włączenia makr) itp. ; lub w formacie podwójnym (np. .pdf.pdf)
• zawiera odnośniki prowadzące do nieznanych stron WWW,
• zawiera błędy językowe, literówki lub ma nieskładną treść,
• zawiera treść, której nie oczekiwałeś (np. fakturę, awizo, dokumentację),
• zawiera prośbę o podanie loginu, hasła, kodu jednorazowego lub jakichkolwiek innych da-nych wrażliwych.

Pamiętaj, nidgy nie udostępniaj nikomu danych do bankowości (login, hasło), szczególne na portalach społecznościowych.

Zachęcamy do śledzenia informacji o nowych zagrożeniach na stronie internetowej Alior Banku w zakładce: Bezpieczeństwo → Nowe zagrożenia.

Komunikat FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP oraz Komendy Głównej Policji z dnia 2 grudnia 2021 r.

Zbliżający się czas Świąt Bożego Narodzenia to nie tylko otwierany codziennie przez dzieci kalendarz adwentowy czy świąteczna kolacja z najbliższymi, to także czas przygotowań, podczas którego zakupowy szał, pośpiech i roztargnienie będą nam towarzyszyć.

Te okoliczności staną się idealne dla przestępców, którzy korzystając z naszej nieuwagi będą próbowali skusić nas na „tańsze zakupy” lub używając manipulacji pozyskają od nas dane poufne, przy użyciu których dokonają transakcji „w naszym imieniu”.

Dlatego powinniśmy szczególnie uważać na:

• oszukańcze witryny sklepowe podszywające się pod legalnie działających przedsiębiorców. Rolą ich jest wyłudzenie danych uwierzytelniających, które w dalszym kroku zostaną wykorzystane do bezprawnego logowania się do bankowości internetowej lub przeprowadzenia transakcji internetowej przy użyciu kart płatniczych.
• fałszywe sklepy internetowe, które proponują atrakcyjny towar po jeszcze bardziej atrakcyjnej cenie. Oczywiście towar, którego nie posiadają i w konsekwencji relacja taka prowadzi do strat finansowych klienta.

W czasie przedświątecznych porządków typujemy rzeczy, którym za pośrednictwem portali aukcyjnych oraz ogłoszeń w serwisach społecznościowych chcemy nadać drugie życie. Tu również może czaić się oszustwo i powinniśmy zachować czujność, by w przypływie euforii wynikającej ze sprzedaży rzeczy zalegających w szafach, nie ulec manipulacji i nie przekazać oszustom danych własnej karty płatniczej lub poufnych danych do logowania się w bankowości elektronicznej.

Zbliżający się Nowy Rok , to czas nowych wyzwań i składanych sobie obietnic, to czas w którym cześć osób podejmie decyzje o ograniczeniu wydatków i skupieniu się na oszczędzaniu i pomnażaniu pieniędzy dlatego ważne jest by zachować zdrowy rozsądek i nie ulec oszustom którzy tworzą przestępcze platformy inwestycyjne, publikują reklamy, które zachęcają do inwestycji poprzez nielegalne wykorzystanie tożsamości osoby znanych: sportowców, celebrytów, polityków, a w przypadku braku znajomości zasad inwestowania oferują swoją pomoc i doradztwo. Taka reklama to oszustwo, a zainwestowane środki nigdy nie wracają do klienta.

W okresie przedświątecznym rekomendujemy zachowanie najwyższej ostrożności oraz stosowanie kilku ważnych zasad:

• weryfikuj sprzedawcę/usługodawcę w niezależnych źródłach informacji, szczególną uwagę poświęć na analizę negatywnych opinii, gdyż te mogą być bardziej miarodajnym źródłem informacji niż pozytywne opinie na temat tego sprzedawcy/usługodawcy;
• czytaj uważnie regulamin sprzedawcy/usługodawcy oraz sprawdzaj, czy zostały podane jego dane kontaktowe, czy adres istnieje i czy jest widoczny na mapach internetowych;
• przekazuj tylko te dane, które są niezbędne do przeprowadzenia płatności i dostawy towaru lub usługi;
• obserwuj czy podczas przeprowadzania transakcji nie pojawia się błąd płatności, a w następnym kroku pojawia się inny link do jej ponowienia, który będzie linkiem do podstawionej przez oszustów strony integratora płatności służącej do wyłudzenia danych poufnych;
• wybieraj platformę e-commerce lub dostawcę usługi płatniczej, który zaoferuje Ci ochronę, w przypadku, kiedy towar lub usługa nie zostanie dostarczona lub jakość jego będzie odbiegała od zadeklarowanej w ofercie;
• nie zgadzaj się na inny kontakt do płatności niż ten oficjalny dostarczony przez integratora płatności (np. nie płać poza platformą do e-handlu przelewem na nr podany w sms lub w czacie);
• uważnie czytaj wiadomości otrzymywane z banku za pośrednictwem komunikatów sms lub aplikacji mobilnej;
• nie instaluj dodatkowego oprogramowania, które jest „rzekomo” wymagane z uwagi na tzw. „bezpieczeństwo płatności” lub które umożliwi udzielenie Ci zdalnego wsparcia;
• nie klikaj na linki przesłane w niespodziewanych wiadomościach e-mail lub SMS’ach;
• jeśli zauważysz zmiany w wyglądzie strony internetowej swojego banku lub niestandardowe zachowania wstrzymaj realizację dyspozycji i niezwłocznie skontaktuj się ze swoim bankiem za pośrednictwem infolinii;
• czytaj ostrzeżenia przekazywane przez banki, Policję i FinCERT.pl – BCC ZBP.

W przypadku podejrzenia próby popełnienia przestępstwa lub gdy przestępstwo to zostało popełnione niezwłocznie poinformuj o tym fakcie swój bank oraz złóż stosowne zawiadomienie na Policję lub do Prokuratury.

Życzymy udanych zakupów i spokojnych Świąt!

Obserwujemy nowe sposoby działania przestępców podszywających się telefonicznie pod pracowników banku. Wykorzystują oni lukę sieci komórkowej, która w połączeniu przychodzącym umożliwia im wyświetlenie numeru infolinii banku na Twoim telefonie.

Przestępcy podają się za pracowników działu bezpieczeństwa, aby uwiarygodnić swoje późniejsze żądania. Następnie informują o nieuprawnionych transakcjach na rachunku, przejęciu danych logowania przez złodziei (np. logowaniu z innego rejonu świata), lub uruchomieniu kredytu. Czasem wywierają nacisk argumentując, że brak szybkiej współpracy będzie skutkował konsekwencjami prawnymi lub finansowymi.

Oszuści proszą o przekazanie kodu BLIK, w celu „weryfikacji” konta, lub proszą o instalację programu do zdalnego dostępu na urządzeniu, aby rzekomo pomóc w zabezpieczeniu środków.

Przestępcy proponują także założenie nowego rachunku technicznego oraz przelania tam pozostałych środków z konta. W celu skuteczniejszego podszycia się pod pracowników banku przesyłają na podany adres e-mailowy bardzo dobrze sfałszowaną umowę rachunku osobistego, która może wyglądać podobnie do poniższej:


 
Konto z fałszywej umowy należy do oszustów i przelanie środków na takie konto może skutkować ich całkowitą utratą.

Pamiętaj:

• Połączenie z numeru infolinii nie jest gwarancją, że dzwoni do Ciebie przedstawiciel banku.
• Bank nigdy nie zakłada samodzielnie rachunków bez oświadczenia woli klienta.
• Konsultant infolinii nie prosi o instalowanie dodatkowego oprogramowania (w celu „zabezpieczenia telefonu”, lub „przeskanowania systemu”) .
• Bank nie prosi o przekazywanie kodów BLIK, ani o wykonanie przelewu.
• Zachęcamy do ustawienia hasła zwrotnego, które służy do weryfikacji pracownika banku: https://www.aliorbank.pl/dodatkowe-informacje/bezpieczenstwo/bezpieczenstwo-edukacja.html#bezpieczny-kontakt-z-bankiem

Jeśli masz jakiekolwiek wątpliwości dotyczące rozmowy, którą prowadzisz z osobą podającą się za pracownika banku, rozłącz się i natychmiast zadzwoń na infolinię banku, samodzielnie wybierając numer 19 502.



 

W ostatnich dniach ponownie obserwujemy wzrost aktywności przestępców, którzy dzwonią do klientów, podszywając się pod pracowników banku - połączenie wyświetla się jako prawdziwy numer infolinii Alior Banku. Wykorzystują oni lukę sieci komórkowej, która w połączeniu przychodzącym umożliwia im wyświetlenie dowolnego numeru na ekranie Twojego telefonu.

Podczas rozmowy najczęściej powołują się na względy bezpieczeństwa, wskazując potencjalne włamanie na konto lub wykonanie nietypowej transakcji. Zachęcają do szybkiej reakcji, która ma zapobiec utracie środków. W tym celu często nakłaniają do zainstalowania aplikacji, dzięki której przestępca będzie mógł kontrolować to co się dzieje na Twoim komputerze, a następnie prosi o weryfikację takiej płatności i zalogowanie się do bankowości internetowej. Wykorzystując element zaskoczenia rozmówcy, automatycznie uzyskują dostęp do konta i w konsekwencji wyprowadzenia z niego środków.

Przypominamy że:

• pracownicy Alior Banku, nigdy nie proszą o instalację dodatkowego oprogramowania na komputerach lub telefonach klientów,
• pracownicy Alior Banku, nigdy nie pytają o hasło do konta bankowego,
• jeśli posiadasz ustawione hasło zwrotne, to za każdym razem pytaj o nie osobę dzwoniącą, która podaje się za pracownika Alior Banku (nigdy sam nikomu go nie podawaj) - jeśli go nie zna, zakończ rozmowę i poinformuj bank o tym zdarzeniu,
• jeśli nie posiadasz hasła zwrotnego, ustaw je - w tym celu zadzwoń na infolinię i poproś o ustawienie wymyślonego przez siebie hasła, które pracownik banku będzie musiał Ci podać za każdym razem, kiedy do Ciebie zadzwoni i poprosisz o jego podanie,
• jeśli treść rozmowy wyda Ci się podejrzana i niecodzienna, rozłącz się i zadzwoń na infolinię banku w celu potwierdzenia prawdziwości takiej rozmowy,
• jeśli osoba dzwoniąca będzie wymagała od Ciebie podanie Twoich danych wrażliwych (loginu i hasła), instalację oprogramowania, podanie kodów BLIK lub kodów jednorazowych – nie podawaj takich danych, zakończ połączenie i od razu zadzwoń na infolinię banku.

Więcej informacji o haśle zwrotnym znajdziesz na stronie Bezpieczeństwo po stronie banku.

Jeśli masz jakiekolwiek wątpliwości dotyczące rozmowy, którą odbyłeś z osobą podającą się za pracownika banku, zadzwoń na infolinię pod numer 19 502.

 

W ostatnich dniach można było zaobserwować w mediach informację o spreparowanej przez cyberprzestępców stronie, która do złudzenia przypomina stronę logowania do bankowości Alior Online. Informujemy, że fałszywa strona została szybko zamknięta przy udziale zespołu CSIRT, dedykowanego w Banku do obsługi tego typu sytuacji.

Fałszywe strony banków czy pośredników płatności są często stosowaną przez cyberprzestępców metodą wyłudzania danych, dlatego przypominamy, że podczas logowania należy sprawdzić czy adres na stronie logowania jest poprawny (adres dla bankowości to https://system.aliorbank.pl/sign-in lub https://bn.aliorbank.pl/hades/do/Login dla użytkowników systemu Alior Online dla klientów biznesowych).

Dowiedz się więcej na temat bezpiecznego logowania.

