Zidentyfikowaliśmy próby podszywania się przez oszustów pod pracowników naszego Banku. Oszuści dzwonią z rożnych numerów. Na Twoim telefonie może wyświetlić się nawet numer naszego Banku.
Oszuści informują o rzekomo podejrzanej transakcji i próbują wyłudzić dane poufne lub namawiają do zainstalowania oprogramowania, które umożliwia zdalny dostępu do komputera.
Pamiętaj:
- Pracownicy Banku nigdy nie proszą o podanie hasła do bankowości elektronicznej oraz kodów autoryzacyjnych.
- Nie podawaj danych poufnych odnośnie Twojej karty czy dostępu do bankowości internetowej.
- Nie podawaj przez telefon kodów z SMS-ów autoryzacyjnych.
- Nigdy nie instaluj dodatkowego oprogramowania na prośbę osoby dzwoniącej.
- Zwróć uwagę na akcent dzwoniącego, czy używane słowa np. konto zamiast rachunek.
- Zachowaj zdrowy rozsądek. Nie działaj pod presją czasu. Chroń swoje dane!
- Jeśli masz jakiekolwiek wątpliwości z kim rozmawiasz, rozłącz się, odczekaj minimum 30 sekund i samodzielnie skontaktuj się z Twoim Bankiem. Koniecznie wybierz oficjalny numer na klawiaturze numerycznej, nie oddzwaniaj z listy połączeń, które wyświetlają się na telefonie.
- Bądź ostrożny! A jeśli podałeś poufne dane skontaktuj się natychmiast z Bankiem.
Zapoznaj się z poniższym komunikatem. Wystarczą dwie minuty, które mogą uchronić Twoje środki.
https://zbp.pl/Aktualnosci/Wydarzenia/Oszusci-dzwonia-z-numerow-podszywajacych-sie-pod-banki
ZASADY BEZPIECZNEGO KORZYSTANIA Z BANKOWOŚCI INTERNETOWEJ
Szanowny Kliencie
aby bezpiecznie korzystać z systemów bankowości internetowej, tj. systemu: eBankNet i eCorpoNet, które umożliwiają nowoczesny, bezpieczny i wygodny dostęp do rachunków i innych produktów Powiatowego Banku Spółdzielczego w Kędzierzynie-Koźlu zastosuj kilka zasad:
- Do korzystania z systemu konieczny jest komputer podłączony do Internetu, wyposażony w jedną z niżej wymienionych przeglądarek internetowych:
- Microsoft Edge
- Mozilla Firefox w wersji 102.9 (i wyższych)
- Google Chrome w wersji 111.x (i wyższych)
- Opera w wersji 97.x (i wyższych)
- Przeglądarki muszą mieć włączone przyjmowanie plików cookies oraz obsługę javascript.
- W systemach zastosowane zostały najwyższej klasy rozwiązania gwarantujące pełne bezpieczeństwo korzystania z bankowości internetowej, jednak po stronie Użytkownika leży konieczność przestrzegania niżej wymienionych zasad:
- loguj się wyłącznie bezpośrednio ze strony:
- usługa eBankNet: https://e.pbskkozle.pl,
- usługa eCorpoNet: https://firma.pbskkozle.pl
- zanim podasz swoją nazwę użytkownika i hasło upewnij się, że w pasku adresu przeglądarki nazwa strony rozpoczyna się od https,
- sprawdź, czy na dolnym pasku przeglądarki, na pasku adresu lub obok niego znajduje się ikonka kłódki. Jest to oznaczenie certyfikatu bezpieczeństwa. Po dwukrotnym kliknięciu na kłódkę zostanie wyświetlona informacja, dla kogo certyfikat został wystawiony,
- https w adresie oraz kłódka są potwierdzeniem, że połączenie z systemem eBankNet i eCorpoNet jest szyfrowane i zabezpieczone.
- Ze względów bezpieczeństwa po 3 próbach wprowadzenia nieprawidłowego hasła dostęp do systemu zostanie automatycznie zablokowany. W takim przypadku możesz zgłosić dyspozycję odblokowania telefonicznie bądź poprzez zgłoszenie się do placówki banku.
