Erste Bank Polska i phishing na rebranding. Gdy zmiana marki staje się przynętą

2026-05-13

TL;DR

CERT Orange Polska ostrzega przed kampanią phishingową wymierzoną w klientów Erste Bank Polska. Oszuści wykorzystują zmianę marki z Santander na Erste, żeby uwiarygodnić fałszywą komunikację. W jednym z wariantów atak zaczyna się od reklamy na Facebooku, która obiecuje premię za aktywację aplikacji mobilnej. Dalej użytkownik trafia na fałszywą stronę, gdzie ma podać login, hasło i prawdopodobnie także kod SMS.

To ważny polski case, bo pokazuje, że phishing bardzo często podczepia się pod realną zmianę w organizacji. Rebranding, migracja systemu, nowa aplikacja, zmiana logo albo aktualizacja regulaminu są dla oszustów idealnym momentem. Użytkownik spodziewa się czegoś nowego, więc łatwiej akceptuje komunikat, który w normalnym czasie wzbudziłby więcej podejrzeń.

Rebranding jako gotowa historia dla oszusta

Zmiana marki banku jest trudnym momentem komunikacyjnym. Klient widzi nowe logo, nowe nazwy, nowe komunikaty, czasem nowy wygląd aplikacji i bankowości internetowej. Nawet jeśli technicznie konto działa tak samo, odbiorca może nie mieć pewności, które zmiany są prawdziwe, a które podejrzane.

To właśnie wykorzystuje phishing. Oszust nie musi wymyślać sztucznego kryzysu. Wystarczy, że podepnie się pod realny kontekst: migrację z Santander do Erste, aktywację aplikacji, rzekomą promocję albo konieczność potwierdzenia bezpieczeństwa. Taka historia brzmi wiarygodniej, bo pasuje do tego, o czym klient już słyszał.

W kampanii opisanej przez CERT Orange Polska pojawia się motyw premii za aktywację aplikacji mobilnej. To klasyczne połączenie dwóch bodźców: zmiana techniczna plus korzyść finansowa. Użytkownik nie tylko ma coś zrobić, ale ma dostać za to nagrodę. To obniża czujność.

Fałszywa reklama bywa początkiem ataku

W tym przypadku istotne jest to, że atak nie musi zaczynać się od maila. CERT Orange Polska wskazuje na reklamę na Facebooku, która prowadzi użytkownika do fałszywego procesu. To ważne, bo wiele osób nadal kojarzy phishing głównie z pocztą elektroniczną. Tymczasem reklama, fałszywy profil, post sponsorowany albo wynik wyszukiwania mogą być równie skutecznym początkiem oszustwa.

Odbiorca widzi logo banku, hasło o aktywacji aplikacji i obietnicę premii. W okresie rebrandingu taka informacja może brzmieć prawdopodobnie. Bank zmienia nazwę, więc klient zakłada, że być może trzeba coś potwierdzić, przełączyć albo aktywować. To dokładnie ten moment, w którym oszust dokleja fałszywy krok do prawdziwej zmiany.

Dlatego sama rozpoznawalność marki nie wystarcza. Fałszywe reklamy i profile potrafią wyglądać profesjonalnie, a znane logo nie jest dowodem autentyczności komunikatu.

Fałszywa promocja może być skuteczniejsza niż fałszywy alarm

W phishingu bankowym często widzimy groźbę blokady konta. Tutaj mechanizm jest inny: obietnica premii. To ważne, bo wiele osób myśli o phishingu tylko jako o strachu. Tymczasem równie skuteczna bywa pozytywna przynęta: bonus, zwrot, promocja, cashback, aktywacja z nagrodą.

Odbiorca reklamy może pomyśleć, że bank chce zachęcić klientów do przejścia przez zmianę marki. To brzmi możliwie. Jeśli obok pojawia się logo Erste i komunikat o aplikacji, całość układa się w pozornie logiczny proces.

