Jak wygląda nowy atak na klientów mBanku?
Schemat oszustwa jest klasyczny, ale wciąż niezwykle skuteczny. Na skrzynkę pocztową trafia wiadomość, która na pierwszy rzut oka wygląda jak oficjalna korespondencja z banku. Treść informuje o rzekomej konieczności aktualizacji numeru telefonu powiązanego z kontem.
Kluczowym elementem jest presja czasu – oszuści informują, że jeśli użytkownik nie potwierdzi danych w ciągu 48 godzin, jego konto zostanie zawieszone. To standardowa technika socjotechniczna, która ma wywołać panikę i zmusić ofiarę do pochopnego działania bez zastanowienia.
W wiadomości znajduje się link prowadzący do strony łudząco przypominającej prawdziwy serwis transakcyjny mBanku. Po kliknięciu użytkownik jest proszony o podanie loginu i hasła do bankowości elektronicznej. W tym momencie dane trafiają bezpośrednio do przestępców.
Co grozi ofiarom phishingu?
Konsekwencje mogą być katastrofalne. „To przykład phishingu, którego celem jest kradzież danych uwierzytelniających do bankowości elektronicznej. Po przejęciu dostępu, cyberprzestępcy mogą nie tylko wyczyścić konto, ale też wykorzystać dane do dalszych oszustw" – ostrzega Karolina Kmak, ekspert ds. cyberbezpieczeństwa z CyberRescue.
Przestępcy, którzy uzyskają dostęp do konta, mogą w ciągu kilku minut wykonać przelewy na tzw. słupy, czyli podstawione konta, z których pieniądze są natychmiast wypłacane lub transferowane dalej. Odzyskanie środków jest wtedy praktycznie niemożliwe.
Co więcej, oszuści podszywający się pod banki mogą wykorzystać przejęte dane do zaciągnięcia kredytów lub pożyczek na nazwisko ofiary. To oznacza nie tylko utratę oszczędności, ale również wielomiesięczne problemy z wyczyszczeniem historii kredytowej.
Dlaczego ta metoda wciąż działa?
Mogłoby się wydawać, że w 2026 roku nikt już nie da się nabrać na phishing. Rzeczywistość jest jednak brutalna – ataki phishingowe to prawdziwa plaga, a ich skuteczność wcale nie spada.
Przyczyn jest kilka. Po pierwsze, oszuści nieustannie doskonalą swoje metody. Fałszywe strony są coraz lepiej wykonane i trudniejsze do odróżnienia od oryginałów. Po drugie, komunikaty są pisane coraz lepszą polszczyzną – zniknęły charakterystyczne błędy gramatyczne, które kiedyś były sygnałem ostrzegawczym.
Po trzecie, presja czasu i groźba utraty dostępu do konta skutecznie wyłączają racjonalne myślenie. Gdy ktoś czyta, że za 48 godzin straci dostęp do swoich pieniędzy, często klika bez zastanowienia.
Jak rozpoznać fałszywą wiadomość?
Jest kilka sygnałów ostrzegawczych, na które warto zwrócić uwagę:
Sprawdź adres nadawcy – banki wysyłają wiadomości z oficjalnych domen. Adres w stylu „[email protected]" czy „[email protected]" to oczywiste oszustwo. Ale uwaga – przestępcy potrafią też podrabiać adresy, więc sam właściwy adres nie jest gwarancją bezpieczeństwa.
Nie klikaj w linki – prawdziwy bank nigdy nie wysyła linków do logowania w mailach ani SMS-ach. Jeśli chcesz sprawdzić stan swojego konta, wejdź na stronę banku ręcznie, wpisując adres w przeglądarce.
Zwróć uwagę na presję czasu – groźby zawieszenia konta w ciągu 24 czy 48 godzin to klasyczny element oszustwa. Prawdziwy bank nie komunikuje się w ten sposób.
Sprawdź adres strony – zanim wpiszesz jakiekolwiek dane, upewnij się, że jesteś na właściwej stronie. Dla mBanku prawidłowy adres logowania to online.mbank.pl. Każda inna wariacja (np. mbank-logowanie.pl, online-mbank.com) to oszustwo.