Mając na uwadze nieustanny rozwój elektronicznych kanałów transakcyjnych potęgujący zjawisko cybeprzestępczości w wirtualnym świecie pragniemy Państwu przypomnieć podstawowe zasady ostrożnego korzystania z elektronicznych instrumentów płatniczych.
W celu zapewniania bezpieczeństwa dokonywanych transakcji zalecamy w szczególności:
- logowanie oraz wykonywanie dyspozycji za pośrednictwem elektronicznych kanałów dostępu wyłącznie osobiście, z użyciem indywidualnych instrumentów uwierzytelniających,
- zachowanie w tajemnicy informacji zapewniających bezpieczne korzystanie z usług bankowości elektronicznej, w tym informacji przekazanych bankowi dla celów weryfikacji oraz nieudostępnianie i nieujawnianie innym osobom (w tym osobom bliskim lub pracownikom banku) instrumentów uwierzytelniających,
- nieprzekazywanie danych uwierzytelniających osobom trzecim, zwłaszcza podczas przychodzącej rozmowy telefonicznej, nawet jeżeli rozmówca przedstawia się jako pracownik banku,
- nieprzekazywanie danych uwierzytelniających na stronach internetowych lub w aplikacjach, do których dostęp uzyskiwany jest przez linki przesłane przez nieznane osoby, w tym także na stronach internetowych zawierających znaki graficzne banku,
- nieprzekazywanie danych uwierzytelniających w celu otrzymania płatności przy transakcjach na odległość,
- należyte zabezpieczenie urządzeń i oprogramowania, których klient używa w celu korzystania z usług bankowości elektronicznej, tj. stosowanie legalnego i zaktualizowanego oprogramowania, stosowanie aktualnego oprogramowania antywirusowego, antyspamowego oraz typu firewall, najnowszych wersji przeglądarek internetowych oraz niestosowanie aplikacji automatyzujących,
- przechowywanie karty płatniczej oraz kodu PIN z zachowaniem należytej staranności i zasad bezpieczeństwa, np. nieprzechowywanie ich razem, niezapisywanie kodu PIN w telefonie, komputerze lub notatniku,
- przechowywanie indywidualnych danych uwierzytelniających bankowości elektronicznej z zachowaniem należytej staranności, w tym obowiązek nieprzechowywania ich razem,
- nieudostępnianie karty płatniczej lub kodu PIN osobom nieuprawnionym, w tym bliskim lub pracownikom banku,
- nieudostępnianie danych karty w celach innych niż dokonanie transakcji, zgłoszenie reklamacji czy zgłoszenie zablokowania karty,
- pobieranie aplikacji mobilnej banku wyłącznie z autoryzowanego sklepu z aplikacjami,
- nieotwieranie oraz nieodpowiadanie na wiadomości e-mail od nieznanych nadawców oraz nieotwieranie nieznanych plików z załączników,
- zachowywanie fabrycznych zabezpieczeń urządzeń mobilnych.
- stosowanie ochrony haseł używanych do logowania w aplikacjach i na stronach internetowych, jeżeli zostały w nich zapisane dane karty,
- zachowanie ostrożności w przypadku płatności kartą w Internecie, wprowadzania PIN-u w terminalu lub bankomacie,\
- niezwłoczne zgłoszenie bankowi utraty, kradzieży, przywłaszczenia, nieuprawnionego użycia lub dostępu do karty w serwisie telefonicznym, w oddziałach banku lub za pośrednictwem serwisu internetowego,
- monitorowania poprawności stanu rachunku prowadzonego w banku,
- niezwłoczne zgłoszenie bankowi utraty, kradzieży, przywłaszczenia, nieuprawnionego użycia lub dostępu do instrumentów uwierzytelniających (kod PIN, kod CVC2/CVV2) w serwisie telefonicznym, w oddziałach banku lub za pośrednictwem serwisu internetowego,
- niezwłoczne zgłoszenie bankowi stwierdzenia utraty, kradzieży, przywłaszczenia telefonu, na którym zainstalowana jest aplikacja mobilna i dodana karta zbliżeniowa w postaci wirtualnej lub aplikacja obca, w której zapisane są karty wydane przez bank,
- zgłoszenie bankowi sytuacji poznania przez osobę trzecią danych karty płatniczej lub kodu PIN.
