Fałszywe reklamy Banku Pekao na Facebooku. CSIRT KNF ostrzega

cyberbezpieczeństwo
Fałszywe reklamy Banku Pekao na Facebooku / Fot. Shutterstock/TStudious
Aneta Zabłocka 05.03.2025
Ta reklama na Facebooku chce ukraść wasze dane bankowe - ostrzega CSIRT KNF. Na platformie pojawiły się właśnie okienka zachęcające do inwestycji. To oszustwo!

Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!

Fałszywe reklamy o inwestycjach Banku Pekao SA pojawiły się na Facebooku. "Oszuści podszywają się pod @BankPekaoSA i oferują szybkie zyski w krótkim czasie" - ostrzega KNF. Przestępcy przekierowują na fałszywą stronę do logowania - przelewy.bikewheeels.icu, na której wymagają wpisania loginu i hasła.

W tym przypadku wymagają wpisania całego hasła, co powinno zwrócić uwagę klientów banku, ponieważ logowanie na prawidłowej stronie banku nie wymaga tego.

Fałszywe strony banków

Banka Pekao SA to nie jedyny bank, pod który podszywają się przestępcy. W ostatnich miesiącach CSIRT KNF ostrzegało też przed fałszywymi profilami banków PKO BP i BNP Paribas. W sieci można natknąć się również na stworzone przez oszustów strony Orange Polska, Allegro czy Booking.com. Niedawno wydano również ostrzeżenia przed przekierowaniami do aplikacji mObywatel, która zbierała dane wrażliwe.

"Reklamy zachęcają atrakcyjnymi ofertami, a w rzeczywistości prowadzą na niebezpieczne strony bankowości elektronicznej, gdzie wyłudzane są loginy i hasła użytkowników" - przestrzega Komisja Nadzoru Finansowego.

Jak rozpoznać fałszywą stronę bankową?

Jak rozpoznać stronę, która chce wyłudzić nasze dane? Oto poradnik w 5 krokach.

Krok 1: Sprawdź adres strony internetowej

Zawsze wpisuj adres strony banku ręcznie w pasku adresu przeglądarki lub korzystaj z zapisanych zakładek. Nie klikaj w linki otrzymane w e-mailach lub wiadomościach SMS, nawet jeśli wyglądają na wiarygodne. Pamiętaj, że cyberprzestępcy mogą wykorzystać fałszywe reklamy w wyszukiwarkach internetowych, aby przekierować Cię na fałszywą stronę. Zachowaj ostrożność, szczególnie jeśli korzystasz z publicznej sieci Wi-Fi, która jest bardziej podatna na ataki.

Zwróć szczególną uwagę na adres URL strony. Fałszywe strony często wykorzystują adresy bardzo podobne do oryginalnych, z niewielkimi modyfikacjami, które łatwo przeoczyć. Cyberprzestępcy mogą:

  • zmienić domenę najwyższego poziomu: Zamiast ".pl" może pojawić się ".com", ".net" lub inna,
  • dodać lub usunąć znaki: W adresie mogą pojawić się dodatkowe litery, cyfry lub myślniki,
  • zastąpić litery podobnie wyglądającymi znakami: Na przykład "m" może zostać zastąpione przez "rn" lub "l" przez "I",
  • wykorzystać kodowanie Punycode: Pozwala to na tworzenie adresów z literami spoza alfabetu łacińskiego, które wizualnie przypominają te oryginalne.

Przykład: Prawidłowy adres strony Banku Pekao S.A. to pekao.com.pl. Fałszywa strona może używać adresu pekao-sa.com lub pekao.co.pl lub inne. 

Krok 2: Zwróć uwagę na certyfikat SSL

Bezpieczne strony internetowe, w tym strony banków, korzystają z protokołu HTTPS, który szyfruje połączenie między Twoim komputerem a serwerem. Obecność certyfikatu SSL potwierdza autentyczność strony i gwarantuje, że dane przesyłane między Tobą a bankiem są chronione. Transakcyjne strony internetowe udostępniające usługi płatności internetowych powinny być identyfikowane przez rozszerzone certyfikaty walidacyjne, które dają użytkownikom większą pewność.

Jak sprawdzić certyfikat SSL?

W pasku adresu przeglądarki, przed adresem strony, powinna pojawić się kłódka. Kliknij na kłódkę, aby wyświetlić szczegółowe informacje o certyfikacie. Sprawdź, czy certyfikat został wydany dla właściwej domeny i czy jest ważny. Uwaga: Niektóre fałszywe strony również mogą posiadać certyfikat SSL, ale może on być nieważny, wydany dla innej domeny lub pochodzący od nierozpoznanego wystawcy.

Krok 3: Oceń wygląd i treść strony

Fałszywe strony często imitują wygląd oryginalnych witryn bankowych, ale mogą zawierać błędy lub nieścisłości. Zwróć uwagę na:

  • Jakość grafiki i tekstu: Czy strona wygląda profesjonalnie? Czy nie ma błędów ortograficznych, gramatycznych lub stylistycznych?
  • Funkcjonalność: Czy wszystkie linki i przyciski działają poprawnie? Czy strona ładuje się szybko i bez problemów?
  • Treść: Czy informacje na stronie są aktualne i zgodne z tym, co wiesz o swoim banku? Czy numery rachunków w przelewach zdefiniowanych nie uległy podmianie?
  • Przed potwierdzeniem transakcji zawsze weryfikuj zgodność numeru konta, na które przelewasz środki pieniężne, z numerem odbiorcy. Nie kopiuj numerów rachunków bankowych do przelewów („kopiuj-wklej”), ale wpisuj je samodzielnie i dokładnie weryfikuj. Na bieżąco przeglądaj historię rachunku i operacji na każdej karcie płatniczej pod kątem podejrzanych transakcji.

