Ważne zmiany dla klientów banków. W życie wchodzi PSD2. Jak oszuści mogą zaatakować?

Już tydzień temu Urząd Komisji Nadzoru Finansowego wydał ostrzeżenie dotyczące wyłudzania poufnych informacji w związku z PSD2.

Szum dookoła wprowadzenia nowego prawa to zawsze doskonała okazja dla hakerów i złodziei, aby wykorzystując ludzką niewiedzę i nieuwagę, rozesłać groźnego wirusa, nakłonić ofiarę do wykonania im przelewu czy nawet wykraść jej wszystkie pieniądze z konta bankowego - przestrzegają eksperci CyberRescue.

Zobacz wideo: Zmiany w logowaniu na konto. Uważaj na oszustów!

W najbliższych tygodniach bądź wyczulony na następujące komunikaty:

• odblokuj swoje konto – jednym z popularniejszych sposobów na wyłudzenie pieniędzy jest przekonanie odbiorcy, że jego konto (w tym wypadku bankowe) zostało zablokowane przez brak zgody (na PSD2) i musi się na nie zalogować celem jego ponownej aktywacji. Zazwyczaj taki atak prowadzony jest przy użyciu e-maila z linkiem wiodącym na odpowiednio spreparowaną stronę banku. Po podaniu na niej swoich danych, hakerzy zyskują pełen dostęp do wspomnianego konta i mogą „wyczyścić” je ze wszystkich środków. Dlatego należy pamiętać, że bank nigdy nie dokonuje w ten sposób weryfikacji i jakiegokolwiek “odblokowania”.
• wykonaj przelew weryfikacyjny – sytuacja analogiczna do poprzedniej. W tym wypadku konto „zostanie odblokowane” jeżeli wykona się przelew na określoną kwotę i na podany w wiadomości adres. Pamiętajmy więc, że nasz bank nigdy o coś takiego nie prosi. Wykonanie takiego przelewu nie tylko pozbawi nas środków, które przelaliśmy, ale też narazi nas na to, że w naszym imieniu zostanie wzięty kredyt – niektóre instytucje finansowe (np. udzielające pożyczki „chwilówki”) stosują bowiem taki właśnie sposób autoryzacji kredytobiorcy.
• podaj numer karty płatniczej – PSD2 określa nowe zasady korzystania z kart płatniczych, dlatego wiadomości, w których oszuści proszą nas o podanie numeru CVC/CCV (trzy ostatnie cyfry z tyłu karty) mogą nie wzbudzić u niektórych osób podejrzeń. To właśnie ten numer uwierzytelnia kartę w transakcjach internetowych, dlatego jego podanie pozwoli złodziejom na wyprowadzenie w ten sposób dużych sum z naszego konta. Podobnie jak w przypadku przelewu weryfikującego konto, bank nigdy nie zapyta nas o CCV/CVC.
• pobierz nową wersję aplikacji bankowej – wielu Polaków korzysta dziś z bankowości elektronicznej w telefonach przy wykorzystaniu specjalnych aplikacji. Złodzieje wiedząc to, często przygotowują podobnie wyglądające programy i przekonują swoje ofiary, że należy je zainstalować. Po zalogowaniu się do fałszywej aplikacji nasz login oraz hasło wędrują wprost do cyberprzestępców. Ponadto, takie programy mogą zawierać w sobie szereg ukrytych wirusów, które wyrządzają dodatkowe szkody np. poprzez kradzież informacji przechowywanych na urządzeniu. Fałszywą wiadomość rozpoznamy po tym, że każdy z banków rekomenduje pobranie aplikacji tylko z wiarygodnego źródła.

Tego typu ataki przeprowadzane są najczęściej drogą elektroniczną, za pomocą maili i SMS’ów, dlatego to właśnie na te kanały komunikacji trzeba najmocniej uważać.

- Hakerzy przez lata dopracowali swoje metody do tego stopnia, że dziś nawet czujny użytkownik może nabrać się na ich sztuczki. E-maile, SMS-y, strona banku czy interfejs aplikacji - wszystkie te elementy są tak dopracowane, aby wyglądały niezwykle autentycznie. Dlatego należy pamiętać o podstawowej zasadzie - bank NIGDY nie wymusi na nas podania całego loginu czy hasła oraz nie nakaże nam wykonania przelewu czy instalacji czegokolwiek - mówi Karolina Wrońska, ekspertka CyberRescue, firmy specjalizującej się w pomocy osobom, które padły ofiarą cyberataków.

Dostałeś taką wiadomość? Co teraz...

W przypadku, kiedy otrzymamy wiadomość o tym, że nasze konto zostało zablokowane przez PSD2, czy też, że potrzebujemy nowej aplikacji najlepiej jest… potwierdzić ją u źródła. Jeżeli chcemy się przekonać, że dana wiadomość na pewno nie pochodzi z naszego banku, możemy zadzwonić na jego infolinię. Pamiętajmy jednak, by numer wziąć z zaufanego źródła, a nie z maila czy SMS’a, który właśnie otrzymaliśmy. Co jednak, jeżeli przez nieuwagę kliknęliśmy w przesłany link bądź podaliśmy swoje dane?

– W przypadku zorientowania się, że zostaliśmy oszukani, liczy się zachowanie spokoju i szybka reakcja. Przede wszystkim sprawdźmy, czy wciąż mamy dostęp do swojego bankowości elektronicznej i natychmiast zmieńmy dane dostępu - login i hasło. Należy też niezwłocznie powiadomić bank o zaistniałej sytuacji - mogą oni zablokować naszą kartę i uniemożliwić w ten sposób kradzież środków – mówi Karolina Wrońska z CyberRescue. Sytuacja robi się dużo trudniejsza, jeżeli o tym, że zostaliśmy oszukani, dowiemy się dopiero jak pieniądze znikną z naszego konta. - Jeżeli przestępcy zdążyli przejąć nasze konto, najlepszym wyjściem jest zwrócenie się do podmiotu takiego jak CyberRescue. Nasz zespół specjalistów wyspecjalizowanych w cyberzagrożeniach ratuje internautów przed tego typu atakami hakerskimi. Dzięki temu jest duża szansa, że atak zostanie udaremniony, a pieniądze wrócą na konto prawowitego właściciela.