Dodatkowo przypominamy iż:
- bank nigdy nie wymaga ujawnienia przez użytkownika haseł do bankowości elektronicznej (poza miejscami do tego przeznaczonymi w ramach bankowości internetowej),
- bank nigdy nie wymaga zainstalowania dodatkowego oprogramowania oprócz aplikacji banku pobranej z autoryzowanego sklepu z aplikacjami mobilnymi,
- w przypadku instalacji aplikacji pozwalającej na zdalny dostęp do urządzenia, narażone zostają dane użytkownika i środki na jego rachunku.
Przykłady niewłaściwego zachowania użytkowników elektronicznych instrumentów płatniczych prezentujemy poniżej:
KARTA PŁATNICZA
- Użytkownik pozostawia swoją kartę płatniczą w miejscu publicznym w sposób niezabezpieczony (np. w niezamkniętej szafce na siłowni, na stoliku w kawiarni). Następnie dochodzi do wykonania nisko kwotowych transakcji płatniczych przy użyciu tej karty. Użytkownik narusza wynikający z umowy ramowej obowiązek ostrożnościowy przechowywania karty płatniczej z należytą starannością. \
- Użytkownik otrzymuje e-mail z nieznanego adresu pocztowego. W treści otrzymanej wiadomości użytkownik jest proszony o podanie numeru karty płatniczej, daty jej ważności, numeru CVV/CVC oraz dodatkowych danych uwierzytelniających, aby otrzymać wypłatę wysokiej wygranej w loterii. Użytkownik nie zachowuje ostrożności co do pochodzenia ww. wiadomości, wierzy w wygraną, której nie powinien się spodziewać i w odpowiedzi przekazuje wszystkie żądane informacje. W efekcie dochodzi do użycia karty płatniczej użytkownika poprzez wykonanie transakcji zdalnej (online). Użytkownik narusza wynikający z umowy ramowej obowiązek ostrożnościowy niepodawania chronionych danych (danych uwierzytelniających) osobom trzecim.
- Użytkownik otrzymuje e-mail lub wiadomość z komunikatora internetowego (np. Messenger, Whatsapp) i używa linka prowadzącego do fałszywej strony imitującej stronę banku. Na tej stronie użytkownik podaje pełne dane uwierzytelniające swojej karty płatniczej (imię i nazwisko, numer karty, data ważności, numer CVV/CVC). Następnie dochodzi do użycia przekazanych danych przez nieuprawnioną osobę trzecią w celu zainicjowania procesu dodania („stokenizowania”) karty płatniczej w aplikacji typu wallet (np. Google Pay, Apple Pay), zainstalowanej na urządzeniu mobilnym oszusta. Ukończenie tego procesu zabezpieczone jest dodatkowym uwierzytelnieniem, np. wymaga podania jednorazowego kodu (OTP) przesłanego na urządzenie użytkownika przez SMS lub z wykorzystaniem IVR. W komunikacie przekazującym kod aktywacyjny bank informuje użytkownika, że jest to kod umożliwiający dodanie karty płatniczej do innego urządzenia i jednocześnie wzywa do zachowania ostrożności. Użytkownik ignoruje ostrzeżenie i przekazuje kod na fałszywej stronie. W efekcie dochodzi do umożliwienia oszustowi dokonywania płatności kartą wirtualną (tokenem karty płatniczej użytkownika). Użytkownik narusza wynikający z umowy ramowej obowiązek ostrożnościowy niepodawania chronionych danych (danych uwierzytelniających) osobom trzecim. Użytkownik nie dochowuje także ogólnej staranności związanej z bezpiecznym korzystaniem z instrumentu płatniczego, w tym ignoruje komunikaty przesyłane przez bank oraz nie weryfikuje, czy domena strony internetowej jest taka, z jakiej z reguły loguje się do bankowości internetowej. Użytkownik nie weryfikuje także, czy strona internetowa zabezpieczona jest protokołem SSL. Nie odnosimy się tutaj do problematyki konieczności zabezpieczenia niektórych transakcji kartą płatniczą SCA. 17 Przykłady nieprawidłowego zachowania użytkownika.
