Pilny komunikat PKO BP. Dotyczy wszystkich klientów. Sprawdź koniecznie

PKO Bank Polski, największy bank w kraju obsługujący około 12 milionów klientów, wydał pilny komunikat ostrzegający przed nową falą oszustw, która osiągnęła niespotykany dotąd poziom wyrafinowania. Przestępcy wykorzystują teraz sztuczną inteligencję do generowania bardzo przekonujących fałszywych legitymacji pracowników banku, które przesyłają ofiarom przez SMS lub email, aby zbudować zaufanie i wyłudzić dane dostępowe do konta. Schemat oszustwa jest coraz bardziej zaawansowany i opiera się na manipulacji psychologicznej wykorzystującej stres i poczucie pilności, co zwykle uspokaja czujność nawet najbardziej ostrożnych klientów. Jeśli niedawno otrzymałeś telefon od kogoś przedstawiającego się jako pracownik departamentu bezpieczeństwa PKO BP, który przesłał ci jego legitymację służbową, z dużym prawdopodobieństwem rozmawiałeś z cyberprzestępcą próbującym opróżnić twoje konto. Przeczytaj ten artykuł zanim odbierzesz kolejny taki telefon i stracisz oszczędności życia.

Jak wygląda nowy schemat oszustwa z wykorzystaniem AI

Atak przebiega zwykle w kilku powtarzalnych etapach dopracowanych do perfekcji przez przestępców. Najpierw klient otrzymuje niepokojącą wiadomość o rzekomym problemie z kontem: informację o podejrzanej pożyczce, którą rzekomo właśnie zaciągnął, albo ostrzeżenie o próbie włamania na konto. To celowe działanie mające wprowadzić ofiarę w stan stresu i zmniejszyć jej zdolność do logicznego myślenia.

Wkrótce potem dzwoni osoba podająca się za pracownika banku z departamentu bezpieczeństwa, która oferuje pomoc w zabezpieczeniu środków. Kluczowym momentem budowania zaufania jest przesłanie spreparowanej legitymacji służbowej pracownika banku przez SMS lub email. Dokument wygląda profesjonalnie, zawiera logo banku, zdjęcie rzekomego pracownika, jego imię i nazwisko, stanowisko oraz numer identyfikacyjny. Wszystko to wygenerowane przez narzędzia sztucznej inteligencji, które potrafią w kilka sekund stworzyć dokument nieodróżnialny od prawdziwego.

Po zdobyciu zaufania ofiary oszust przechodzi do właściwego ataku. Prosi o podanie kodów BLIK, haseł jednorazowych z SMS, loginów do bankowości elektronicznej lub pełnych danych karty płatniczej wraz z kodem CVV. Alternatywnie nakłania do zainstalowania aplikacji do zdalnego sterowania komputerem lub telefonem, tłumacząc że to konieczne do zabezpieczenia konta. W rzeczywistości taka aplikacja daje przestępcy pełną kontrolę nad urządzeniem ofiary, umożliwiając samodzielne zlecanie i autoryzowanie przelewów bez wiedzy właściciela konta.

Ostatnim krokiem jest prośba o przelanie pieniędzy na tak zwane konto techniczne, które rzekomo służy do tymczasowego zabezpieczenia środków. Ofiara słyszy przekonujące wyjaśnienia o procedurach bezpieczeństwa i konieczności szybkiego działania, aby nie stracić wszystkich oszczędności. W rzeczywistości konto techniczne to zwykły rachunek przestępców, na który trafiają pieniądze bezpośrednio z konta ofiary.

Czego bank nigdy nie zrobi podczas kontaktu z klientem

PKO Bank Polski bardzo wyraźnie zaznacza w swoim ostrzeżeniu, że pracownicy banku nigdy nie wysyłają legitymacji ani wizytówek przez SMS czy email. To absolutna czerwona flaga, która powinna natychmiast wzbudzić podejrzenia każdego klienta. Jeśli otrzymałeś taką legitymację, masz niemal stuprocentową pewność że rozmawiasz z oszustem.