Aby dowiedzieć się więcej na temat jak rozpoznawać phishing i nie dać się złowić odwiedź naszą stronę phishingstop.aliorbank.pl.

Sprzedajesz w sieci za pośrednictwem portali ogłoszeniowych?

Uważaj! Przestępcy czekają na Twoje ogłoszenia, następnie kontaktują się z Tobą i pod pretekstem kupna lub zapłaty za Twój przedmiot wysyłają linki w wiadomościach SMS/Whatsapp/Messenger lub e-mail, które prowadzą do fałszywych stron internetowych imitujących strony portali ogłoszeniowych lub firm kurierskich. Kupujący – oszust prosi Cię o podanie na fałszywej stronie Twoich danych karty oraz danych wrażliwych (np. hasło do bankowości, pesel), co ma być sposobem na odebranie płatności od niego za Twój przedmiot. W ten sposób przestępcy mogą pozyskać Twoje dane a następnie wykorzystać je, aby Cię okraść!

Pamiętaj:

• Nie podawaj swoich danych logowania, jeżeli nie znajdujesz się na stronie banku,  tym bardziej jeśli link dostałeś w wiadomości. Przed podaniem danych logowania zawsze sprawdź adres strony w pasku adresu przeglądarki, nigdy nie sugeruj się wyglądem strony ani zamieszczonym logo.
• Pamiętaj, że numer karty, kod zabezpieczający oraz data ważności to dane pozwalające dokonać obciążenia Twojego rachunku. Te dane nie są wymagane do odebrania środków.
• Nie podawaj kodu BLIK do „odbioru środków”. Kod BLIK służy tylko do obciążenia Twojego konta!
• Nie podawaj PIN-u do aplikacji mobilnej w innym miejscu (np. na stronie internetowej) niż w aplikacji Alior Mobile.
• Dokładnie czytaj kody SMS/komunikaty PUSH przesłane z banku, a gdy odbierasz automatyczne połączenie – zapoznaj się z komunikatem lektora. Te komunikaty zawsze są skierowane do Ciebie. Jeżeli w treści zauważysz operację, której nie zlecasz – nie wpisuj kodu!
• Nie klikaj w linki przesłane przez komunikatory/e-maile/SMS-y – zazwyczaj prowadzą one do fałszywych stron udających bank lub portal ogłoszeniowy, które mogą w rzeczywistości wyłudzić Twoje dane.

Jak może wyglądać przykładowe oszustwo?

Przestępca podaje się za potencjalnego kupującego przedmiot, który próbujesz sprzedać. Celem sfinalizowania transakcji proponuje on nową formę płatności - przesłanie środków (za Twój przedmiot) na Twoją kartę lub odbiór środków przez portal ogłoszeniowy. W tym celu podsyła fałszywy link, w którym sprzedający (czyli Ty) proszony jest o podanie pełnych danych karty, daty ważności, kodu zabezpieczającego , danych do logowania do Twojego konta oraz kodu SMS wysłanego z banku lub kodu, który przekazujemy telefonicznie dzwoniąc do Ciebie.

Jeżeli odbierając płatności od kupującego poprzez portal ogłoszeniowy, otrzymasz SMS z banku/ komunikat PUSH a w jego treści zauważysz słowa, wskazujące na aktywację Apple Pay/Google Pay, transakcję 3D Secure, lub aktywację aplikacji mobilnej nie przepisuj kodu SMS i natychmiast skontaktuj się z bankiem.

Jeżeli otrzymasz połączenie z banku, dokładnie wysłuchaj treści komunikatu! Telefonicznie przekazujemy tylko kod aktywujący nowe urządzenie, które łączy się z Twoim kontem. Nie przekazuj tego kodu nikomu, w przeciwnym wypadku możesz zezwolić niepowołanej osobie na dostęp do swojego konta.

W razie wątpliwości, skontaktuj się z nami, dzwoniąc na infolinię pod numer 19 502.

Obserwujemy aktywność przestępców polegającą na wysyłce internautom wiadomości e-mail podszywających się pod Alior Bank. Ich treść sugeruje, że jest to e-mail z potwierdzeniem transakcji zapłaty faktury za przelew wysłany z systemu bankowości internetowej Alior Banku.


 
Wiadomości zawierają dokument w formacie .pdf , w którym umieszczono obrazek „eFaktura” – pod nim zaszyte jest hiperłącze (link), za pomocą którego pobierane jest złośliwe oprogramowanie.

 

Informujemy, że Alior Bank nie jest nadawcą tych wiadomości, a pobranie oprogramowania z przesłanego linku może grozić kradzieżą loginu i hasła do bankowości, oraz utratą środków finansowych.
 
Przypominamy, że należy zachować szczególną ostrożność jeśli wiadomość:

• pochodzi od nieznanego, podejrzanego nadawcy,
• został wysłany z domeny, która nie jest oficjalną domeną firmy,
• zawiera załącznik w formacie .exe, .vbs, .rar, .zip, .tar (w szczególności - załącznik spakowany i zaszyfrowany, z hasłem przesłanym w treści e-maila), a nawet jako .pdf, .docx, .xslx (jeśli żąda włączenia makr) itp. ; lub w formacie podwójnym (np. .pdf.pdf)
• zawiera odnośniki prowadzące do nieznanych stron WWW,
• zawiera błędy językowe, literówki lub ma nieskładną treść,
• zawiera treść, której nie oczekiwałeś (np. fakturę, awizo, dokumentację),
• zawiera prośbę o podanie loginu, hasła, kodu jednorazowego lub jakichkolwiek innych danych wrażliwych.

Ponadto pamiętaj, że:

• Alior Bank nie wysyła linków do strony logowania w wiadomościach SMS oraz w wiadomościach e-mail. Nie loguj się do banku, lub innych serwisów poprzez odnośniki zawarte w wiadomościach e-mail i SMS.
• Należy zachować szczególną ostrożność jeśli wiadomość wymaga natychmiastowej reakcji lub jest nacechowana emocjonalnie i wymaga kliknięcia w załączony odnośnik.
• Bank nigdy nie prosi o zatwierdzenie kodem SMS operacji, których samodzielnie nie zleciłeś! Przed potwierdzeniem transakcji dokładnie przeczytaj treść całej wiadomości SMS lub powiadomienia PUSH. Sprawdź czy zlecałeś osobiście taką transakcję lub operację i porównaj czy jest ona zgodna ze złożoną przez Ciebie dyspozycją. W szczególności w przypadku autoryzowania przelewów lub tworzenia szablonów zweryfikuj, czy podana w wiadomości SMS kwota transakcji oraz numer konta odbiorcy są zgodne z wprowadzanymi przez Ciebie danymi.

Jeżeli chcesz poszerzyć swoją wiedzę o metodach obrony przed zagrożeniem związanym z phishingiem, zachęcamy do przejścia kursu PhishingStop, który Alior Bank przygotował dla swoich klientów.
 

Ostrzegamy przed działaniami oszustów podszywających się pod pracowników serwisów ogłoszeniowych. Nawiązują oni kontakt przez komunikator (np. WhatsApp) i oferują "pomoc" w odzyskaniu pieniędzy za przedmiot, który nie dotarł po zamówieniu. Jednocześnie wskazują, że do uchwycenia rzekomych przestępców wymagane jest podjęcie określonych działań. W tym celu przesyłają oni link do fałszywej strony z płatnościami (który ma posłużyć jako „przynęta na przestępców”), na której oszuści proszą o podanie danych karty płatniczej oraz wpisanie jednorazowego kodu z SMS.

Przypominamy, że jeśli ktokolwiek wymaga od Ciebie podania danych Twojej karty płatniczej lub danych służących do logowania do bankowości, oznacza to najprawdopodobniej próbę oszustwa. Nigdy nie przekazuj i nie przepisuj takich danych na stronie otrzymanej w linku przez e-mail/komunikator/SMS.

Jeśli masz jakiekolwiek wątpliwości, zadzwoń na infolinię pod numer 19 502 lub +48 12 370 70 00.

Aktualizacja informacji z 14.10.2020 roku:

Ponownie obserwujemy, że w ostatnich dniach przestępcy dzwonią do klientów podszywając się pod pracowników banku - połączenie wyświetla się jako prawdziwy numer infolinii Alior Banku (np. +48 12 370 7000, ale przestępcy mogą ustawić dowolny inny numer). Podczas rozmowy najczęściej powołują się na względy bezpieczeństwa, takie jak włamanie na konto i zachęcają do szybkiego podania swoich danych lub instalacji oprogramowania, które w rzeczywistości służy do kradzieży środków z konta.

Przypominamy:

• pracownicy Alior Banku, nigdy nie każą instalować żadnego dodatkowego oprogramowania na komputerach lub telefonach,
• pracownicy Alior Banku, nigdy nie pytają o hasło do konta bankowego,
• jeśli posiadasz ustawione hasło zwrotne, to za każdym razem pytaj o nie osobę dzwoniącą, która podaje się za pracownika Alior Banku (nigdy sam nikomu go nie podawaj) - jeśli go nie zna zakończ rozmowę i poinformuj bank o tym zdarzeniu,
• jeśli nie posiadasz hasła zwrotnego, ustaw je - w tym celu zadzwoń na infolinię i poproś o ustawienie wymyślonego przez Ciebie hasła, które pracownik banku będzie musiał Ci podać za każdym razem kiedy do Ciebie zadzwoni i poprosisz o jego podanie,
• jeśli treść rozmowy wyda Ci się podejrzana i niecodzienna, a osoba dzwoniąca będzie wymagała od Ciebie szybkiego podjęcia działań (np. podania Twoich danych, instalacji oprogramowania, podania kodów BLIK lub kodów jednorazowych) rozłącz się i zadzwoń na infolinię banku w celu potwierdzenia prawdziwości takiej rozmowy.

Więcej informacji o haśle zwrotnym znajdziesz na stronie Bezpieczeństwo po stronie banku.

Jeśli masz jakiekolwiek wątpliwości dotyczące rozmowy, którą odbyłeś z osobą podającą się za pracownika banku, zadzwoń na infolinię pod numer 19 502 lub +48 12 370 70 00.
 

Aktualizacja informacji z 18.12.2020 roku:

Zwracamy uwagę na nowy model działania przestępców na znanych portalach ogłoszeniowych. Przestępca podaje się za potencjalnego kupującego przedmiot, który próbujesz sprzedać. Celem sfinalizowania transakcji kupna sprzedaży proponuje nowe formy płatności - przesłanie środków (za Twój przedmiot) na Twoją kartę lub odbiór środków przez portal ogłoszeniowy. W tym celu podsyła fałszywy link, w którym sprzedający (czyli Ty) proszony jest o podanie pełnych danych karty, daty ważności, kodu zabezpieczającego oraz kodu SMS wysłanego z banku lub danych do logowania do Twojego konta.

Przed podaniem danych karty dokładnie zweryfikuj adres strony!
Bądź czujny! Pełne dane karty służą do dokonania obciążenia Twojego rachunku, a nie przesłania środków Twoją kartę.

Nie podawaj danych do logowania jeżeli nie znajdujesz się na stronie banku.
Nie podawaj PINu do aplikacji mobilnej w innym miejscu niż aplikacja Alior Mobile.

Dokładnie czytaj kody SMS przesłane z banku, gdy odbierasz automatyczne połączenie – zapoznaj się z komunikatem lektora.

Jeżeli podczas płatności na portalu ogłoszeniowym w treści SMS zauważysz słowa, wskazujące na aktywację Apple Pay/Google Pay lub aktywację aplikacji mobilnej nie przepisuj kodu SMS i natychmiast skontaktuj się z bankiem.
Jeżeli w treści SMS pojawi się „Transakcja 3D Secure” oznacza to, że dana kwota obciąży Twoje konto.
W przypadku niezgodności – zadzwoń na infolinię pod numer 19 502 lub +48 12 370 70 00.

