PKO BP ostrzega klientów. To nowy rodzaj oszustwa
PKO BP wydało pilny komunikat: przestępcy zaczęli wykorzystywać narzędzia sztucznej inteligencji do generowania bardzo przekonujących fałszywych legitymacji pracowników banku. Celem ataku jest zdobycie zaufania klienta i dalsze wymuszenie instalacji aplikacji zdalnego pulpitu lub przelania środków na tzw. “konto techniczne”. Bank wyraźnie zastrzega, że jego pracownicy “nie wysyłają wizytówek ani legitymacji w ten sposób” i przypomina o podstawowych zasadach bezpieczeństwa.
Komunikat PKO BP pojawił się w reakcji na rosnącą liczbę zgłoszeń o telefonach, podczas których ofiarom przekazywana jest informacja o rzekomej pożyczce lub “zagrożeniu konta”. W odpowiedzi dzwoni osoba podająca się za pracownika banku, która w celu uwiarygodnienia potrafi przesłać spreparowaną legitymację SMS-em lub e-mailem.
PKO BP opisuje schemat, który zyskał na sile dzięki łatwości tworzenia realistycznych dokumentów przy pomocy narzędzi generatywnej AI. W typowym scenariuszu oszust rozpoczyna od alarmującej informacji o pożyczce lub podejrzanej transakcji, a następnie podsyła “dowód tożsamości” pracownika banku, by zyskać zaufanie rozmówcy.
ZUS ostrzega. Chodzi o nowe oszustwo. Poznaj szczegóły!
Taka legitymacja ma obniżyć czujność i ułatwić następne kroki ataku – od próby instalacji aplikacji zdalnego pulpitu po nakłanianie do przelewu. Bank wyraźnie zaznacza, że jego konsultanci nigdy nie wysyłają wizytówek ani legitymacji SMS-em czy e-mailem i nie proszą o instalowanie oprogramowania, czy dokonywanie przelewów celem “zabezpieczenia” konta.
To rozróżnienie ma kluczowe znaczenie: realny pracownik banku powie, jak weryfikować tożsamość, i nie poprosi o dane logowania, kody BLIK ani pełne dane kartowe przez telefon.
Jak wygląda atak krok po kroku?
PKO BP wskazuje, że oszustwo przebiega zwykle w kilku powtarzalnych etapach. Najpierw klient otrzymuje informację o rzekomym problemie z pożyczką lub zagrożeniu konta; później dzwoni “doradca” oferujący pomoc i przesyła sfałszowaną legitymację.
W kolejnym kroku pojawia się żądanie zainstalowania aplikacji do zdalnego sterowania lub nakłanianie do przelania pieniędzy na “konto techniczne”, które w rzeczywistości służy do depeszowania środków z konta ofiary.
Bank ostrzega, że efektem takich działań może być całkowite przejęcie konta lub utrata zgromadzonych środków. Dlatego komunikat zawiera jednoznaczne instrukcje: nie podawać połączeń ani kodów, nie instalować aplikacji na prośbę rozmówcy i natychmiast przerwać kontakt, jeśli rozmowa budzi wątpliwości.
Rekordowy wzrost ataków na polskie firmy. Jest ostrzeżenie Ministerstwa Finansów
Jak się chronić?
PKO BP apeluje, aby klienci nigdy nie podawali przez telefon danych logowania, kodów BLIK, pełnych numerów kart ani wrażliwych danych osobowych. Bank przypomina także, by nie instalować aplikacji przekazywanych przez rozmówcę i by nie wykonywać przelewów na konta wskazywane w toku takiej rozmowy.
W razie podejrzeń najlepszym rozwiązaniem jest samodzielny kontakt z bankiem, wyłącznie pod numerami i kanałami dostępnymi na oficjalnej stronie instytucji.
Instytucja radzi też, by korzystać z bezpiecznych narzędzi autoryzacji – w przypadku PKO BP służy do tego aplikacja IKO. Jeżeli klient ma wątpliwości co do rozmówcy, powinien poprosić o potwierdzenie jego tożsamości poprzez IKO lub rozłączyć się i zadzwonić na infolinię banku, używając oficjalnego numeru.
Masz konto w PKO BP? Przez jeden błąd możesz stracić oszczędności
Praktyczny mechanizm obronny
PKO BP zachęca klientów do korzystania z mechanizmu weryfikacji w aplikacji IKO: prawdziwy konsultant może potwierdzić swoją tożsamość, a w odpowiedzi klient powinien otrzymać w aplikacji powiadomienie zawierające imię, nazwisko i stanowisko osoby dzwoniącej. To prosty sposób, by zweryfikować, czy rozmówca rzeczywiście reprezentuje bank, i dać pewność, że rozmowa może być prowadzona dalej.
Bank podkreśla, że każda odmowa takiej weryfikacji, podanie nieprawdziwych danych lub brak możliwości sprawdzenia to przesłanki do natychmiastowego przerwania kontaktu i zgłoszenia sprawy do instytucji. To rekomendacja o charakterze praktycznym: w telefonicznej komunikacji bezpieczeństwo identyfikacji powinno leżeć po stronie klienta.
Cyberataki rosną… najsłabszym ogniwem pozostaje człowiek. Co to znaczy dla polskiego biznesu?
Co to oznacza dla klientów i sektora bankowego?
Pojawienie się technik wykorzystujących generatywną AI do tworzenia fałszywych dokumentów pokazuje, że przestępcy szybko adaptują nowe technologie, podnosząc poziom skomplikowania ataków. Dla klientów oznacza to konieczność zachowania szczególnej ostrożności i trzymania się prostych reguł bezpieczeństwa cyfrowego.
Dla banków zaś to sygnał, że komunikacja edukacyjna i techniczne narzędzia weryfikacyjne muszą być stale rozwijane i aktywnie promowane wśród użytkowników.
PKO BP kończy komunikat przypomnieniem: bezpieczeństwo klientów jest priorytetem banku, ale skuteczna ochrona wymaga też świadomości i ostrożności samych klientów. W sytuacji podejrzenia oszustwa najlepszą praktyką jest rozłączenie się i kontakt z bankiem przez oficjalne kanały. Jest to najprostszy sposób, by uniknąć straty środków.
