Szanowni Państwo,

W związku ze zwiększoną aktywnością cyberprzestępców, a tym samym zwiększoną liczbą występujących w ostatnim czasie transakcji fraudowych realizowanych w szczególności przy wykorzystaniu systemu płatności mobilnych i cyfrowego portfela Apple Pay, poniżej przedstawiamy rekomendacje związane z najczęściej występującym schematem oszustw.

Klient otrzymuje fałszywy e-mail albo SMS, który do złudzenia przypomina wiadomość od firmy, pod którą podszywa się przestępca (firmy kurierskie, dostawcy usług). W przygotowanej przez oszusta wiadomości Klient proszony jest o dokonanie wpłaty na kwotę kilku złotych z tytułu niedopłaty w płatności za przesyłkę lub fakturę. Link do płatności, który umieszczony jest w wiadomości kieruje Klienta na fałszywą stronę, na której Klient podaje wszystkie dane nadrukowane na plastiku posiadanej karty oraz kody akceptacji różnych dyspozycji, również te otrzymane SMS-em na numer telefonu Klienta. Podanie danych umożliwia przestępcy włamanie do urządzenia Klienta lub zarejestrowanie karty Klienta w cyfrowym portfelu Apple Pay na urządzeniu przestępcy. Cyfrowy portfel Apple Pay jest najczęściej wykorzystywany przez przestępców do „fałszywej” tokenizacji kart klientów z uwagi na łatwość przeprowadzenia tego procesu. Apple pozwala na tokenizację karty w aplikacji Wallet niezależnie od użytkownika, któremu karta została wydana, należy ją potwierdzić SMS-em wysłanym do użytkownika karty, który jest później przekazywany przestępcy na fałszywej stronie. Uzyskując te dane przestępca dokonuje następnie szeregu wysokokwotowych transakcji do wyczerpania środków na rachunku Klienta. Transakcje te wykonywane są najczęściej w ramach płatności mobilnych Apple Pay i jest to związane ze sposobem w jaki uwierzytelniane są transakcje kartą stokenizowaną. Po zarejestrowaniu karty i stokenizowaniu jej na urządzeniu przestępcy przy użyciu danych podanych przez Klienta na fałszywej stronie, uwierzytelnienie transakcji następuje poprzez wpisanie kodu lub znaku graficznego, którym zabezpieczony jest telefon i nie są wymagane żądne inne dodatkowe zabezpieczenia, co daje przestępcy nieograniczone możliwości w dostępie do środków na rachunku Klienta.

W ostatnim okresie takie ataki były skierowane na użytkowników portalu OLX. Klienci, którzy wystawiają na sprzedaż towar otrzymują od oszusta e-mail z linkiem prowadzącym na fałszywą stronę. Na tej stronie oszust wyłudza od sprzedającego dane osobowe, nr karty płatniczej i wymaga potwierdzenia operacji SMS-em; tok postępowania oszustów jest analogiczny jak opisany wyżej.

Dlatego też prosimy o zachowanie szczególnej uwagi przy otrzymywaniu wiadomości e-mail lub SMS-em. Przed otwarciem otrzymanej widomości należy przeanalizować od kogo wiadomość pochodzi i czy oczekiwaliśmy tej wiadomości. Przed kliknięciem na otrzymany w wiadomości link musimy być bezwzględnie przekonani, że nie prowadzi nas na fałszywe strony, które nie są szyfrowane certyfikatem naszego Banku. Nie należy ulegać sugestii „przestępcy”, który ponagla nas do szybkiego wypełniania formularza z naszymi danymi. Przestrzeganie tych zasad może Państwa uchronić przed stratami finansowymi spowodowanymi próbami ataku oszustów internetowych.