Prawdziwi pracownicy banku nie proszą również o podanie przez telefon danych do logowania w bankowości elektronicznej, kodów BLIK, haseł jednorazowych z SMS, pełnych danych karty płatniczej wraz z kodem CVV czy pełnego numeru PESEL. Mogą poprosić maksymalnie o datę urodzenia i ostatnie pięć cyfr PESEL do weryfikacji tożsamości, ale nigdy nie o oba te elementy jednocześnie podczas jednej rozmowy.

Bank nigdy nie zażąda instalacji żadnego oprogramowania podczas rozmowy telefonicznej. Żadnych aplikacji do zdalnego pulpitu, żadnych programów do weryfikacji tożsamości, żadnych narzędzi do zabezpieczania konta. Jeśli rozmówca nalega na zainstalowanie czegokolwiek na twoim telefonie czy komputerze, to oszust bez wyjątku.

Prawdziwy pracownik banku nie będzie również nakłaniał do wykonywania przelewów na jakiekolwiek konta techniczne, bezpieczne czy tymczasowe. Nie istnieje w bankowości coś takiego jak konto służące do zabezpieczenia środków klienta przed włamaniem. To całkowita fikcja wymyślona przez przestępców.

Jak zweryfikować czy naprawdę dzwoni bank

PKO BP oferuje swoim klientom bardzo prosty i skuteczny sposób weryfikacji tożsamości dzwoniącej osoby. Jeśli masz zainstalowaną aplikację mobilną IKO, podczas podejrzanej rozmowy możesz poprosić rozmówcę o weryfikację przez aplikację. Prawdziwy pracownik banku bez problemu się na to zgodzi i wyśle specjalne powiadomienie do twojej aplikacji.

W powiadomieniu zobaczysz dane dzwoniącego pracownika: jego imię, nazwisko, stanowisko i numer identyfikacyjny. Porównaj je z tymi, które podał przez telefon rozmówca. Jeśli się zgadzają i potwierdzenie faktycznie przyszło do aplikacji IKO podczas rozmowy, możesz mieć pewność że rozmawiasz z prawdziwym pracownikiem PKO BP. Jeśli rozmówca odmawia weryfikacji, zaczyna się wykręcać albo nagle przerywa połączenie, to ewidentny oszust.

Co zrobić jeśli nie masz aplikacji IKO lub mimo wszystko masz wątpliwości? Najlepszą strategią jest po prostu rozłączenie się i samodzielne zadzwonienie do banku na oficjalny numer infolinii: 800 302 302. Nie dzwoń na numer, z którego dzwonił do ciebie rozmówca, nawet jeśli wyświetlił się na ekranie jako PKO BP. Przestępcy potrafią fałszować numery telefonów w technice zwanej spoofing, sprawiając że na wyświetlaczu pojawia się oficjalna nazwa banku podczas gdy faktycznie dzwonią z zupełnie innego numeru.

Inne metody oszustów atakujących klientów PKO BP

Oszustwa telefoniczne z fałszywymi legitymacjami to tylko jedna z wielu metod wykorzystywanych przez cyberprzestępców. Bank ostrzega również przed kampaniami phishingowymi prowadzonymi drogą mailową. Oszuści wysyłają fałszywe emaile podszywające się pod oficjalną korespondencję PKO BP, wykorzystując do tego prawdziwie wyglądające adresy nadawcy jak wyciagi@pkobp.pl.

W tytule takiego maila pojawia się informacja o wyciągu okresowym z konta za konkretny okres, na przykład „Wiadomość od PKO Banku Polskiego – Wyciąg okresowy 79/2024 za okres od 2024-04-23 do 2024-04-23”. Do wiadomości dołączony jest załącznik w formacie RAR zawierający plik wykonawczy EXE, który po uruchomieniu instaluje złośliwe oprogramowanie wykradające dane z komputera.