Wskazówka: Jeśli coś wzbudza Twoje wątpliwości, skontaktuj się z infolinią swojego banku i zapytaj o autentyczność strony.

Krok 4: Nie daj się zwieść podejrzanym ofertom

Cyberprzestępcy często wykorzystują fałszywe reklamy, promocje i oferty, aby zwabić ofiary na swoje strony. Moga oferować: zniżki na paliwo lub inne produkty, bonusy i dodatki finansowe, możliwość szybkiego zarobku, informacje o rzekomych problemach z twoim kontem.

Pamiętaj: Banki nigdy nie proszą o podanie pełnych danych do logowania lub danych z kart płatniczych poza oficjalnymi kanałami komunikacji. Jeśli otrzymasz podejrzaną wiadomość lub ofertę, zachowaj ostrożność i zweryfikuj jej autentyczność. Cyberprzestępcy mogą również stosować techniki socjotechniczne, podszywając się pod pracowników banku lub inne osoby, aby manipulować Tobą i wyłudzić poufne informacje.

KNF zaleca stosowanie silnego uwierzytelniania klienta, takiego jak uwierzytelnianie dwuskładnikowe, do inicjowania płatności internetowych i dostępu do wrażliwych danych płatniczych. To dodatkowa warstwa bezpieczeństwa, która utrudnia cyberprzestępcom dostęp do Twojego konta.

Krok 5: Zainstaluj oprogramowanie antywirusowe i aktualizuj je regularnie

Dobre oprogramowanie antywirusowe może pomóc w ochronie przed phishingiem i innymi zagrożeniami w sieci. Upewnij się, że Twój program antywirusowy jest zawsze aktualny i regularnie skanuj swój komputer w poszukiwaniu wirusów i złośliwego oprogramowania. Korzystaj tylko z oprogramowania pochodzącego z legalnych i zaufanych źródeł, aby zminimalizować ryzyko infekcji. Pamiętaj również, że dostawcy usług płatniczych powinni wyłączać w serwerach wszystkie zbędne funkcje w celu ich ochrony („utwardzenia”) i wyeliminowania lub ograniczenia podatności na ataki.

Tematy: allegro bank pekao banki BNP Paribas booking cyberbezpieczeństwo knf

ZOBACZ RÓWNIEŻ

O której przyjdzie przelew? Godziny sesji Elixir w bankach w Polsce

O której przyjdzie przelew? Godziny sesji Elixir w bankach w Polsce

Nie kupimy, ale zbudujemy własny komputer kwantowy. Wywiad z płk. Markiem Życzkowskim

Nie kupimy, ale zbudujemy własny komputer kwantowy. Wywiad z płk. Markiem Życzkowskim

Jak big techy z Polską biesiadują. "To oddanie się w ręce amerykańskich lobbystów"

Jak big techy z Polską biesiadują. "To oddanie się w ręce amerykańskich lobbystów"

Afera wokół Cinkciarz.pl. Banki blokują przelewy, a kantor żąda zapłaty od klientów

Afera wokół Cinkciarz.pl. Banki blokują przelewy, a kantor żąda zapłaty od klientów

Masowe zwolnienia w banku DBS. Pracowników zastąpi sztuczna inteligencja

Masowe zwolnienia w banku DBS. Pracowników zastąpi sztuczna inteligencja

Takich specjalistów potrzebują teraz firmy. Ofertują 18 tys. zł miesięcznie

Takich specjalistów potrzebują teraz firmy. Ofertują 18 tys. zł miesięcznie

Nowy ekspert w zespole ZnanyPapuga. Startup domyka rundę finansową na 2 mln dol.

Nowy ekspert w zespole ZnanyPapuga. Startup domyka rundę finansową na 2 mln dol.

Wyciek danych klientów mBanku i innych. Wyciągi kart, skany dowodów osobistych na Docer.pl

Wyciek danych klientów mBanku i innych. Wyciągi kart, skany dowodów osobistych na Docer.pl

Afera wokół Cinkciarz.pl. Na nośnikach prezesa znaleziono 200 mln zł

Afera wokół Cinkciarz.pl. Na nośnikach prezesa znaleziono 200 mln zł

2,8 mld zł dla Polski. Microsoft zainwestuje w sztuczną inteligencję i cyberbezpieczeństwo

2,8 mld zł dla Polski. Microsoft zainwestuje w sztuczną inteligencję i cyberbezpieczeństwo

Bezpłatny serwis ds. cyberbezpieczeństwa od NASK. Wykrył już 30 tys. zagrożeń

Bezpłatny serwis ds. cyberbezpieczeństwa od NASK. Wykrył już 30 tys. zagrożeń

Podatek od "szmateksu". Skarbówka sprawdzi, co sprzedałaś na Vinted

Podatek od "szmateksu". Skarbówka sprawdzi, co sprzedałaś na Vinted