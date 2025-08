PKO BP to największy bank w Polsce, nie ma więc tygodnia, by nie pojawiały się nowe ataki na jego klientów. O najnowszym donosi CSIRT KNF. Podszywając się pod PKO BP, oszuści wysyłają fałszywe wiadomości SMS, nakłaniając do kliknięcia w link. Zachętą jest aktywacja konta specjalnego, chociaż w tego typu atakach mogą się pojawiać też inne próby nakłaniające do kliknięcia.

Link w wiadomości prowadzi do pobrania złośliwego oprogramowania NGate. NGate to dobrze już znany i wyjątkowo niebezpieczny malware na Androida, który stanowi poważne zagrożenie dla klientów wszystkich banków, a w tym przypadku PKO Bank Polski. Jego działanie łączy kilka równoległych technik ataku, a wszystko po to, by przejąć wrażliwe dane i umożliwić kradzież środków z kont ofiar. Po instalacji aplikacja imituje wygląd prawdziwej aplikacji bankowej, prosząc o podanie m.in. loginu, daty urodzenia, PIN-u karty oraz innych danych osobistych i bankowych.

W opisywanym przypadku użytkownicy kuszeni są „nadaniem konta specjalnego” i nakłaniani, by wyrazić zgody – na przetwarzanie danych, na objęcie środków ochroną ubezpieczeniową oraz na podpięcie karty płatniczej do konta. Wiadomość jest tak sformułowana, że większość klientów nie będzie widziała, o co tu właściwie chodzi, a część z nich kliknie, by się przekonać.

W kolejnym kroku zaczyna się właściwy atak – niebezpieczna aplikacja po uruchomieniu próbuje nakłonić ofiarę do przyłożenia karty płatniczej do tylnej części telefonu w celu rzekomej weryfikacji. W tym momencie malware przechwytuje dane z karty (m.in. numer, datę ważności, PIN), a następnie przesyła je do przestępcy. Może to skutkować kradzieżą środków.

Co więcej, wykorzystując NGate i technikę NFC Relay, złodziej może użyć tych danych nawet na odległość do wykonania płatności zbliżeniowych lub wypłaty gotówki z bankomatu. Zarejestrowany telefon przestępcy może emulować kartę ofiary dzięki przesłanym danym. Przestępcy mogą też wykorzystać wyłudzone login i hasło oraz PIN do przelania pieniędzy na własne rachunek.