Inny schemat to SMS-y z linkami do pobrania fałszywej aplikacji mobilnej banku. Wiadomość informuje o konieczności aktualizacji zabezpieczeń lub problemach z kartą płatniczą i zawiera link prowadzący do podrobionej strony przypominającej Google Play, App Store albo HUAWEI AppGallery. Pobrany stamtąd program to malware, który po zainstalowaniu przejmuje kontrolę nad telefonem i kradnie dane dostępowe do bankowości mobilnej.

Niektóre ataki wykorzystują również media społecznościowe i komunikatory jak Messenger. Oszuści włamują się na konto znajomego lub członka rodziny ofiary i wysyłają wiadomości proszące o pilną pożyczkę albo szybki przelew, podając numer konta przestępców. Ofiara myśli że pomaga bliskiej osobie w potrzebie, a faktycznie wysyła pieniądze oszustom.

Co to oznacza dla ciebie

Jeśli jesteś klientem PKO BP lub jakiegokolwiek innego banku, zapamiętaj jedną żelazną zasadę: bank nigdy nie zainicjuje kontaktu z tobą prosząc o podanie poufnych danych, instalację oprogramowania czy wykonanie przelewu na jakiekolwiek konto zabezpieczające. Każda taka sytuacja to oszustwo bez wyjątku.

Podczas każdej rozmowy z kimś przedstawiającym się jako pracownik banku zachowaj zdrowy sceptycyzm. Nie daj się zwieść poczuciu pilności, nawet jeśli rozmówca twierdzi że masz tylko kilka minut na zabezpieczenie konta zanim złodzieje wyprowadzą wszystkie pieniądze. To klasyczna socjotechnika mająca na celu wyłączenie twojego logicznego myślenia i zmuszenie do pochopnych decyzji.

Zainstaluj aplikację mobilną IKO jeśli jeszcze jej nie masz. To najszybszy i najpewniejszy sposób weryfikacji tożsamości dzwoniących pracowników banku. Aplikacja pokazuje w czasie rzeczywistym czy trwa połączenie z prawdziwym konsultantem PKO BP i wyświetla jego dane służbowe.

Nigdy nie otwieraj załączników w mailach od banku, nawet jeśli wyglądają na autentyczne. PKO BP nie wysyła wyciągów z konta w załącznikach mailowych – zawsze są one dostępne wyłącznie po zalogowaniu się do iPKO lub aplikacji IKO. Każdy mail z załącznikiem podpisany jako wyciąg bankowy to oszustwo.

Nie klikaj w linki przesłane przez SMS, email czy komunikatory, nawet jeśli wyglądają na prowadzące do strony banku. Zawsze samodzielnie wpisuj adres banku w przeglądarce: https://www.pkobp.pl. Sprawdzaj dokładnie adres URL strony po zalogowaniu – oszuści tworzą podobne domeny różniące się jedną literą, które łatwo przeoczyć.

Jeśli padłeś ofiarą oszustwa i podałeś dane dostępowe albo zainstalowałeś podejrzaną aplikację, natychmiast zadzwoń do banku na numer 800 302 302 i zgłoś incydent. Każda minuta zwłoki zwiększa prawdopodobieństwo utraty pieniędzy. Bank zablokuje dostęp do konta i karty, co uniemożliwi przestępcom dokonanie dalszych przelewów. Następnie koniecznie zmień wszystkie hasła do bankowości elektronicznej i złóż zawiadomienie o przestępstwie na policji.

Rozmawiaj ze starszymi członkami rodziny o zagrożeniach. Seniorzy są szczególnie narażoną grupą, bo często nie znają się na technologii i łatwiej manipulować ich zaufaniem do instytucji. Wyjaśnij rodzicom i dziadkom, że bank nigdy nie wysyła legitymacji przez telefon i nie prosi o kody BLIK. To może uratować ich życiowe oszczędności.