Mnogość wpisów poświęconym phishingowi na tym blogu dowodzi dwóch rzeczy, które teoretycznie powinny się wykluczać. Po pierwsze, jest to zjawisko znane i bardzo częste. Po drugie, to wciąż skuteczny sposób na kradzież.

Tym razem sprawa dotyczy elektronicznego systemy bankowości banku PKO BP. I tym razem na oficjalnej stronie PKO pojawiło się ostrzeżenie o ataku i przypomnienie, że bank nigdy nie prosi drogą mailową o podanie jakichkolwiek danych, szczególnie do logowania lub krótkich kodów do przelewów. To właśnie było podstawą cyberprzestępstwa, które niestety w kilku przypadkach się powiodło.

Do klientów banku rozesłano następującą wiadomość (pisowania oryginalna):

Szanowny kliencie ,
Otrzymałeś nową wiadomość
Proszę clik tutaj .

Adresy stron, na które przekierowywał link, zawierają podejrzliwe elementy (protokół hxxp://), ale jeśli ktoś w przypływie naiwności otworzył odnośnik w mailu, mógł i to pominąć. Strona docelowa zawierała rzecz jasna pola logowania, a po podaniu danych – witrynę, na której w celu „odblokowania dostępu” zachęcała do wpisania ostatnio użytego i trzech niewykorzystanych kodów z karty-zdrapki od PKO. Według pierwszych informacji, cyberprzestępcy w czasie rzeczywistym dokonywali przelewów za pomocą otrzymanych danych. Przez wykorzystanie serwisu umożliwiającego doładowanie kart prepaid, przenieśli z kont swych ofiar około kilkanaście tysięcy złotych: z wielu prób wyłudzeń kilka się powiodło, każda na kwotę 3 tysięcy złotych. Atak miał też podobno dotyczyć banku Citi Handlowy, jednak są to informacje nie potwierdzone, gdyż Citi się do nich nie ustosunkował.

Najbardziej w całej sytuacji niepokoi nie tyle fakt, że atak się tym razem powiódł, a to, że wciąż strategia taka działa. Mimo podejrzanie wyglądających domen, błędów w pisowni w samej wiadomości e-mail, hackerzy cały czas potrafią trafić do elektronicznych portfeli Polaków. Czasami zresztą wystarczy jeden „złoty strzał”, jak konto walutowe, by przed przelewek kupić lub sprzedać walutę i obłowić się na kilkanaście, kilkadziesiąt czy nawet kilkaset tysięcy złotych.