Obserwujemy aktywność przestępców polegającą na wysyłce wiadomości e-mail podszywających się pod Alior Bank. Treść wiadomości e-mail ma charakter informacyjny i ma za zadanie zachęcenie do zapoznania się z treścią załączonego dokumentu o tematyce doradztwa. Załącznik okazuje się być obrazkiem, a kliknięcie powoduje pobranie złośliwego oprogramowania!

Poniżej przykład fałszywej wiadomości:



Zawsze zwracaj uwagę na adres nadawcy, z którego przychodzi dany e-mail. Pamiętajmy że dla Alior Banku jest to adres w domenie @alior.pl.

Jeśli otworzyłeś wspomniany załącznik na urządzeniu, na którym korzystasz z bankowości internetowej – zgłoś taką informację na infolinię pod nr. tel. 19 502 lub +48 12 370 70 00.

Jeżeli chcesz poszerzyć swoją wiedzę o metodach obrony przed zagrożeniem związanym z phishingiem, zachęcamy do zapoznania się z kursem, który przygotowaliśmy z myślą o naszych klientach:  phishingstop.aliorbank.pl.
 

Ostrzegamy przed działaniami oszustów podszywających się pod Urząd Patentowy Rzeczpospolitej Polskiej (UPRP), wysyłających pisma łudząco podobne do decyzji o udzieleniu praw ochronnych na znaki towarowe. Przesyłane są one pocztą tradycyjną (rzadziej również elektroniczną). Oszuści wykorzystują dawny wzorzec pism UPRP dla zwiększenia wiarygodności. Treść wiadomości wzywa do wpłaty środków na podstawiony, fałszywy numer rachunku. W ten sposób, dochodzi do wyłudzenia środków, z tytułu rzekomego wpisu do rejestru i uzyskaniu prawa ochronnego na znak towarowy.

Jeżeli otrzymasz wezwanie do zapłaty, fakturę lub decyzję, zanim zapłacisz – sprawdź uważnie i upewnij się, czy wezwanie do zapłaty jest z UPRP. Pamiętaj, że UPRP nie wystawia faktur i nie korzysta z usług podmiotów trzecich przy pobieraniu opłat urzędowych.

W razie jakichkolwiek wątpliwości, czy otrzymana wiadomość, czy też numer rachunku są prawdziwe – warto skontaktować się z UPRP np. przez dedykowaną infolinię urzędu - (22) 579 05 55.
 

Przestępcy podszywają się pod znane firmy kurierskie i portale aukcyjne, żeby kraść dane do logowania i pieniądze klientów.

Sposób działania przestępców:

1. Użytkownik otrzymuje wiadomość SMS z linkiem, której rzekomym nadawcą jest firma kurierska lub portal aukcyjny.
2. Link z wiadomości przekierowuje na fałszywą stronę firmy, na której zamieszczony jest odnośnik do sklepu, który podszywa się pod sklep Google Play.
3. W fałszywym sklepie Google Play dostępna jest aplikacja, która udaje aplikacje firm kurierskich lub portali aukcyjnych.
4. Jeśli użytkownik zainstaluje aplikację i przyzna jej dodatkowe uprawnienia, przestępcy mogą uzyskać dane do logowania do bankowości.

Przypominamy:

• nigdy nie klikaj w linki przesłane w wiadomościach SMS
• przestępcy mogą ustawić dowolną nazwę nadawcy dla wiadomości SMS (czyli może zostać wyświetlona np. nazwa firmy kurierskiej, mimo że firma ta nie jest prawdziwym nadawcą);
• nie instaluj aplikacji spoza sklepu Google Play (np. z linków otrzymanych SMS-em lub za pośrednictwem komunikatorów itp.), ani żadnych, co do których masz jakiekolwiek wątpliwości; wyłącz w ustawieniach możliwość instalacji z nieznanych źródeł;
• jeśli już kliknąłeś w link, to zawsze zweryfikuj na jakiej stronie się znalazłeś - sprawdź jej adres, nawet gdy reszta strony nie wzbudza podejrzeń;
• zwracaj uwagę na uprawnienia jakich wymaga aplikacja (w szczególności Twoje podejrzenia powinien wzbudzić dostęp do SMS-ów, praw administracyjnych na urządzeniu lub wymaganie włączenia ułatwień dostępu);
• zwracaj uwagę, czy przy próbie instalacji nie pojawiają się komunikaty ostrzegawcze, takie jak: "Pliki tego typu mogą wyrządzić szkody na urządzeniu. Czy mimo to chcesz zachować plik xxxx.apk?"; nie przechodź obojętnie przy tego typu komunikatach – ostrzegają one najczęściej o realnym zagrożeniu;
• nigdy nie wpisuj hasła do bankowości www w aplikacjach mobilnych;
• zawsze czytaj dokładnie treść wiadomości SMS z kodem jednorazowym z banku lub szczegóły w aplikacji mobilnej – weryfikuj, czy kwota operacji, którą zlecasz jest zgodna z Twoją dyspozycją; Twoją szczególną uwagę powinna wzbudzić fraza o założeniu „nowego szablonu zaufanego”.

W przypadku wątpliwości skontaktuj się z infolinią (19 502) lub dowolnym oddziałem banku.

 

Uważaj na fałszywe serwisy internetowe i próby oszustw związanych z inwestowaniem na rynkach kryptowalut i Forex.

Osoby, które podają się za „brokerów” inwestycyjnych z firm zajmujących się pośrednictwem i doradztwem inwestycyjnym, wykorzystują reklamy w mediach społecznościowych. Oszuści mogą chcieć Cię zwabić, obiecując bardzo wysokie zyski.

Żeby przyciągnąć Twoją uwagę oszuści wykorzystują wizerunki osób, które rzekomo szybko zyskały dzięki współpracy z „pośrednikiem”. Często w reklamach pojawiają się też powszechnie znane i rozpoznawalne osoby (sportowcy, politycy, aktorzy, dziennikarze, celebryci). Reklamy zamieszczane są bez wiedzy tych osób, a przekaz jest zmanipulowany.
Nie klikaj w takie reklamy i nie korzystaj z takich ofert!

Zapoznaj się z treścią całego komunikatu Prokuratury Krajowej, Komendy Głównej Policji oraz FinCERT.pl – Bankowego Centrum Cyberbezpieczeństwa ZBP: https://zbp.pl/Aktualnosci/Wydarzenia/Uwaga-na-oszukancze-serwisy-internetowe-oferujace-inwestycje-w-kryptowaluty-i-na-rynku-Forex

Przypominamy: nie instaluj dodatkowego oprogramowania ze źródła, którego nie znasz lub na prośbę nieznanej Ci osoby. W szczególności jeśli jest to urządzenie, którego używasz do logowania do bankowości internetowej.
 

Pamiętaj o zasadach bezpiecznego logowania do bankowości internetowej.

Nie korzystaj z wyszukiwarek internetowych (np. Google), ani nie wpisuj w pasku adresu hasła „Alior Bank”. Jeśli chcesz zalogować się do bankowości internetowej, w przeglądarce w pasku adresu wpisz https://www.aliorbank.pl/

Nie klikaj w linki, które mają prowadzić do strony logowania do bankowości internetowej, korzystaj z przycisku Zaloguj na stronie banku.

Jeśli instalujesz aplikację mobilną, w szczególności aplikację banku,  korzystaj z oficjalnych sklepów „Google Play” czy „App Store”. Nie pobieraj i nie instaluj aplikacji z linków, które otrzymasz w wiadomości e-mail lub SMS.
Pamiętaj, że podczas logowania do  aplikacji mobilnej nie musisz podawać loginu ani hasła do bankowości internetowej. Aby zalogować się do aplikacji mobilnej wystarczy PIN lub  – jeśli Twój telefon umożliwia taką opcję – odcisk palca lub FaceID.
 

Uważaj! Oszuści przejmują konta znajomych np. na Facebooku lub Messengerze i w wiadomościach prywatnych proszą znajomych ofiary, żeby przelać im pieniądze lub podać kod BLIK. Najczęściej próbują wyłudzić pieniądze na opłatę lub pożyczkę. Jeżeli przelejesz pieniądze lub przekażesz kod BLIK – pieniądze mogą trafić do oszustów.

Użytkownik myśląc, że rozmawia z osobą, do której konto faktycznie należało podaje kod BLIK i zatwierdza wypłatę.

Poniżej znajdziesz wskazówki, które mogą uchronić Cię przed tego typu oszustwem:

Uwaga na oszukańcze wiadomości e-mail podszywające się pod Alior Bank!

Obserwujemy aktywność przestępców polegającą na wysyłce internautom wiadomości e-mail podszywających się pod Alior Bank. Ich treść sugeruje, że potrzebne jest wykonanie potwierdzenia nowych danych osobowych oraz aktywacja nowego systemu bezpieczeństwa sieci:



Wiadomości zawierają link, który prowadzi do strony internetowej imitującej stronę systemu bankowości elektronicznej Alior Banku:




W następnym kroku przestępcy próbują wyłudzić od użytkownika kod SMS, za pomocą którego następuje próba kradzieży pieniędzy z konta.
Informujemy, że Alior Bank nie jest nadawcą tych wiadomości, a wejście na stronę internetową z przesłanego linku może grozić kradzieżą loginu i hasła do bankowości.
 
W związku z tym, zawsze sprawdzaj czy:

• adres strony logowania do bankowości to:
  • dla bankowości klientów indywidualnych: https://system.aliorbank.pl/sign-in
  • dla BusinessPro: https://bn.aliorbank.pl/hades/do/Login
• po sprawdzeniu poprawności adresu zwróć uwagę, czy obok znajduje się zamknięta kłódka,
• strona logowania nie wygląda inaczej niż zwykle (zawiera prośbę o login i hasło na jednej stronie, nie wyświetla obrazka bezpieczeństwa, lub wyświetla dodatkowe okienka).

Ponadto pamiętaj, że:

• Alior Bank nie wysyła linków do strony logowania w wiadomościach SMS oraz w wiadomościach e-mail. Nie loguj się do banku, lub innych serwisów poprzez odnośniki zawarte w wiadomościach e-mail i SMS.
• Należy zachować szczególną ostrożność jeśli wiadomość wymaga natychmiastowej reakcji lub jest nacechowana emocjonalnie i wymaga kliknięcia w załączony odnośnik.
• Bank nigdy nie prosi o zatwierdzenie kodem SMS operacji, których samodzielnie nie zleciłeś! Przed potwierdzeniem transakcji dokładnie przeczytaj treść całej wiadomości SMS lub powiadomienia PUSH. Sprawdź czy zlecałeś osobiście taką transakcję lub operację i porównaj czy jest ona zgodna ze złożoną przez Ciebie dyspozycją. W szczególności w przypadku autoryzowania przelewów lub tworzenia szablonów zweryfikuj, czy podana w wiadomości SMS kwota transakcji oraz numer konta odbiorcy są zgodne z wprowadzanymi przez Ciebie danymi.

Jeżeli chcesz poszerzyć swoją wiedzę o metodach obrony przed zagrożeniem związanym z phishingiem, zachęcamy do przejścia kursu, który Alior Bank przygotował dla swoich klientów https://phishingstop.aliorbank.pl/

W ostatnich dniach przestępcy dzwonią do klientów podszywając się pod pracowników banku - połączenie wyświetla się jako prawdziwy numer infolinii Alior Banku (np. +48 123707000, ale przestępcy mogą ustawić dowolny). Podczas rozmowy najczęściej powołują się na względy bezpieczeństwa, takie jak włamanie na konto i zachęcają do szybkiego podania swoich danych lub instalacji oprogramowania, które w rzeczywistości służy do kradzieży środków z konta.