BANKOWOŚĆ INTERNETOWA
- Użytkownik sprzedaje rzecz na platformie internetowej typu marketplace. Osoba, która jest pozornie zainteresowana zakupem rzeczy od użytkownika, przekazuje mu link rzekomo umożliwiający otrzymanie płatności z tytułu sprzedaży, gdzie użytkownik wybiera swój bank i podaje swoje dane dostępowe do systemu bankowości internetowej. Według informacji przekazanych przez oszusta, podanie tych danych ma umożliwić użytkownikowi otrzymanie transakcji (ceny) od osoby zainteresowanej zakupem. Następnie oszust dalej wprowadza użytkownika w błąd i informuje go o konieczności potwierdzenia przyjęcia transakcji kodem otrzymanym od banku w SMS. W rzeczywistości oszust używa przekazanych danych dostępowych do systemu bankowości internetowej w celu samodzielnego zalogowania się na konto użytkownika i zlecenia przelewu z jego konta, który dodatkowo potwierdza kodem z SMS przekazanym mu przez użytkownika. Użytkownik narusza wynikający z regulaminu banku obowiązek ostrożnościowy nieotwierania linków przesłanych przez nieznanych adresatów oraz obowiązek nieprzekazywania danych dostępowych osobom trzecim. Użytkownik dodatkowo ignoruje treść SMS-a pochodzącego od banku, który zawiera kod uwierzytelniający, w którym wskazano, że użytkownik powinien użyć tego kodu do uwierzytelnienia transakcji wychodzącej w określonej kwocie, a nie akceptacji transakcji przychodzącej (zignorowanie treści wiadomości). Użytkownik nie weryfikuje także, czy domena strony internetowej jest taka, z jakiej z reguły loguje się do bankowości internetowej.
- Użytkownik przechowuje dane dostępowe do systemu bankowości elektronicznej zapisane na kartce przyklejonej do swojego laptopa. Dochodzi do ich wykradnięcia / podpatrzenia w miejscu publicznym, gdzie użytkownik używał swojego komputera. Za pomocą pozyskanych danych oszustowi udaje się uzyskać dostęp do informacji o adresie e-mail użytkownika, na który następnie przesyła fałszywą wiadomość o konieczności uiszczenia zaległej opłaty za przesyłkę kurierską czy opłacenia zaległego rachunku za prąd. Użytkownik używa linku przesłanego mu w wiadomości e-mail w celu dokonania zapłaty. W tym czasie oszust zleca (inicjuje) z jego rachunku transakcję polecenia przelewu. Użytkownik wpisuje we wskazanym miejscu kod uwierzytelniający z SMS-a otrzymanego od banku (którego oszust używa do uwierzytelnienia transakcji) lub samodzielnie potwierdza transakcję w aplikacji mobilnej. Dochodzi do zlecenia transakcji płatniczych z rachunku użytkownika. Użytkownik narusza obowiązek niepodawania danych uwierzytelniających osobom trzecim, a także ignoruje treść wiadomości SMS z kodem uwierzytelniającym lub treść komunikatu wyświetlanego przy potwierdzaniu transakcji w aplikacji mobilnej.
- Użytkownik otrzymuje e-mail z informacją o konieczności uiszczenia zaległej opłaty za przesyłkę kurierską czy opłacenia zaległego rachunku za prąd. Użytkownik używa linka prowadzącego do fałszywej strony imitującej stronę banku. Na tej stronie użytkownik podaje pełne dane uwierzytelniające do bankowości internetowej, o które jest proszony. W tym czasie – w oparciu o pozyskane dane – oszust zleca (inicjuje) z jego rachunku transakcję polecenia przelewu. Użytkownik wpisuje we wskazanym miejscu kod uwierzytelniający z SMS-a otrzymanego od banku (którego oszust używa do uwierzytelnienia transakcji). Użytkownik narusza obowiązek niepodawania danych uwierzytelniających osobom trzecim, a także ignoruje treść wiadomości SMS z kodem uwierzytelniającym lub treść komunikatu wyświetlanego przy potwierdzaniu transakcji w aplikacji mobilnej.