Co zrobić, gdy dane trafiły w ręce oszustów?
Jeśli podejrzewasz, że mogłeś paść ofiarą phishingu, działaj natychmiast. Każda minuta zwłoki zwiększa ryzyko utraty pieniędzy.
Krok 1: Skontaktuj się z bankiem – zadzwoń na oficjalną infolinię (numer znajdziesz na karcie płatniczej lub oficjalnej stronie banku, nie w podejrzanej wiadomości). Poinformuj o sytuacji i poproś o zablokowanie dostępu do konta.
Krok 2: Zmień dane logowania – jeśli masz jeszcze dostęp do konta, natychmiast zmień hasło. Wybierz silne, unikalne hasło, którego nie używasz nigdzie indziej.
Krok 3: Sprawdź urządzenia zaufane – w ustawieniach bankowości elektronicznej zobacz, jakie urządzenia mają dostęp do Twojego konta. Usuń wszystkie, których nie rozpoznajesz.
Krok 4: Monitoruj konto – przez najbliższe dni uważnie śledź historię transakcji. Każdy podejrzany przelew natychmiast zgłaszaj do banku.
Krok 5: Zgłoś oszustwo – fałszywą wiadomość warto zgłosić do CERT Polska (cert.pl) oraz przesłać do folderu SPAM, co pomoże dostawcy poczty blokować podobne wiadomości w przyszłości.
Czy bank zwróci pieniądze ukradzione przez phishing?
To pytanie zadaje sobie każda ofiara oszustwa. Odpowiedź nie jest jednoznaczna, ale polskie prawo daje pewne możliwości. Zgodnie z ustawą o usługach płatniczych, bank powinien zwrócić środki z nieautoryzowanej transakcji w ciągu jednego dnia roboczego – chyba że ma podstawy podejrzewać, że klient działał w zmowie z oszustami.
W praktyce sądy coraz częściej stają po stronie ofiar phishingu, nawet jeśli te same przyczyniły się do kradzieży poprzez podanie danych. Kluczowe jest wykazanie, że ofiara nie działała w sposób rażąco niedbały – a to, czy kliknięcie w link w profesjonalnie przygotowanej wiadomości phishingowej jest „rażącym niedbalstwem", bywa przedmiotem sporów.
mBank na celowniku – nie pierwszy i nie ostatni raz
Warto wiedzieć, że klienci mBanku są regularnie celem ataków phishingowych. Nie wynika to z żadnych słabości zabezpieczeń tego konkretnego banku – po prostu mBank ma bardzo dużą bazę klientów, co czyni go atrakcyjnym celem dla przestępców.
Podobne kampanie są prowadzone przeciwko klientom PKO BP, Santandera, ING i praktycznie wszystkich innych banków działających w Polsce. Schemat jest zawsze podobny: groźba zablokowania konta, presja czasu i link do fałszywej strony.
Ostrzeż bliskich – szczególnie starszych
Phishing jest szczególnie groźny dla osób starszych, które mogą być mniej obeznane z technologią i łatwiej ulegają presji. Jeśli Twoi rodzice lub dziadkowie korzystają z bankowości elektronicznej, porozmawiaj z nimi o zagrożeniach.
Najważniejsza zasada jest prosta: bank nigdy nie prosi o podanie hasła ani kliknięcie w link przesłany mailem lub SMS-em. Jeśli ktoś otrzyma taką wiadomość – niezależnie od tego, jak wiarygodnie wygląda – powinien ją zignorować i w razie wątpliwości zadzwonić bezpośrednio do banku.
Informacje o utracie dostępu do konta to stały schemat działania oszustów. Dlatego kluczowa jest czujność i zasada ograniczonego zaufania wobec każdej nieoczekiwanej wiadomości – nawet jeśli na pierwszy rzut oka wygląda na autentyczną.
Obserwuj nas w Google Discover
Podobają Ci się nasze treści?
Google Discover