Przypominamy:

• pracownicy Alior Banku, nigdy nie każą instalować żadnego dodatkowego oprogramowania na komputerach lub telefonach;
• pracownicy Alior Banku, nigdy nie pytają o hasło do konta bankowego;
• jeśli posiadasz ustawione hasło zwrotne, to za każdym razem pytaj o nie osobę dzwoniącą, która podaje się za pracownika Alior Banku (nigdy sam nikomu go nie podawaj) - jeśli go nie zna zakończ rozmowę i poinformuj bank o tym zdarzeniu;
• jeśli nie posiadasz hasła zwrotnego, ustaw je - w tym celu zadzwoń na infolinię i poproś o ustawienie wymyślonego przez Ciebie hasła, które pracownik banku będzie musiał Ci podać za każdym razem kiedy do Ciebie zadzwoni i poprosisz o jego podanie;
• jeśli treść rozmowy wyda Ci się podejrzana i niecodzienna, a osoba dzwoniąca będzie wymagała od Ciebie szybkiego podjęcia działań (np. podania Twoich danych, instalacji oprogramowania, podania kodów BLIK lub kodów jednorazowych) rozłącz się i zadzwoń na infolinię banku w celu potwierdzenia prawdziwości takiej rozmowy.

Więcej informacji o haśle zwrotnym znajdziesz na stronie Bezpieczeństwo po stronie banku.

Jeśli masz jakiekolwiek wątpliwości dotyczące rozmowy, którą odbyłeś z osobą podającą się za pracownika banku, zadzwoń na infolinię pod numer 19 502 lub +48 123707000.
 

Komenda Główna Policji oraz FinCERT.pl – BCC ZBP ostrzegają przed oszukańczymi ogłoszeniami związanymi np. potrzebą zapłaty za szczepionkę przeciwko koronawirusowi COVID-19, czy przejęciem przez NBP środków klientów zdeponowanych w bankach jako tzw. rezerw krajowych NBP.

Ostrzegamy przed fałszywymi informacjami dotyczącymi epidemii koronawirusa (COVID-19) nakłaniającymi klientów banków do dokonywania transakcji finansowych.

Przestępcy używają jako tło swojej działalności komunikaty i fałszywe informacje związane z epidemią koronawirusa (COVID-19). Podszywają się pod instytucje zaufania publicznego takie jak banki, urzędy państwowe, centralne oraz lokalne.

W przesyłanych wiadomościach zawarte są linki prowadzące do stron przestępców, których jedynym zadaniem jest wyłudzanie loginów i haseł do bankowości internetowej a także kodów autoryzacyjnych dających możliwość zatwierdzenia przelewów na rachunek przestępców. W niektórych przypadkach linki mogą prowadzić do stron zawierających złośliwy kod powodujący przejęcie urządzenia klienta, na którym otrzymał wiadomość.

Przykład fałszywej wiadomości SMS:


Przykład fałszywej strony internetowej:
Źródło: zaufanatrzeciastrona.pl

Jeśli podejrzewasz, że jesteś ofiarą internetowego oszustwa, zgłoś to jak najszybciej do swojego banku, najbliższej jednostce Policji a następnie zespołowi reagowania na incydenty CERT.PL (pod adresem https://incydent.cert.pl/). Wskazane powyżej instytucje przekażą Ci informacje na temat kolejnych kroków/działań.

Pamiętaj: w tym szczególnym okresie najskuteczniejszą metodą kontaktu z bankiem może okazać się przesłanie wiadomości e-mail. Ze względu na obostrzenia epidiomologiczne, które dotyczą także banków i ich pracowników czas połączenia telefonicznego z konsultantem może się wydłużyć. Staraj się zrozumieć tę sytuację. Twoje zgłoszenie mailowe będzie przeanalizowane i będą podjęte stosowne działania.

 

W trosce o bezpieczeństwo Państwa danych oraz środków finansowych, prosimy, aby nie korzystali Państwo z komputerów z systemem Windows 7 (i starszych) do obsługi systemów bankowości elektronicznej.

14 stycznia 2020 r. firma Microsoft zakończyła świadczenie wsparcia dla systemu Windows 7. Oznacza to, że system ten nie będzie otrzymywał poprawek błędów bezpieczeństwa.

Jeśli w przyszłości zostaną wykryte błędy bezpieczeństwa w Windows 7, nie będą one poprawione przez Microsoft. Komputery z tym systemem staną się łatwiejszym celem ataków cyberprzestępców. Może to prowadzić nawet do kradzieży środków finansowych.

Więcej informacji można uzyskać na stronie wsparcia Microsoft.
 

Przypominamy o atakach, wykorzystujących wiadomości SMS w celu kradzieży danych logowania do bankowości i środków finansowych.

Przestępcy przesyłają wiadomość SMS z linkiem do dokonania drobnej opłaty, najczęściej w wysokości od kilkudziesięciu groszy do kilku złotych, np. za kuriera, fakturę, dopłatę do zakupionego w internecie towaru. Strona, na którą zostaje przekierowany użytkownik po kliknięciu w link, w istocie jest fałszywa (podszywa się pod bank lub pośrednika płatności, ale posiada inny adres). Takie działania mają na celu przejęcie konta (loginu oraz hasła) do bankowości, a następnie środków – jeśli użytkownik wpisze jednorazowy kod z SMS na fałszywej stronie lub potwierdzi transakcję za pomocą aplikacji mobilnej.

Zabieg ten ma za zadanie dodać wraz z płatnością odbiorcę do listy zaufanych, co pozwoli na wykonywanie kolejnych przelewów bez potwierdzeń w przyszłości.

Przykładowa wiadomość może wyglądać jak poniżej:
 


Pamiętaj

• bank nie wysyła odnośników do strony logowania w wiadomościach SMS ani w e-mailach,
• zawsze czytaj dokładnie treść wiadomości SMS z kodem jednorazowym z banku lub szczegóły w aplikacji mobilnej – weryfikuj, czy kwota operacji, którą zlecasz jest zgodna z Twoją dyspozycją; Twoją szczególną uwagę powinna wzbudzić fraza o założeniu „nowego szablonu zaufanego”;
• przestępcy mogą ustawić dowolną nazwę nadawcy dla wiadomości SMS (czyli może zostać wyświetlona np. nazwa operatora płatności, firmy kurierskiej itp., mimo że firma ta nie jest prawdziwym nadawcą);
• zachowaj szczególną ostrożność, jeśli wiadomość wymaga natychmiastowej reakcji lub jest nacechowana emocjonalnie i wymaga kliknięcia w przesłany odnośnik;
• nie loguj się do banku, lub innych serwisów poprzez linki zawarte w wiadomościach e-mail lub SMS;
• nigdy nie podawaj danych służących do logowania do Banku, jeżeli adres strony, na której się znajdujesz jest inny niż https://system.aliorbank.pl lub https://pbl.aliorbank.pl/;
• nie klikaj w linki znajdujące się we wiadomościach SMS kierujące do stron płatności.

W przypadku wątpliwości skontaktuj się z infolinią (19 502) lub dowolnym oddziałem banku.
 

Obserwujemy pojawienie się nowego złośliwego oprogramowania na telefony z systemem Android. Aplikacje takie podszywają się najczęściej pod niegroźne oprogramowanie (w tym przypadku jest to Flash Player), a jednym z elementów, który powinien zwrócić Twoją uwagę są uprawnienia wymagane przez aplikację (np. wymóg działania w tle, dostępu do wiadomości SMS itp.):


Złośliwe aplikacje potrafią udawać strony banków, pozyskując w ten sposób login i hasło użytkownika, a także SMS-y z kodami jednorazowymi, które są następnie wysyłane do przestępców. Niespodziewane zmiany w aplikacjach mobilnych, szczególnie w procesie logowania do bankowości (np. żądanie podania hasła, jak na poniższym obrazku), mogą świadczyć o tym, że Twoje urządzenie mobilne jest zarażone złośliwym oprogramowaniem. W takiej sytuacji skontaktuj się z infolinią (pod numerem 19 502 lub 22 531 80 50).
 

Instalując nowe aplikacje (nawet jeżeli pochodzą one z oficjalnego sklepu Google Play) zawsze warto zwrócić uwagę na:

• liczbę użytkowników danej aplikacji (Twoją czujność powinna wzbudzić mała liczba),
• ocenę aplikacji przez innych użytkowników,
• rekomendację pracowników Google.

Pamiętaj o następujących zasadach:

• nie instaluj aplikacji spoza sklepu Google Play (np. z linków otrzymanych SMS-em, za pośrednictwem komunikatorów itp.),
• używaj znanego i sprawdzonego oprogramowania antywirusowego na swoim urządzeniu,
• zwracaj uwagę na uprawnienia jakich wymaga aplikacja (w szczególności Twoje podejrzenia powinien wzbudzić dostęp do SMS-ów, praw administracyjnych na urządzeniu lub wymaganie włączenia ułatwień dostępu),
• nigdy nie wpisuj hasła do bankowości w aplikacjach mobilnych,
• nie instaluj aplikacji, co do których masz jakiekolwiek wątpliwości

Ostrzegamy przed fałszywą korespondencją, w której nadawca podszywa się pod Urząd Patentowy RP. Pismo jest masowo wysyłane do zgłaszających znaki towarowe i wynalazki do ochrony oraz zawiera żądanie dokonania opłat na konto nienależące do urzędu. Właściwy nr rachunku bankowego Urzędu Patentowego widnieje na stronie urzędu w zakładce "Opłaty" i w ostatnim czasie nie ulegał on zmianom. W związku z tym wszystkie wezwania do dokonania opłaty na rachunki inne niż wskazany na stronie internetowej urzędu stanowią próbę wyłudzenia.

Wspomniane decyzje zawierają prawdziwe dane dotyczące zgłaszanych przedmiotów własności przemysłowej. Dane te pochodzą z ogólnodostępnej bazy danych dostępnej na stronie internetowej Urzędu Patentowego RP.
W przypadku wątpliwości dotyczących otrzymanej korespondencji zalecamy bezpośredni kontakt z urzędem pod numerem (+48 22) 579 05 55 lub pod adresem Centrum.Kontaktowe@uprp.gov.pl
 

W związku z umieszczeniem na liście ostrzeżeń publicznych KNF strony internetowej agricoletrade.com prowadzonej przez firmę JonGroce Limited, przypominamy o tym, aby zachować szczególną ostrożność przy współpracy z podmiotami obiecującymi szybki i łatwy zysk przy jednoczesnym niskim ryzyku.

Firma reklamuje się w internecie (m.in w mediach społecznościowych) jako broker finansowy zachęcając do rejestracji na swej stronie. Po rejestracji do ofiary dzwoni przedstawiciel „firmy” (najczęściej mówiący ze wschodnim akcentem), który namawia do zainstalowania przesłanego przez niego oprogramowania, pozwalającego zarządzać przestępcom komputerem ofiary. Następnie ofiara myśląc, że inwestuje na giełdzie, w rzeczywistości przelewa swoje pieniądze na konta oszustów niejednokrotnie zadłużając się w tym celu.

Przypominamy:

• nigdy nie instaluj oprogramowania pochodzącego z niezaufanego źródła,
• nigdy nie podawaj nikomu swojego hasła do bankowości oraz kodów jednorazowych do autoryzacji transakcji,
• nie pozwalaj łączyć się do swojego komputera osobom trzecim – w ten sposób oddajesz dostęp m.in. do wszystkich swoich plików,
• zwracaj uwagę na firmy oferujące ogromne zyski w krótkim czasie,
• jeśli zamierzasz skorzystać z jakiejś oferty, weryfikuj opinie o firmie (ale nie zawsze na nich polegaj – również one mogą być fabrykowane!).