APLIKACJA LUB URZĄDZENIE MOBILNE
- Użytkownik pozostawia bez nadzoru swój smartfon z zainstalowaną aplikacją mobilną banku. Smartfon nie jest zabezpieczony. W notatkach w telefonie zapisana jest lista haseł do systemu bankowości elektronicznej (mobilnej). Osoba trzecia – za pomocą aplikacji mobilnej – zleca transakcje płatnicze. Użytkownik narusza wynikający z regulaminu banku obowiązek ostrożnościowy nieprzechowywania zapisanych haseł w urządzeniu mobilnym.
- Z użytkownikiem kontaktuje się telefonicznie osoba podająca się za pracownika banku, w którym użytkownik posiada rachunek, i przekonuje go, że powinien zainstalować ważne oprogramowanie (np. antywirusowe) na swoim komputerze lub urządzeniu mobilnym. W rzeczywistości dochodzi do zainstalowania oprogramowania do zdalnego sterowania urządzeniem użytkownika (zdalny pulpit). Aplikacja działa w tle, gdy użytkownik korzysta z aplikacji mobilnej swojego banku, co umożliwia podejrzenie oszustowi kodu PIN używanego do logowania do systemu banku. W następstwie tych zdarzeń możliwe jest wykonywanie transakcji z rachunku użytkownika. Użytkownik narusza wynikający z regulaminu banku obowiązek ostrożnościowy niepodawania chronionych danych osobom trzecim oraz nieinstalowania nieznanego oprogramowania na urządzeniu mobilnym.
- Z użytkownikiem kontaktuje się telefonicznie osoba podająca się za pracownika banku lub policjanta (np. z numeru, na który nie da się oddzwonić) i przekonuje użytkownika, że powinien podać mu swoje indywidualne dane uwierzytelniające (powody w praktyce są różne). W międzyczasie osoba ta instaluje na swoim urządzeniu mobilnym aplikację banku, w którym użytkownik posiada rachunek. Wskutek zabiegów socjotechnicznych użytkownik przekazuje oszustowi kod z SMS-a przesłanego przez bank lub kod uzyskany na infolinii banku, który służy do uwierzytelnienia (zaufania) aplikacji banku na nowym urządzeniu mobilnym i powiązania go z rachunkiem użytkownika. SMS z kodem lub infolinia wyraźnie ostrzegają użytkownika, aby nikomu nie podawał uzyskiwanych kodów. Pomimo to, dzięki przekazanym przez użytkownika danym, oszust uzyskuje dostęp do rachunku użytkownika i dokonuje powiązania z nim nowej aplikacji. W następstwie tych zdarzeń dochodzi do wykonania transakcji z rachunku użytkownika. Użytkownik narusza wynikający z regulaminu banku obowiązek ostrożnościowy niepodawania chronionych danych osobom trzecim oraz ignoruje treść otrzymywanych od banku komunikatów, które informują o skutkach użycia przekazywanego użytkownikowi kodu uwierzytelniającego.
