Ubiegłoroczny okres wakacyjny został nazwany przez niektórych obserwatorów „latem phishingu”. Użycie nawiązania do łowienia ryb w wymowie terminu oznaczającego próbę wyłudzenia danych matu sens – naiwni klienci banków, którzy podają poufne dane cyberprzestępcom, biorą corocznie udział w prawdziwym narybku oszukańczych transakcji.

Bohaterem najnowszego ataku phishingowego, w którym przestępca podszywa się pod osobę / instytucję w celu wyłudzenia informacji (np. za pracownika banku chcącego „uaktualnić” bazę danych), jest bank PKO BP. To do jego klientów zostały rozesłane wiadomości e-mail, informujące krótko: „Masz 1 nową ważną wiadomość” z załączonym linkiem do systemu bankowości elektronicznej (w tym przypadku www.ipko.pl). Oczywiście odnośnik odsyłał internautę na podstawioną stronę logowania, bliźniaczo podobną do tej oficjalnej.

Sztuczka ta była używana już wiele razy i chyba wciąż działa, skoro jest praktykowana. Najpierw niczego nieświadomy klient musi podać standardowe dane logowania, tj. login i hasło. Następnie „procedury bezpieczeństwa” będą wymagać od nas podania 2 kodów z karty – zdrapki, używanej do zatwierdzania przelewów w systemie iPKO (trzeba przyznać przestępcom, że na tle konkurencji nie są pazerni – ich poprzednicy wymagali nawet 10 kodów) . Na koniec żąda się od nas jeszcze aktualizacji numeru telefonu. Czyli, w telegraficznym skrócie, wręczamy cyberprzestępcom przepustkę do 2 bezkarnych transakcji z naszego konta bankowego.

Oczywiście PKO BP wystosowało już oświadczenie, w którym przestrzega przed klikaniem w odnośniki i przypomina, że bank nigdy i pod żadnym pozorem nie prosi o podanie poufnych danych przez e-mail. Dodatkowo zbliża się czas wakacji – okres, kiedy często w związku z wyjazdami pojawiają się większe kwoty na naszych kontach czy to na poczet zapłaty za hotel, czy kupno waluty lub po prostu środki na dwutygodniową wycieczkę na Mazury. Szczególnie teraz powinniśmy być zatem ostrożni z pieniędzmi i kontem.