Jeśli korzystałeś z „usług” Agricole Trade lub innej firmy o podobnym schemacie działania, niezwłocznie skontaktuj się z infolinią banku, dostępną pod numerem 19 502 lub dowolnym oddziałem Alior Banku.

Zostały wdrożone nowe rozwiązania w systemach wszystkich banków. To efekt wejścia w życie nowych, unijnych przepisów (dyrektywa PSD2). Zmiany te mogą zwiększyć aktywność przestępców – zachowaj w tym czasie szczególną ostrożność.  

Przeczytaj, jak zadbać o bezpieczeństwo swoich pieniędzy. W przypadku sytuacji opisanej poniżej niezwłocznie skontaktuj się z bankiem pod numerem telefonu 19 502.

Pamiętaj:

• dane do logowania
• kody autoryzacyjne i kody PIN
• TWOJE dane osobowe

To informacje przeznaczone tylko dla Ciebie, nikomu ich nie przekazuj.

Nie odpowiadaj na wiadomości e-mail, SMS lub prośby telefoniczne, w których jesteś proszony o podanie:

• danych do logowania
• kodów autoryzacyjne i kodów PIN
• TWOICH danych osobowych

Nie reaguj na wiadomości, SMSy czy telefony z informacją o zablokowanym koncie, w których nadawca, czy rozmówca proszą o podanie danych do logowania, kodów SMS, PIN-ów itp.

Bank nigdy nie prosi w mailu o

• kliknięcie w link,
• instalację aplikacji
• czy wykonanie przelewu na wskazany rachunek

Masz wątpliwości? Nie wykonuj tych czynności i skontaktuj się z bankiem pod numerem telefonu 19 502.
 

Zwracamy uwagę na ostatnie działania przestępców, którzy podszywają się pod numery infolinii banków. Tego typu proceder nie jest nowy, ale w ostatnim czasie obserwowane są nasilone działania oszustów z jego wykorzystaniem.
Przestępcy podają się za konsultanta dzwoniącego z banku (na telefonie użytkownika wyświetla się inny numer niż ten, z którego faktycznie nawiązywane jest połączenie) i proszą o podanie jednorazowego hasła SMS do bankowości internetowej.

Aby ustrzec się przed atakiem:

• ustaw hasło zwrotne za pomocą infolinii, którego podczas rozmowy będziesz wymagał od osoby podającej się za pracownika banku (wtedy będziesz miał pewność, że osoba, która do Ciebie dzwoni faktycznie jest pracownikiem banku),
• nigdy nie podawaj kodów jednorazowych przez telefon, SMS-a, e-mail itp., a jedynie na stronie banku w celu potwierdzenia wykonywanej operacji,
• nigdy nie podawaj nikomu hasła do bankowości internetowej,
• nie otwieraj podejrzanych załączników i nie klikaj w podejrzane linki z wiadomości e-mail.

Oszuści przejmują słabo zabezpieczone konta użytkowników mediów społecznościowych (np. na Facebooku lub Messengerze), a następnie podszywają się pod nich i rozsyłają „pilne wiadomości o nagłej potrzebie przekazania gotówki” do znajomych ofiary, prosząc w nich o podanie kodu BLIK.

Użytkownik myśląc, że rozmawia z osobą, do której konto faktycznie należało podaje kod BLIK i zatwierdza wypłatę.

Poniżej znajdziesz wskazówki, które mogą uchronić Cię przed tego typu oszustwem:

W ostatnim czasie obserwujemy kampanię prowadzoną przez przestępców, którzy wysyłają maile podszywające się pod Urząd Skarbowy z informacją o wszczęciu rzekomej kontroli. Wiadomości zawierają załącznik, w którym kryje się złośliwe oprogramowanie mające na celu wyłudzenie danych logowania do bankowości.

Przypominamy, że należy zachować szczególną ostrożność jeśli wiadomość:

• pochodzi od nieznanego, podejrzanego nadawcy,
• został wysłany z domeny, która nie jest oficjalną domeną firmy,
• zawiera załącznik w formacie .exe, .vbs, .rar, .zip, .tar (w szczególności - załącznik spakowany i zaszyfrowany, z hasłem przesłanym w treści e-maila), a nawet jako .pdf, .docx, .xslx (jeśli żąda włączenia makr) itp.
• zawiera odnośniki prowadzące do nieznanych stron WWW,
• zawiera błędy językowe, literówki lub ma nieskładną treść,
• zawiera treść, której nie oczekiwałeś (np. fakturę, awizo, dokumentację),
• zawiera prośbę o podanie loginu, hasła, kodu jednorazowego lub jakichkolwiek innych danych wrażliwych.

Jeżeli załącznik z takiej wiadomości został otwarty, należy zachować szczególną ostrożność oraz:

• nie korzystać z tego urządzenia do logowania się do jakiegokolwiek systemu bankowości elektronicznej;
• zmienić hasła do wszystkich wykorzystywanych aplikacji i serwisów internetowych (systemów bankowości, poczty elektronicznej, portali społecznościowych itp.) - do zmiany haseł wykorzystaj inne urządzenie niż to, na którym otwarty był załącznik.

Zachęcamy do zapoznania się z informacją udostępnioną przez Związek Banków Polskich dotyczącą fałszywych stron udających pośredników szybkich płatności.

Przypominamy, że ataki polegają na przesłaniu wiadomości SMS z linkami do fałszywych stron z płatnościami, które mają na celu wyłudzenie danych logowania do bankowości internetowej.

Przypominamy o atakach, w których przestępcy wykorzystują wiadomości SMS w celu kradzieży danych logowania do bankowości i które mogą wiązać się z kradzieżą środków finansowych.
 
Należy zwracać szczególną uwagę na SMS-y zawierające informacje dotyczące:

• konieczności niewielkiej dopłaty (np. do przesyłki, za kuriera, fakturę, do zakupionego w internecie towaru),
• rezygnacji z usługi, której sam nie zamawiałeś (np. informacja o subskrypcji wiadomości z dowcipami),
• autoryzacji PIT-ów złożonych przez internet poprzez płatność przelewem.

Zawierają one najczęściej linki przekierowujące na fałszywą stronę pośrednika płatności. Jeśli wprowadzisz na takiej stronie login i hasło do bankowości, dane te trafią bezpośrednio do przestępców.
 
Przykładowe wiadomości mogą wyglądać jak poniżej:
 

 
Pamiętaj:

• bank nie wysyła odnośników do strony logowania w wiadomościach SMS ani w e-mailach;
• zawsze czytaj dokładnie treść wiadomości SMS z kodem jednorazowym z banku – weryfikuj, czy kwota operacji, którą zlecasz jest zgodna z Twoją dyspozycją; Twoją szczególną uwagę powinna wzbudzić fraza o założeniu „nowego szablonu zaufanego”;
• przestępcy mogą ustawić dowolną nazwę nadawcy dla wiadomości SMS (czyli może zostać wyświetlona np. nazwa operatora płatności, firmy kurierskiej itp., mimo że firma ta nie jest prawdziwym nadawcą);
• zachowaj szczególną ostrożność, jeśli wiadomość wymaga natychmiastowej reakcji lub jest nacechowana emocjonalnie i wymaga kliknięcia w przesłany odnośnik;
• nie loguj się do banku, lub innych serwisów poprzez linki zawarte w wiadomościach e-mail lub SMS;
• nigdy nie podawaj danych służących do logowania do Banku, jeżeli adres strony, na której się znajdujesz jest inny niż https://system.aliorbank.pl lub https://pbl.aliorbank.pl/;
• nie klikaj w linki znajdujące się we wiadomościach SMS kierujące do stron płatności.

Przypominamy o zagrożeniach wynikających z wysyłki przez oszustów fałszywych wiadomości SMS i wykorzystywaniu komunikatorów oraz mediów społecznościowych do podszywania się pod inne osoby.

Przykładowe schematy działania oszustów:

1. Przestępcy przesyłają wiadomość SMS z linkiem oraz informacją o konieczności dokonania drobnej opłaty (np. za kuriera, fakturę, dopłatę do zakupionego w internecie towaru) – strona, na którą zostaje przekierowany użytkownik w istocie jest fałszywa (podszywa się pod bank lub pośrednika płatności, ale posiada inny adres). Takie działania mają na celu przejęcie konta (loginu oraz hasła) do bankowości, a następnie środków – jeśli użytkownik wpisze jednorazowy kod z SMS na fałszywej stronie. Przykładowa wiadomość może wyglądać następująco:
   
    
2. W ostatnim czasie obserwujemy również wyłudzanie pieniędzy przez oszustów, którzy proszą o podanie kodu BLIK. Przestępcy, najczęściej za pomocą mediów społecznościowych lub komunikatora, piszą w imieniu znanej nam osoby (np. kolegi, kogoś z rodziny), której konto na portalu/komunikatorze zostało przejęte. Podczas krótkiej rozmowy proszą o pożyczenie pewnej kwoty obiecując, że za chwilę ją oddadzą. W tym celu nakłaniają ofiarę do przesłania kodu BLIK . Zwracamy uwagę żeby takie prośby (od rodziny, znajomych) potwierdzać za pomocą innego kanału komunikacji (np. telefonicznie). Poniżej przykład rozmowy z przestępcą podszywającym się pod znajomego: 
   

 
Pamiętaj:

• bank nie wysyła odnośników do strony logowania w wiadomościach SMS ani w e-mailach,
• przestępcy mogą ustawić dowolną nazwę nadawcy dla wiadomości SMS (czyli może zostać wyświetlona np. nazwa operatora płatności, firmy kurierskiej itp. mimo że firma nie jest prawdziwym nadawcą),
• zachowaj szczególną ostrożność, jeśli wiadomość wymaga natychmiastowej reakcji lub jest nacechowana emocjonalnie i wymaga kliknięcia w przesłany odnośnik,
• nie loguj się do banku, lub innych serwisów poprzez linki zawarte w wiadomościach mail lub SMS,
• nie udostępniaj nikomu kodów autoryzacyjnych wysyłanych przez bank ani kodów BLIK.

Przypominamy, że najwięcaj sytuacji zarażenia urządzeń złośliwym oprogramowaniem wynika z uruchomienia załącznika lub kliknięcia w link przesłany w fałszywej wiadomości e-mail (tzw. phishing).

Jest to najpowszechniejsza obecnie metoda działania przestępców, mająca na celu przejęcie kont i środków finansowych. Jak rozpoznać takie ataki?
 
Zachowaj ostrożność zawsze, gdy otrzymany przez Ciebie e-mail zawiera chociaż jedną z poniższych cech:

• pochodzi od nieznanego, podejrzanego nadawcy,
• został wysłany z domeny, która nie jest oficjalną domeną firmy,
• zawiera załącznik w formacie .exe, .vbs, .rar, .zip, .tar (w szczególności - załącznik spakowany i zaszyfrowany, z hasłem przesłanym w treści e-maila), a nawet jako .pdf, .docx, .xslx (jeśli żąda włączenia makr) itp.
• zawiera odnośniki prowadzące do nieznanych stron WWW,
• zawiera błędy językowe, literówki lub ma nieskładną treść,
• zawiera treść, której nie oczekiwałeś (np. fakturę, awizo),
• zawiera prośbę o podanie loginu, hasła, kodu jednorazowego lub jakichkolwiek innych danych wrażliwych.