- Z użytkownikiem telefonicznie kontaktuje się rzekomy przedstawiciel giełdy kryptowalut, za pomocą której użytkownik wcześniej inwestował. Oszust informuje klienta, że giełda chce dokonać na rzecz użytkownika zwrotu zdeponowanych tam środków. W tym celu oszust namawia użytkownika, że wyśle do użytkownika link aktywacyjny, który pozwoli zrealizować płatność. Kliknięcie w link powoduje uruchomienie procesu instalacyjnego aplikacji zdalnego pulpitu, która umożliwia zdalny dostęp do urządzenia użytkownika (np. telefonu) przez osobę trzecią. Proces instalacji ww. aplikacji poprzedzony jest komunikatem informującym o charakterze tej aplikacji. Pomimo tego użytkownik dokonuje instalacji. Następnie użytkownik proszony jest o podanie numeru rachunku bankowego, aby giełda kryptowalut dokonała zwrotu środków. Użytkownik nie zna na pamięć numeru rachunku i w tym celu loguje się do rachunku z wykorzystaniem aplikacji mobilnej. Logowanie odbywa się poprzez podanie PIN. W tle tych czynności działa aplikacja zdalnego pulpitu, która pozwala oszustowi na podgląd danych uwierzytelniających (PIN). Po zalogowaniu się do aplikacji mobilnej oszust przejmuje kontrolę nad urządzeniem użytkownika i składa zlecenia poleceń przelewów. Następnie wykorzystuje PIN użytkownika (uzyskany wskutek podglądu) do zatwierdzenia zleceń płatniczych. Użytkownik narusza wynikający z regulaminu banku obowiązek ostrożnościowy niepodawania chronionych danych osobom trzecim oraz nieinstalowania nieznanego oprogramowania na swoich urządzeniach mobilnych
OSTRZEŻENIE ODNOŚNIE PODSZYWANIA SIĘ POD INFOLINIĘ BANKU BPS
Szanowni Państwo,
Departament Bezpieczeństwa Banku Polskiej Spółdzielczości informuje, iż w ostatnim czasie zanotowano próby wyłudzenia danych poprzez oszustów podszywających się pod numer Infolinii Banku BPS.
Schemat działania przestępców:
- przestępcy dzwonią do klienta z numeru Infolinii Banku BPS tj. 801 321 456 lub 86 215 50 00;
- osoba dzwoniąca posiada ukraiński akcent i przedstawia się jako pracownik Banku BPS;
- prawdopodobnie oszust będzie znał imię i nazwisko klienta, a może nawet jego adres, który znajdzie w Internecie;
- rozmowa będzie dotyczyła zablokowania przelewu wykonanego przez klienta lub dokonania transakcji kartą, aby pod pretekstem usprawnienia komunikacji z bankiem lub usunięcia wirusa, przekonać klienta do zainstalowania aplikacji, która przejmie kontrolę nad urządzeniem klienta;
- osoba dzwoniąca może także próbować wyłudzić dane do logowania do bankowości internetowej lub dane odnośnie karty płatniczej;
- podanie danych wrażliwych lub zainstalowanie ww. aplikacji może prowadzić do utraty środków z rachunku.
Mając na uwadze Państwa bezpieczeństwo przypominamy o następujących o zasadach:
- Infolinia Banku BPS nie wykonuje połączeń wychodzących z numeru 801 321 456;
- Infolinia Banku BPS obsługuje klientów banków spółdzielczych tylko w zakresie kart płatniczych.
- Pracownicy odpowiedzialni za bezpieczeństwo w Banku BPS nigdy nie kontaktują się bezpośrednio z klientami.
- Nigdy nie podawaj przez telefon pełnego loginu do bankowości internetowej lub pełnego numeru karty.
- Nigdy nie podawaj przez telefon hasła do bankowości internetowe lub trzy cyfrowego kodu z karty CVV;
- Nigdy nie instaluj dodatkowego oprogramowania by poprawić dostępność usług bankowych.
- Poproś rozmówcę o podanie imienia i nazwiska, jeżeli ich sam nie podał. Pracownicy Infolinii Banku przedstawiają się już na początku rozmowy.
- Pod żadnym pozorem nie przekazuj telefonicznie kodów z SMS-ów autoryzacyjnych.
- Zachowaj ostrożność, jeżeli rozmówca wywiera na Tobie presję czasu. W pośpiechu dużo łatwiej podjąć nieprzemyślane decyzje.
- Jeśli masz jakiekolwiek wątpliwości podczas rozmowy z osobą podającą się za konsultanta, rozłącz się i skontaktuj się bezpośrednio z obsługą Powiatowego Banku Spółdzielczego w Kędzierzynie – Koźlu lub zadzwoń na Infolinię Banku BPS pod numer wskazany na karcie.