Tysiące użytkowników internetu otrzymało e-mail z linkiem do podrobionej strony BZ WBK z prośbą o wpisanie danych kart płatniczych. To efekt ataku hackerów, który rozpoczął się już w poniedziałkowy poranek. Korespondencja docierała w trzech wersjach, w tym anglojęzycznej, a e-maile otrzymali zarówno posiadacze kont w BZ WBK, jak i osoby, które nie są jego klientami. Na fikcyjnych formularzach były pytania o numer karty, datę ważności, a także kod PIN.

- Osoby, które otrzymały tego rodzaju korespondencję, mogą być pewne, że mają do czynienia z próbą wyłudzenia danych - ostrzegają przedstawiciele banku.

Informatycy BZ WBK we współpracy z policją zablokowali serwery, z których został przeprowadzony atak, oprócz polskiego były także serwis brazylijski i kolumbijski.

Do wczorajszego popołudnia zidentyfikowano kilkadziesiąt przypadków klientów, którzy podali dane swoich kart, na niektórych zostały zrealizowane transakcje.

- Będziemy kontaktować się w klientami, którzy podali dane swoich kart. Natomiast każdy z tych przypadków, gdzie przeprowadzono transakcje z ich użyciem, będzie analizowany indywidualnie - mówi Piotr Gajdziński, rzecznik BZ WBK.

- Bank nie ma możliwości wyeliminowania takich prób wyłudzania danych - ocenia Rafał Pawlak, redaktor naczelny Hacking.pl.

- Atak był przygotowany profesjonalnie. Szacujemy, że e-maile z linkami do fałszywych stron dotarły co najmniej do kilkudziesięciu tysięcy internautów. Trudno walczyć z tego rodzaju akcjami - dodaje.

Kilka tygodni temu był przeprowadzony podobny atak również na BZ WBK, ale wówczas był on przygotowany nieudolnie. Banki coraz częściej są celem ataków oszustów.

W zeszłym roku w internecie krążyło o 463 proc. więcej trojanów umożliwiających wykradanie haseł do internetowych kont bankowych niż w 2006 roku - podaje Laboratorium PandaLabs, specjalizujące się w wykrywaniu i analizie oprogramowania komputerowego.

O CZYM MUSI PAMIĘTAĆ KLIENT BANKOWOŚCI INTERNETOWEJ

•  Żaden bank nigdy nie wysyła do swoich klientów pytań dotyczących haseł lub innych poufnych danych ani próśb o ich aktualizację.

•  Banki nigdy nie podają w przesyłanych wiadomościach linków do stron transakcyjnych.

•  Nie wolno używać wyszukiwarek internetowych do znalezienia strony logowania banku.

•  Przed zalogowaniem trzeba sprawdzić, czy połączenie z bankiem jest szyfrowane.

•  Nie wolno udostępniać osobom trzecim identyfikatora ani hasła dostępu.

•  Nie wolno zapisywać haseł służących do logowania i powinno się je regularnie zmieniać.

•  Trzeba sprawdzać datę ostatniego poprawnego oraz niepoprawnego logowania do systemu.

SZERSZA PERSPEKTYWA - RYNEK

W ubiegłym roku było kilka głośnych prób wyłudzenia danych od klientów instytucji finansowych, m.in. hakerzy próbowali przejąć hasła klientów Banku BPH i mBanku. Oszuści przeprowadzili także akcję rozsyłania e-maili z fałszywą stroną systemu szybkich płatności Moneybookers.