Poniżej przykład fałszywego maila – zaznaczone miejsca powinny zwrócić Twoją szczególną uwagę:

Jeżeli załącznik z takiej wiadomości został otwarty, należy zachować szczególną ostrożność oraz:

• nie korzystać z tego urządzenia do logowania się do jakiegokolwiek systemu bankowości elektronicznej;
• zmienić hasła do wszystkich wykorzystywanych aplikacji i serwisów internetowych (systemów bankowości, poczty elektronicznej, portali społecznościowych itp.) - do zmiany haseł wykorzystaj inne urządzenie niż to, na którym otwarty był załącznik.

Przypominamy, że jedyną skuteczną metodą usunięcia złośliwego oprogramowania jest ponowna instalacja systemu operacyjnego.
 

Ostrzegamy przed wiadomościami SMS, w których przestępcy podszywają się pod Alior Bank (jako nadawca wyświetlana jest nazwa „Aliorbank”). Są one rozsyłane przez przestępców i mają na celu pozyskanie danych logowania do systemu bankowości. Odbiorca jest w nich informowany o nieautoryzowanym dostępie do jego konta i konieczności potwierdzenia swojej tożsamości pod wskazanym odnośnikiem.

Jeśli podałeś dane pod wskazanym adresem, to niezwłocznie zmień hasło do bankowości oraz skontaktuj się z naszą infolinią pod numerem 19 502.

Zwracamy uwagę na ostatnie działania przestępców, którzy podszywają się pod firmy kurierskie i sprzedawców. Często działania następują chwilę po dokonaniu zakupów w sklepie internetowym.

Przestępcy przesyłają wiadomość SMS (najczęściej jest to prośba o niewielką dopłatę w wysokości 1 PLN), zawierającą link do fałszywej strony pośrednika płatności. Z fałszywej stronie pośrednika płatności, klient przekierowany jest do strony podszywającej się pod bankowość internetową banku, który wybrał.



Zanim zalogujesz się do bankowości internetowej, upewnij się, czy znajdujesz się na właściwej stronie. Zawsze zwracaj uwagę na zawartość paska adresowego, przed podaniem swojego loginu i hasła.

Pamiętaj też, żeby przed podaniem kodu jednorazowego, dokładnie zweryfikować treść wiadomości SMS. Sprawdź czy dane w treści SMS są zgodne z transakcją, którą chcesz zrealizować w systemie bankowości internetowej. Jeżeli dane nie są poprawne, nie wprowadzaj kodu jednorazowego i niezwłocznie skontaktuj się z bankiem.

Dowiedz się, jak zweryfikować, czy znajdujesz się na prawdziwej stronie logowania do bankowości internetowej Alior Banku.

W przypadku wątpliwości zapraszamy do kontaktu z infolinią banku, dostępną pod numerem 19 502 lub dowolnym oddziałem banku.
 

Obserwujemy kolejną akcję phishingową, w której przestępcy wysyłają do internautów wiadomości e-mail podszywające się pod Alior Bank <kontakt@alior.pl>. Wiadomości te mają np. tytuł Powiadomienie o zapłacie i zawierają załącznik PDF oraz mogą wyglądać jak na poniższej grafice:



Alior Bank nie jest nadawcą tych wiadomości, a otwarcie załącznika może spowodować zarażenie komputera groźnym wirusem, który umożliwi przestępcom dostęp do Twojego urządzenia. Po otwarciu pliku PDF użytkownikowi prezentowany jest zaciemniony widok dokumentu, który ma nakłonić do kliknięcia w zamieszczoną grafikę. Wykonanie tej akcji przekierowuje go do serwisu Dropbox w celu pobrania złośliwego pliku.



Osoby, które otrzymały taki e-mail, proszone są o nieotwieranie załącznika i skasowanie wiadomości.

Jeżeli jednak załącznik został otwarty należy zachować szczególną ostrożność i:

• nie korzystać z tego urządzenia do logowania się do jakiegokolwiek systemu bankowości elektronicznej;
• zmienić hasła do wszystkich wykorzystywanych aplikacji internetowych (systemów bankowości, poczty elektronicznej, portali społecznościowych itp.) - do zmiany haseł wykorzystaj inne urządzenie niż to, na którym otwarty był załącznik.

Przypominamy, że jedyną skuteczną metodą usunięcia złośliwego oprogramowania jest ponowna instalacja systemu operacyjnego.

Ostrzegamy przed wiadomościami SMS, w których oszuści podszywają się pod Profil Zaufany (jako nadawca wyświetlana jest nazwa ProfilZaufa). Treść wiadomości informuje o przyjęciu zlecenia pożyczki oraz jej wypłacenia w krótkim czasie, o ile zlecenie nie zostanie anulowane poprzez kliknięcie w odnośnik oraz zalogowanie się na fałszywej stronie bankowości.

Równocześnie informujemy o fałszywych wiadomościach, w których przestępcy podszywają się pod firmy kurierskie. W treści pojawia się prośba o dopłatę wskazanej kwoty poprzez odnośnik (który również przekierowuje na fałszywą stronę banku).
 
W ten sposób przestępcy pozyskują dane logowania do bankowości internetowej. W związku z tym zawsze sprawdzaj czy:

• adres strony logowania do bankowości to:
  dla dotychczasowej bankowości: https://aliorbank.pl/hades/od/Login
  dla nowej bankowości: https://system.aliorbank.pl/sign-in
  dla BusinessPro: https://bn.aliorbank.pl/hades/do/Login
• strona logowania posiada ważny certyfikat EV (czyli na pasku adresu, oprócz samego adresu URL widoczna jest zamknięta kłódka oraz nazwa Alior Bank SA [PL])

Ponadto pamiętaj:

• bank nie wysyła żadnych odnośników do strony logowania we wiadomościach SMS oraz w mailach,
• przestępcy mogą ustawić dowolną nazwę nadawcy dla wiadomości SMS (czyli może zostać wyświetlona np. nazwa operatora płatności, firmy kurierskiej itp.),
• zachowaj szczególną ostrożność jeśli wiadomość wymaga natychmiastowej reakcji lub jest nacechowana emocjonalnie i wymaga kliknięcia w załączony odnośnik,
• nie loguj się do banku, lub innych serwisów poprzez odnośniki zawarte w wiadomościach mail i SMS.

W ostatnim czasie obserwujemy wzmożoną aktywność przestępców na portalach aukcyjnych i grupach społecznościowych. Jest ona spowodowana przejęciem niektórych kont osób sprzedających za pośrednictwem tych portali oraz podszywaniem się pod strony systemów bankowości czy też sklepów internetowych. Ilość prób kradzieży środków z kont będzie rosła, szczególnie w gorącym okresie przedświątecznym.

Przypominamy najważniejsze zasady o których należy pamiętać:

• Uważaj na ataki mające na celu namówienie Cię do wykonania jakiejś akcji (np. kliknięcie w link, pobranie oprogramowania, podanie swoich danych), które są przesyłane w e-mailach, wiadomościach SMS/MMS, sieciach społecznościowych, komunikatorach lub są przekazywane telefonicznie.
• Logując się do banku sprawdź, czy w obrębie okna przeglądarki internetowej znajduje się symbol zamkniętej kłódki i nazwa banku (Alior Bank SA).
  W przypadku przeglądarki Safari kliknij na kłódkę w pasku adresu i sprawdź czy certyfikat został wystawiony dla Alior Bank SA.
  
• Uważnie czytaj treść SMS-ów z kodami jednorazowymi. Przed potwierdzeniem operacji przeczytaj dokładnie całą wiadomość SMS. Bank nigdy nie poprosi Cię o potwierdzenie operacji, której samodzielnie nie zleciłeś.
• Używaj tylko najnowszych wersji przeglądarek internetowych, najnowsze wersje przeglądarek posiadają mechanizmy ułatwiające identyfikację złośliwych stron internetowych.

Mechanizm działania przestępców może wyglądać następująco:

• kupując na aukcji internetowej przedmioty od osób podszywających się pod sprzedawców, klient otrzymuje SMS z linkiem do fałszywej strony pośrednika płatności (najczęściej jest to prośba o niewielką dopłatę), może to wyglądać jak poniżej:  
  
• na fałszywej stronie pośrednika płatności, po wybraniu linku do strony banku, klient przekierowany jest do strony podszywającej się pod bankowość internetową wybranego banku;
• jeżeli klient zaloguje się na taką stronę internetową, przestępcy uzyskują dostęp do jego loginu oraz hasła, a następnie definiują szablon przelewu zaufanego;
• o jego utworzeniu klient otrzymuje SMS z kodem autoryzacyjnym z Banku, który wpisuje na fałszywej stronie bankowości, dzięki czemu szablon zaufany zostaje aktywowany co umożliwi przestępcom kradzież środków z konta klienta.

W przypadku wątpliwości zapraszamy do kontaktu z infolinią banku, dostępną pod numerem 19 502 lub dowolnym oddziałem banku.


 

W nawiązaniu do komunikatu Ministerstwa Cyfryzacji, przekazujemy ostrzeżenie odnośnie ataków polegających na wysyłaniu maili z prośbą o potwierdzenie profilu zaufanego.

• Pamiętaj, profil zaufany nie wymaga dodatkowej weryfikacji loginu.
• Nie klikaj w linki umieszczone w mailu, które wymagają jego weryfikacji.
• Linki mogą prowadzić do infekcji komputera i w konsekwencji do utraty środków na koncie.
• W przypadku podejrzeń oszustwa, można kontaktować się z infolinią Ministerstwa Cyfryzacji pod numerem 42 253 54 50.

Obserwujemy nasilenie działania przestępców w zakresie przesyłania za pośrednictwem wiadomości SMS linków do płatności za zaległe opłaty.

Linki w rzeczywistości prowadzą do stron łudząco podobnych do strony banku lub operatora płatności mających na celu wyłudzenie danych takich jak loginy i hasła. W związku z tym:

• unikaj wchodzenia na linki do stron (w szczególności służących do wykonania płatności) otrzymane z nieznanych źródeł. Zawsze warto zweryfikować tę informację kontaktując się z firmą od której ją otrzymałeś wykorzystując np. telefon kontaktowy z oficjalnej strony/infolinię czy panel klienta;
• zawsze czytaj dokładnie treść wiadomości SMS z kodem jednorazowym dotyczący transakcji, którą zlecałeś. Jeśli transakcja różni się od zleconej (np. w treści widnieje informacja założeniu szablonu zaufanego, a nic takiego nie zlecałeś, albo kwota różni się od zleconej w przelewie) nie przepisuj kodu SMS i zgłoś zdarzenie na infolinii. Pamiętaj aby pod żadnym pozorem nie udostępniać nikomu otrzymanych kodów (nawet pracownikowi banku);
• sprawdź czy adres strony logowania do bankowości na której się znajdujesz, to:
  - dla dotychczasowej bankowości: https://aliorbank.pl/hades/od/Login
  - dla nowej bankowości: https://system.aliorbank.pl/sign-in
  - dla BusinessPro: https://bn.aliorbank.pl/hades/do/Login
• używany jest certyfikat EV (czyli na pasku adresu, oprócz samego adresu URL widoczna jest zamknięta kłódka oraz nazwa Alior Bank SA [PL]) - poniżej przykładowa wizualizacja z przeglądarki Chrome 68:
  
  

W ostatnim czasie obserwujemy, że użytkownicy telefonów z systemem Android nakłaniani są do instalacji podejrzanych, niepochodzących z oficjalnego sklepu Google Play aplikacji. Dzięki temu przestępcy mogą uzyskać dostęp do ich telefonów komórkowych.

