Deutsche Bank i fałszywa reaktywacja photoTAN. Gdy zabezpieczenie staje się przynętą

2026-05-13

TL;DR

Fałszywa wiadomość podszywająca się pod Deutsche Bank wykorzystuje nazwę prawdziwego zabezpieczenia: photoTAN. Odbiorca ma uwierzyć, że certyfikat bezpieczeństwa wygasa i trzeba go reaktywować przed wskazaną datą. Link w wiadomości prowadzi do fałszywego procesu, który ma wyglądać jak obowiązkowa czynność ochronna.

To konkretny przypadek z niemieckiego rynku, ale jego mechanika jest bardzo łatwa do przeniesienia na Polskę. Zamiast photoTAN może pojawić się autoryzacja mobilna, BLIK, zaufane urządzenie, kod SMS, aplikacja bankowa albo ponowna aktywacja dostępu. Oszust nie musi wymyślać nowej historii. Wystarczy, że użyje nazwy zabezpieczenia, które klient już zna.

Kiedy zabezpieczenie staje się przynętą

Banki przez lata uczyły klientów, że dodatkowe zabezpieczenia są ważne. To prawda. Problem zaczyna się wtedy, gdy przestępca wykorzystuje ten sam język i buduje fałszywą procedurę.

photoTAN to metoda autoryzacji operacji bankowych używana między innymi w Deutsche Banku. Dla użytkownika brzmi technicznie, oficjalnie i bezpiecznie. Właśnie dlatego może zostać użyta jako przynęta. Jeśli wiadomość mówi, że certyfikat photoTAN wygasa, część klientów może uznać to za rutynową sprawę techniczną.

W phishingu ważne jest nie tylko to, czego oszust żąda, ale jak to uzasadnia. W tym przypadku nie mówi: podaj hasło. Mówi: zabezpiecz dostęp. To znacznie mocniejsza manipulacja, bo użytkownik ma wrażenie, że działa zgodnie z zasadami bezpieczeństwa.

Termin skraca czas decyzji

W ostrzeżeniu Verbraucherzentrale pojawia się konkretny termin reaktywacji. To nie jest przypadkowy dodatek. Termin ma sprawić, że odbiorca zacznie działać szybciej, niż powinien.

Wiadomość o zabezpieczeniu bez terminu można odłożyć. Wiadomość z datą graniczną wywołuje presję. Użytkownik myśli: jeśli nie zrobię tego teraz, stracę dostęp, aplikacja przestanie działać albo bank ograniczy funkcje. Wtedy link w mailu zaczyna wyglądać jak najprostsza droga do rozwiązania problemu.

To mechanizm znany również z polskich kampanii. Oszuści piszą o końcu ważności aplikacji, wymaganej aktualizacji, zmianie regulaminu, nowym urządzeniu, ponownej aktywacji albo blokadzie kanałów elektronicznych. Treść się zmienia, ale cel jest ten sam: skrócić czas myślenia.

Link nie jest miejscem na procedurę bezpieczeństwa

Najważniejsza zasada jest prosta: procedur bezpieczeństwa banku nie rozpoczynamy z linku w wiadomości. Jeśli bank wymaga działania, informacja powinna być widoczna w oficjalnej aplikacji albo po samodzielnym wejściu na stronę banku.

Fałszywa strona może wyglądać bardzo podobnie do prawdziwej. Może mieć logo, kolory, formularz i język banku. To już nie są czasy, w których phishing zawsze zdradzały literówki i niechlujna grafika. Dzisiaj ważniejszy jest cały proces: skąd użytkownik wszedł, jaki adres widzi w przeglądarce i czy prośba ma sens w oficjalnym kanale.

Jeżeli wiadomość o photoTAN, aplikacji mobilnej, kodzie SMS albo zaufanym urządzeniu prowadzi przez link, użytkownik powinien wyjść z maila i sprawdzić sprawę samodzielnie.

Polski odpowiednik jest bardzo łatwy do wyobrażenia

W Polsce ten sam scenariusz może pojawić się pod wieloma nazwami. Może dotyczyć autoryzacji mobilnej, BLIK, zaufanego urządzenia, numeru telefonu, karty, aplikacji bankowej albo kodów SMS. Może też podszywać się pod komunikat o nowym modelu zabezpieczeń albo ponownym potwierdzeniu danych po aktualizacji systemu.

Użytkownik zna te pojęcia. Wie, że banki mają aplikacje, kody, potwierdzenia i autoryzacje. Właśnie dlatego taki phishing jest wiarygodny. Oszust nie musi tłumaczyć technicznego procesu od zera. Wystarczy, że użyje słów, które klient kojarzy z bezpieczeństwem.

W firmach podobny wariant może dotyczyć Microsoft 365, VPN, SSO, tokena, certyfikatu, MFA albo aplikacji do podpisów elektronicznych. MFA, czyli uwierzytelnianie wieloskładnikowe, jest potrzebne, ale samo słowo MFA również może zostać użyte jako przynęta.

Co powinien zrobić użytkownik

Jeżeli wiadomość dotyczy zabezpieczenia bankowego, nie należy klikać w link. Trzeba otworzyć aplikację banku samodzielnie albo wpisać adres strony ręcznie. Jeśli procedura jest prawdziwa, bank pokaże ją w oficjalnym kanale.

Nie należy podawać loginu, hasła, kodów SMS, danych karty ani kodów autoryzacyjnych na stronie otwartej z wiadomości. Nie należy też dzwonić pod numer podany w podejrzanym mailu, jeśli wiadomość sama wzbudza wątpliwości.

Jeśli dane zostały podane, trzeba natychmiast skontaktować się z bankiem, zablokować podejrzane operacje, zmienić hasło i sprawdzić aktywne urządzenia oraz sesje.

Lekcja dla awareness

Ten scenariusz jest dobry do szkoleń, bo nie wygląda jak banalne oszustwo. Użytkownik widzi komunikat bezpieczeństwa i może chcieć postąpić odpowiedzialnie. Właśnie dlatego test powinien mierzyć nie tylko kliknięcie, ale też to, czy użytkownik rozpoznaje fałszywy proces.

W testach phishingowych dla firm warto ćwiczyć scenariusze, w których atakujący używa prawdziwych pojęć bezpieczeństwa: MFA, token, certyfikat, zaufane urządzenie, VPN, SSO albo aplikacja autoryzacyjna. Użytkownik musi nauczyć się jednej rzeczy: prawdziwy termin techniczny nie oznacza automatycznie prawdziwej wiadomości.

Wniosek

Fałszywa reaktywacja photoTAN pokazuje, że phishing bankowy coraz częściej nie udaje zwykłej promocji ani prostego ostrzeżenia. Udaje zabezpieczenie. I właśnie dlatego jest groźny.

Dobra reakcja jest zawsze taka sama: potraktuj komunikat poważnie, ale nie wykonuj go z linku w wiadomości. Wejdź do usługi samodzielnie i dopiero tam sprawdź, czy taka procedura naprawdę istnieje.