Santander Bank Polska działa
już jako Erste Bank Polska. Bank ostrzegał, że przy takiej zmianie oszuści mogą
próbować wyłudzać dane klientów. I właśnie ten scenariusz zaczął się
materializować. Do tego dochodzą fałszywe aplikacje z Google Play i SMS-y o mandatach
z mObywatela.


Santander Bank Polska od 24
kwietnia 2026 roku działa pod marką Erste Bank Polska. Dla klientów zmiana była
jedynie formalna – nie zmieniły się numery kont, umowy, dane logowania ani
sposób autoryzacji. Zmiana objęła w zasadzie aplikację, nazwę i logo. Bank
wyraźnie podkreślał, że nie wysyła maili ani SMS-ów z linkami, nie prosi o
instalowanie dodatkowych aplikacji, aktualizację bezpieczeństwa ani
potwierdzanie loginu, PIN-u czy numeru karty.
CERT Orange Polska opisał
kampanię phishingową wymierzoną w klientów Erste Bank Polska. Atak zaczynał się
od reklamy na Facebooku. Użytkownik po kliknięciu trafiał na stronę, która nie
miała nic wspólnego z bankiem, ale obiecywała „specjalną ofertę” i 1200 zł za
aktywację aplikacji mobilnej. Dalej pojawiała się prośba o login, hasło, a
następnie kod SMS. Taki zestaw danych może wystarczyć do przejęcia konta.
Klienci, którzy czytali
komunikaty banku, wiedzieli, że nie trzeba było ponownie aktywować aplikacji.
Nie trzeba było też zmieniać loginu, hasła ani potwierdzać danych przez link z
reklamy. CERT Orange podkreśla, że podobny schemat może uderzyć w klientów
dowolnego banku. Dziś pretekstem jest Erste, jutro może być inna instytucja,
promocja albo „obowiązkowa weryfikacja”.
Pułapka dla ciekawskich
Kilka dni temu analitycy ESET
opisali kampanię CallPhantom, czyli 28 aplikacji z Google Play, które
obiecywały dostęp do rejestrów połączeń, SMS-ów i historii WhatsApp dla
dowolnego numeru telefonu. Aplikacje pobrano łącznie ponad 7,3 mln razy. Po
dokonaniu płatności użytkownik nie otrzymywał jednak żadnych prawdziwych
danych, tylko losowo wygenerowane informacje.
Aplikacje nie musiały prosić o
podejrzane uprawnienia. Nie potrzebowały dostępu do telefonu, kontaktów czy
wiadomości, ponieważ niczego realnie nie odczytywały. Sprzedawały obietnicę
usługi, której zwykła aplikacja i tak nie mogłaby legalnie ani technicznie
wykonać. ESET wskazał też, że część płatności była prowadzona poza oficjalnym
systemem Google Play, co utrudnia późniejsze odzyskanie pieniędzy.
Fałszywe mandaty
CERT Polska ostrzegał z kolei przed
kampanią, w której oszuści informują o rzekomym wykroczeniu drogowym i
konieczności szybkiego opłacenia należności. W jednym z wariantów wykorzystano
spoofing nazwy nadawcy, więc wiadomość mogła trafić do istniejącej konwersacji
z powiadomieniami z mObywatela. Link prowadził do strony podszywającej się pod
CEPiK, a użytkownik był proszony o dane karty płatniczej.
W kółko to samo. Niestety skutecznie…
Wszystkie trzy przypadki łączy
ten sam mechanizm. Oszust tworzy sytuację, która wygląda znajomo i wymaga
szybkiej reakcji. Nowa marka banku, atrakcyjna premia, aplikacja z oficjalnego
sklepu albo SMS od nadawcy przypominającego państwową usługę mają uśpić
czujność. Potem pojawia się formularz, link albo płatność.
Jak mantrę będziemy powtarzać:
nie należy wpisywać loginu, hasła, kodu SMS ani danych karty po przejściu z reklamy,
wiadomości lub komunikatora. W sprawach bankowych najlepiej samodzielnie wejść
na oficjalną stronę albo do aplikacji. W przypadku mandatów i urzędów trzeba
korzystać z oficjalnych kanałów, a podejrzane SMS-y można przesłać do CERT
Polska na numer 8080.
0 komentarzy