Złośliwe aplikacje zwykle podszywają się pod niegroźne oprogramowanie. Aby ustrzec się przed przejęciem kontroli nad swoim urządzeniem, zachowaj szczególną ostrożność, jeśli otrzymujesz prośbę o pobranie ze strony internetowej i instalację na telefonie:

• aplikacji do zamawiania usług kurierskich/śledzenia przesyłki (np. w trakcie zakupów na portalach z ogłoszeniami),
• certyfikatów, które rzekomo są niezbędne do działania telefonu (w ostatnim czasie przestępcy często powołują się na konieczność instalacji certyfikatów powołując się na RODO – pamiętaj, że nie masz obowiązku instalowania dodatkowych certyfikatów czy aplikacji),
• wtyczek (np. takich jak Flash Player).

Takie prośby to najprawdopodobniej próba oszustwa. Jeśli zainstalujesz „złośliwą” aplikację, będzie ona w stanie pozyskać dane służące do logowania do bankowości oraz przekazywać przestępcom wszystkie Twoje SMS-y (również autoryzujące transakcje bankowości elektronicznej).
 
Przypominamy najważniejsze zasady dotyczące instalowania aplikacji mobilnych na telefonach z systemem Android:

• Pamiętaj, aby nie ściągać i nie instalować oprogramowania pochodzącego z innych źródeł niż sklep Google Play.
• Nie zezwalaj na instalację aplikacji z nieznanych źródeł - sprawdź w ustawieniach, czy opcja instalacji aplikacji z niezaufanych źródeł jest wyłączona. Jeśli opcja jest aktywna, Twój telefon może być zagrożony.
• Zachowaj czujność, jeśli aplikacja prosi o dostęp do Twoich wiadomości SMS. Jeśli używasz telefonu do odbierania SMS-ów autoryzacyjnych z banku, aplikacja uzyska dostęp także do tych wiadomości i będzie mogła przekazać ich treść przestępcom.
• Jeśli aplikacja prosi o uprawnienia administratora urządzenia, a nie masz pewności czy powinna je posiadać, przerwij proces instalacji.

W przypadku jakichkolwiek wątpliwości prosimy o kontakt z naszą infolinią pod numerem 19 502.

 

Przypominamy jak się chronić przed skutkami pozyskiwania przez przestępców duplikatów kart SIM, w celu przejęcia jednorazowych kodów SMS:

• ustaw w bankowości internetowej powiadomienia e-mail, push lub SMS (na inny numer niż ten do autoryzacji transakcji) o zlecanych przelewach, logowaniach, zmianach na koncie,
• zwracaj uwagę, czy telefon, którego używasz do autoryzacji transakcji, jest aktywny – jeśli przestały przychodzić SMS-y, nie można się dodzwonić itp., skontaktuj się z operatorem. Jeżeli podejrzewasz, że jesteś ofiarą przestępstwa i ktoś uzyskał dostęp do Twojego numeru telefonu, powiadom o tym bank,
• nie otwieraj załączników, ani nie klikaj w odnośniki przesyłane w e-mailach, które budzą Twoje podejrzenia (w rozpoznawaniu niebezpiecznych wiadomości pomoże Ci kurs https://phishingstop.aliorbank.pl)
• ustaw hasło zwrotne (na infolinii lub w dowolnym oddziale), aby móc zweryfikować, czy dzwoniąca do Ciebie osoba rzeczywiście jest pracownikiem banku,
• jeżeli posiadasz konto firmowe, zdefiniuj schematy akceptacji (zatwierdzenie na „drugą rękę”, poprzez rozdzielenie uprawnień do podpisania i wysyłania przelewów) oraz wskaż adres IP, z którego możesz się logować.

W przypadku wątpliwości zapraszamy do kontaktu z infolinią banku, dostępną pod numerem 19 502 lub dowolnym oddziałem banku.
 

W ostatnim czasie firma Google udostępniła nową usługę dla użytkowników telefonów z systemem Android, pozwalającą na odczytywanie i pisanie wiadomości SMS przez przeglądarkę w komputerze.
 


Do aktywacji usługi wystarczy zeskanowanie telefonem z systemem Android kodu QR (obrazka podobnego do tego powyżej), wyświetlanego na stronie https://messages.android.com/. Po wykonaniu tej czynności wiadomości SMS i MMS będą odczytywane w przeglądarce internetowej komputera.
 
Jeśli zamierzasz korzystać z tej usługi, pamiętaj, aby nie ustawiać opcji odbierania wiadomości SMS na niezaufanych urządzeniach (należących do osób trzecich, w kafejkach internetowych, zarażonych złośliwym oprogramowaniem itp.). Zalecamy też korzystanie z innego komputera do logowania do bankowości inernetowej i innego do otrzymywania wiadomości SMS.
 
Pamiętaj, aby zachować szczególną ostrożność, jeżeli otrzymasz prośbę o zainstalowanie innej aplikacji do wiadomości SMS lub zeskanowanie kodu QR za pomocą aplikacji Wiadomości na swoim telefonie. W ten sposób osoby trzecie mogą otrzymać pełny dostęp do Twoich wiadomości SMS! Wiadomości otrzymywane od banku (w tym jednorazowe kody do autoryzacji transakcji) również będą możliwe do odczytania na komputerze, przez to możliwe będzie ich przejęcie przez przestępców, a do wykonania transakcji wystarczy dostęp do jednego urządzenia.
 
Przypominamy jednocześnie, że do poprawnego działanie bankowości internetowej Alior Banku nie jest wymagane skanowanie podobnych kodów ani instalacja aplikacji do obsługi wiadomości SMS innych niż obecnie przez Ciebie używane.

Obserwujemy, że przestępcy przeprowadzają ataki na komputery użytkowników bankowości internetowej, w wyniku których urządzenia klientów zostają zarażone złośliwym oprogramowaniem. Przestępcy podmieniają w przeglądarce internetowej użytkownika strony systemów bankowości internetowej większości banków w Polsce.

Zatem jeszcze raz przypominamy najważniejsze zasady bezpieczeństwa, których przestrzeganie pozwoli na zabezpieczenie się przed utratą środków:

• Przed zalogowaniem zwróć uwagę na pasek adresu w przeglądarce:
  • W przypadku prawdziwej strony banku powinna się tam pojawić nazwa „Alior Bank SA”
  • Złośliwe oprogramowanie może zmieniać certyfikat dla strony internetowej banku, przez co pasek adresowy nie zawiera pełnej nazwy banku (Alior Bank SA)
  
  
• Jeśli proces logowania wygląda inaczej niż zwykle (np. trwa znacznie dłużej, pojawiają się nowe okienka, wymagana jest dodatkowa weryfikacja, identyfikacja itp.), może to świadczyć o infekcji Twojego komputera. Poniższy zrzut ekranu pokazuje, jak złośliwe oprogramowanie może zmieniać przebieg procesu logowania.
  

Jeśli zauważysz niepokojące oznaki infekcji komputera złośliwym oprogramowaniem, skontaktuj się z infolinią (pod numerem 19 502 / 22 531 80 50).

Więcej informacji o bezpieczeństwie.

Obserwujemy kolejną akcję phishingową, w której przestępcy wysyłają do internautów wiadomości e-mail podszywające się pod Alior Bank. Wiadomości te mają tytuł "POTWIERDZENIE PŁATNOŚCI" i zawierają załącznik, którego nazwa zaczyna się od słowa "scan" (np. „scan_536388282.jar”).

Alior Bank nie jest nadawcą tych wiadomości, a otwarcie załącznika może spowodować zarażenie komputera groźnym wirusem, który może umożliwić przestępcom dostęp do Twojego urządzenia.

Osoby, które otrzymały taki e-mail, proszone są o nieotwieranie załącznika i skasowanie wiadomości.

Jeżeli jednak załącznik został otwarty należy zachować szczególną ostrożność i:

• nie korzystać z tego urządzenia do logowania się do jakiegokolwiek systemu bankowości elektronicznej;
• zmienić hasła do wszystkich wykorzystywanych aplikacji internetowych (systemów bankowości, poczty elektronicznej, portali społecznościowych itp.) - do zmiany haseł wykorzystaj inne urządzenie niż to, na którym otwarty był załącznik.

Przypominamy, że jedyną skuteczną metodą usunięcia złośliwego oprogramownaia jest ponowna instalacja systemu operacyjnego.

W przypadku jakichkolwiek wątpliwości prosimy o kontakt z naszą infolinią pod numerem 19 502.
 

Ostrzeżenie o nowych zagrożeniach

Informujemy, że trwa akcja phishingowa, w ramach której przestępcy wysyłają fałszywe wiadomości e-mail podszywające się pod Alior Bank. Wiadomości te zawierają link do złośliwego oprogramowania, które może umożliwić przestępcom dostęp do Twojego komputera.

Osoby, które otrzymały wiadomość, mogły paść ofiarą oszustwa. Prosimy nie klikać w link, nie odpowiadać na wiadomość oraz niezwłocznie ją usunąć.

Informujemy, że Alior Bank nie jest nadawcą tych wiadomości. Mail może wyglądać jak poniżej.


 

Jeżeli kliknięto w link z takiej wiadomości:

• nie zalecamy korzystania z tego urządzenia do logowania się do jakiegokolwiek systemu bankowości elektronicznej;
• jedyną skuteczną metodą usunięcia złośliwego oprogramowania jest ponowna instalacja systemu operacyjnego;
• zalecamy również zmianę haseł do wszystkich wykorzystywanych przez Ciebie aplikacjach internetowych (systemy bankowości, poczta elektroniczna, portale społecznościowe itp.) z wykorzystaniem innego urządzenia.

W przypadku jakichkolwiek wątpliwości prosimy o kontakt z naszą infolinią pod numerem 19 502.

Więcej informacji na temat bezpiecznego korzystania z bankowości internetowej.


 

W nawiązaniu do poprzednich komunikatów dotyczących złośliwych aplikacji w sklepie Google Play dla urządzeń Android, przypominamy o czym warto pamiętać instalując na swoim telefonie lub tablecie nowe aplikacje (np. gry lub programy użytkowe).

• Pamiętaj aby nie instalować oprogramowania pochodzącego spoza sklepu Google Play. Sprawdź również czy masz wyłączoną opcję instalacji z niezaufanych źródeł. Jeśli opcja jest włączona (jak poniżej), Twój telefon może być zagrożony.
  
   
• Twoją czujność powinno wzbudzić jeśli aplikacja prosi o uprawnienia Administratora urządzenia. Zanim zezwolisz na takie uprawnienia zastanów się czy Twoja nowa gra lub aplikacja rzeczywiście powinna móc zarządzać Twoim urządzeniem bez Twojej dalszej wiedzy. Jeżeli nie masz pewności rekomendujemy przerwanie procesu instalacji.
  

 

• Zwróć uwagę, jeśli aplikacja prosi o dostęp do Twoich wiadomości SMS. Jeśli używasz telefonu do odbierania SMSów autoryzacyjnych z Banku, aplikacja uzyska dostęp także do tych SMS-ów i potencjalnie będzie mogła przekazać ich treść przestępcom.
  

 
Złośliwe aplikacje zwykle podszywają się pod niegroźne oprogramowanie. 

Jednym z elementów, który powinien zwrócić Twoją uwagę są uprawnienia aplikacji (np. aplikacja typu „latarka” lub „skaner kodów QR” wymaga dostępu do wiadomości SMS i połączenia z Internetem).

Złośliwe aplikacje mogą też udawać aplikacje firm trzecich – w takim przypadku, rekomendujemy kontakt z wydawcą w celu potwierdzenia, czy aplikacja nie jest fałszywa.

Instalując nowe aplikacje (nawet jeżeli pochodzą one z oficjalnego sklepu Google Play) zawsze warto zwrócić uwagę na:

• liczba użytkowników danej aplikacji (Twoją czujność powinna wzbudzić mała liczba),
• ocenę aplikacji przez innych użytkowników,
• rekomendację pracowników Google.    

Złośliwe aplikacje bardzo często podszywają się pod prawdziwe, próbując tym samym wyłudzić np. Twoje dane do logowania. Poniżej przykład, gdzie taka aplikacja udaje logowanie do banku. Pamiętaj, że prawdziwa aplikacja Alior Banku nigdy nie poprosi Cię o pełne, niemaskowane hasło na urządzeniu mobilnym.

 

Niespodziewane zmian w aplikacjach mobilnych, szczególnie w procesie logowania do bankowości (np. żądanie podania pełnego hasła, zamiast maskowanego), mogą świadczyć o tym, że Twoje urządzenie mobilne jest zarażone złośliwym oprogramowaniem. W takiej sytuacji skontaktuj się z infolinią (pod numerem 19 502 lub 22 531 80 50). 

 

Wraz ze wzrostem popularności zakupów w sklepach internetowych, rośnie również zainteresowanie przestępców tym obszarem. Korzystają oni z fałszywych sklepów lub wystawiają nieistniejące towary na portalach z ogłoszeniami i aukcjami. Po zakupie najczęściej proszą o wykonanie opłaty poprzez przesłany przez nich link przekierowujący do strony z płatnościami (taka strona jest łudząco podobna do innych stron znanych operatów płatności). Po wybraniu swojego banku klient zostaje przekierowany na fałszywą stronę bankowości, gdzie przechwytywane jest jego hasło oraz kod jednorazowy.

Przestępcy mogą próbować wykraść kod jednorazowy już na stronie logowania. Poniższy przykład przedstawia fałszywą stronę logowania do Alior Bank (nieprawidłowy adres i brak certyfikatu, niespodziewane okienko wymagające podania kodu SMS):

Aby ustrzec się przed powyższym scenariuszem:

• upewnij się, czy strona internetowa ma ważny certyfikat, który został wydany dla tego sklepu,
• zwróć uwagę, czy płatności są realizowane przez znanego operatora, oraz czy realizacji płatności znajdujesz się na prawdziwej stronie agenta rozliczeniowego (czy nazwa domeny jest prawidłowa i ma ważny certyfikat),
• pamiętaj, że wiarygodniejsze są strony płatności, zawierające w pasku adresu certyfikat EV (czyli takie, gdzie obok zamkniętej kłódki dodatkowo widoczna jest nazwa operatora),
• sprawdź, czy po wybraniu banku na stronie operatora płatności zostałeś przekierowany na stronę w domenie aliorbank.pl,
• korzystaj z usług tylko tych serwisów, które mają dobrą opinię i nie proponują zaskakująco niskich cen,
• zwróć uwagę kiedy sklep został uruchomiony – dłuższa obecność na rynku to większe bezpieczeństwo.

Prawidłowy pasek adresu w popularnych przeglądarkach powinien wyglądać jak poniżej (dla dotychczasowej i nowej bankowości).

Chrome (wersja 64.X):



Mozilla Firefox (wersja 59.X):



Internet Explorer (wersja 11.X):



Safari (wersja 11.X):



Jeśli masz podejrzenia, że strona jest fałszywa, a już podałeś dane do swojej bankowości, niezwłocznie skontaktuj się z infolinią banku, dostępną pod numerem 19 502 lub dowolnym oddziałem Alior Banku.

W związku z pojawieniem się w ostatnim czasie złośliwych aplikacji w Google Play przypominamy zasady bezpiecznego korzystania z bankowości na urządzeniach mobilnych:

• nie instaluj aplikacji z linków otrzymanych SMS-em, za pośrednictwem komunikatorów itp.,
• używaj znanego i sprawdzonego oprogramowania antywirusowego na swoim urządzeniu,
• zwracaj uwagę na uprawnienia jakich wymaga aplikacja (w szczególności Twoje podejrzenia powinien wzbudzić dostęp do SMS-ów oraz praw administracyjnych na urządzeniu),
• nigdy nie wpisuj pełnego (niemaskowanego) hasła do bankowości w aplikacjach mobilnych,
• nie instaluj aplikacji, co do których masz jakiekolwiek wątpliwości.

Złośliwe aplikacje potrafią udawać strony banków pozyskując w ten sposób login i hasło użytkownika, a także SMS-y z kodami jednorazowymi, które są następnie wysyłane do przestępców.

Podszywają się najczęściej pod niegroźne oprogramowanie, a jednym z elementów, który powinien zwrócić Twoją uwagę są uprawnienia wymagane przez aplikację (np. aplikacja typu „latarka” wymaga dostępu do wiadomości SMS i do Internetu).
 
W przypadku zauważenia niespodziewanych zmian w aplikacjach mobilnych, szczególnie w procesie logowania do bankowości (np. żądanie podania pełnego hasła, zamiast maskowanego) skontaktuj się z infolinią (pod numerem 19 502 lub 22 531 80 50). Takie zmiany mogą świadczyć o tym, że Twoje urządzenie mobilne jest zarażone złośliwym oprogramowaniem.

W ostatnim czasie obserwujemy próby ataków phishingowych na internautów przeprowadzane za pośrednictwem serwisów ogłoszeń lokalnych oraz portali społecznościowych. Scenariusz wygląda najczęściej następująco:

1. Przestępca wystawia towar na sprzedaż w atrakcyjnej cenie.
2. Po skontaktowaniu się w sprawie zakupu, przestępca skłania internautę do opłacenia przesyłki kurierskiej z użyciem szybkiej płatności z wykorzystaniem linku, który następnie zostaje przesłany przez przestępcę na adres e-mail.
3. Ofiara dostaje e-mail zawierający link, który wygląda jak adres popularnego pośrednika płatności. W rzeczywistości prowadzi on do strony na której znajdują się linki do stron podszywających się pod serwisy transakcyjne polskich banków.

Przypominamy, aby:

• pod żadnym pozorem nie logować się do systemów bankowości elektronicznej z użyciem linków otrzymanych w wiadomości e-mail, SMS lub MMS, sieciach społecznościowych, komunikatorach internetowych lub przekazanych telefonicznie,
• zawsze sprawdzać czy znajdujesz się na właściwej stronie logowania do Systemu Bankowości Internetowej (https://login.aliorbank.pl/ lub https://system.aliorbank.pl/sign-in lub https://bn.aliorbank.pl/hades/do/Login),
• zwracać uwagę na treści znajdujące się na stronie logowania do Systemu Bankowości Internetowej (w szczególności weryfikację, czy wyświetla się poprawny obrazek bezpieczeństwa).

Zwracamy uwagę, że przestępcy na fałszywych stronach często proszą o podanie pełnego hasła zamiast maskowanego lub o wpisanie wszystkich znaków z hasła maskowanego jak na poniższym przykładzie:


 
Jeśli proces logowania wygląda inaczej niż zwykle (np. trwa znacznie dłużej, pojawiają się nowe okienka, jesteś proszony o potwierdzenie operacji kodem SMS przy logowaniu itp.) skontaktuj się z infolinią (pod numerem 19 502/ 22 531 80 50) - może to świadczyć o tym, że Twój komputer jest zarażony złośliwym oprogramowaniem.

Informujemy, że zidentyfikowaliśmy złośliwe oprogramowanie instalowane na komputerach klientów, które po zalogowaniu do systemu Bankowości Internetowej wyświetla nieprawdziwy komunikat o "zmianie formatu konta". Akceptacja komunikatu oraz podanie kodu SMS, może umożliwić przestępcom kradzież środków z Twojego rachunku.
 
Jeśli zobaczysz komunikat podobny do tego przedstawionego poniżej, może to oznaczać, że Twój komputer został zarażony. Nie należy z niego korzystać do obsługi Bankowości Internetowej (w tym również innych banków). W takim przypadku, prosimy o niezwłoczny kontakt z naszą infolinią.
 

 
Pamiętaj, że bank nigdy nie prosi o zatwierdzenie kodem SMS operacji, których samodzielnie nie zleciłeś! Przed potwierdzeniem transakcji dokładnie przeczytaj treść całej wiadomości SMS. Sprawdź, czy zlecałeś osobiście taką transakcję lub operację, i porównaj czy jest ona zgodna ze złożoną przez Ciebie dyspozycją.

Informujemy, że trwa akcja phishingowa, w ramach której przestępcy wysyłają na skrzynki użytkowników fałszywe wiadomości e-mail podszywające się pod Alior Bank. Wiadomości te zawierają złośliwe oprogramowanie w postaci zaszyfrowanego załącznika, do którego hasło podawane jest w treści wiadomości (poniżej zamieszczamy przykład).
Osoby, które otrzymały taką wiadomość, mogły paść ofiarą oszustwa. Prosimy nie otwierać załącznika, nie odpowiadać na wiadomość oraz niezwłocznie ją usunąć.

Alior Bank nie jest nadawcą tych wiadomości.  Przypominamy też, że Alior Bank nigdy nie wysyła hasła do załącznika w treści wiadomości.


 


Jeżeli załącznik został rozpakowany:

• nie zalecamy korzystania z tego urządzenia do logowania się do jakiegokolwiek systemu bankowości elektronicznej;
• jedyną skuteczną metodą usunięcia złośliwego oprogramowania jest ponowna instalacja systemu operacyjnego;
• zalecamy również zmianę haseł do wszystkich wykorzystywanych przez Państwa aplikacjach internetowych (systemy bankowości, poczta elektroniczna, portale społecznościowe itp.) z wykorzystaniem innego urządzenia.

W przypadku jakichkolwiek wątpliwości prosimy o kontakt z naszą infolinią pod numerem 19 502.

Więcej informacji na temat bezpiecznego korzystania z bankowości internetowej.

 

W ostatnim czasie, przestępcy przeprowadzają ataki na komputery użytkowników bankowości internetowej, w wyniku których komputery klientów dużej liczby banków i SKOK-ów w Polsce zostają zarażone złośliwym oprogramowaniem. Infekcja rozpoczyna się po otwarciu zainfekowanej fałszywej faktury lub innego załącznika znajdującego się w e-mailu.

Złośliwe oprogramowanie prezentuje fałszywą stronę bankowości elektronicznej. Po wpisaniu identyfikatora klienta oraz hasła, wyświetlana jest strona z fałszywą informacją o weryfikacji danych – podobna jak na poniższym zrzucie ekranu (wygląd i zachowanie strony może się zmieniać).

Przestępcy wykorzystują dane podane przez użytkownika do zalogowania się w ich imieniu do prawdziwej strony banku, zlecają operację i proszą użytkownika o jej potwierdzenie kodem SMS.



Przypominamy, że zgodnie z informacja na stronie Logowanie należy zwrócić szczególną uwagę, czy proces logowania do bankowości internetowej wygląda inaczej niż zwykle – trwa znacznie dłużej, pojawiają się nowe okienka, prośby o wpisanie dodatkowych danych np. pełne hasło zamiast maskowanego lub kodów SMS.

Pamiętaj, że bank nigdy nie prosi o zatwierdzenie kodem SMS operacji, których samodzielnie nie zleciłeś! Przed potwierdzeniem transakcji dokładnie przeczytaj treść całej wiadomości SMS. Sprawdź, czy zlecałeś osobiście taką transakcję lub operację, i porównaj czy jest ona zgodna ze złożoną przez Ciebie dyspozycją.

Jeśli masz wątpliwości związane z bezpieczeństwem procesu logowania na komputerze, przerwij logowanie i skontaktuj się z infolinią (pod numerem 19 502/ 22 531 80 50) lub dowolnym oddziałem banku.

Jednocześnie informujemy, że opisany scenariusz dotyczy tylko komputerów zainfekowanych przez złośliwe oprogramowanie.
Systemy banku pozostają bezpieczne.