Właśnie dlatego w programach awareness trzeba ćwiczyć nie tylko fałszywe alerty, ale też fałszywe okazje. Użytkownik powinien rozumieć, że obietnica pieniędzy od banku z linku w reklamie jest tak samo podejrzana jak mail o blokadzie konta.

Najgroźniejszy moment: login, hasło i kod SMS

Według CERT Orange Polska fałszywa strona prosi o login i hasło, a później użytkownik może spodziewać się prośby o kod SMS. To krytyczny moment. Jeżeli ofiara poda dane, przestępca może próbować logować się równolegle do prawdziwej bankowości. Kod SMS może posłużyć do zatwierdzenia logowania albo kolejnego kroku.

Dla użytkownika strona może wyglądać jak normalna bankowość. Dla atakującego jest to kanał przejęcia poświadczeń w czasie zbliżonym do rzeczywistego. Dlatego sama zasada sprawdź, czy strona wygląda jak bank jest niewystarczająca. Fałszywa strona może wyglądać dobrze. Ważniejszy jest adres, źródło wejścia i sens całego procesu.

Jeżeli ktoś wszedł do bankowości z reklamy, maila albo SMS-a, powinien zatrzymać się przed wpisaniem czegokolwiek. Bankowość otwieramy z aplikacji albo przez ręcznie wpisany, znany adres.

Dlaczego to może powtórzyć się przy każdej dużej zmianie

Ten scenariusz nie ogranicza się do Erste. W Polsce podobny atak może pojawić się przy każdej zmianie marki, fuzji, migracji systemu, nowej aplikacji, nowym logo, zmianie panelu klienta, aktualizacji bankowości albo przejściu na nowy model autoryzacji. Oszuści lubią momenty przejściowe, bo użytkownicy nie mają jeszcze utrwalonych nawyków.

Dotyczy to nie tylko banków. Podobny mechanizm może dotknąć operatora telekomunikacyjnego, dostawcę energii, firmę kurierską, platformę medyczną, sklep internetowy, system HR albo narzędzie SaaS używane w pracy. Każda realna zmiana może zostać opakowana w fałszywą wiadomość.

W szerszym sensie to kolejny przykład mechanizmu opisanego w materiale Co to jest phishing? Mechanizm oszustw e-mailowych. Phishing nie zawsze zaczyna się od absurdalnej historii. Często zaczyna się od czegoś prawdziwego, do czego oszust dokleja fałszywy krok.

Co powinien zrobić klient

Jeżeli komunikat dotyczy aktywacji aplikacji, migracji konta, premii, bezpieczeństwa albo rebrandingu banku, nie należy zaczynać od linku. Trzeba otworzyć aplikację banku samodzielnie albo wpisać adres oficjalnej strony ręcznie. Jeśli bank rzeczywiście wymaga działania, informacja powinna być widoczna w oficjalnym kanale.

Nie należy podawać loginu, hasła, kodów SMS ani danych karty po wejściu z reklamy, maila lub SMS-a. Nie należy też ufać fanpage'owi tylko dlatego, że ma logo banku. Fałszywe reklamy i profile są dziś częścią phishingowego łańcucha.

Jeżeli dane zostały podane, trzeba jak najszybciej skontaktować się z bankiem, zmienić hasło, sprawdzić zaufane urządzenia i zablokować podejrzane operacje. W takim scenariuszu czas ma znaczenie.

Lekcja dla firm

Dla organizacji ten case jest szczególnie wartościowy, bo łatwo przełożyć go na środowisko pracy. Każda firma przechodzi zmiany: nowe systemy, rebranding, migrację poczty, zmianę VPN, wdrożenie MFA, nowy portal benefitowy, nowy system kadrowy. Atakujący mogą wykorzystać dokładnie te momenty.

Dlatego przy każdej większej zmianie warto jasno zakomunikować pracownikom, czego firma nie będzie robić. Na przykład: nie będziemy wysyłać linków do wpisania hasła, nie będziemy prosić o kody MFA przez mail, nie będziemy aktywować aplikacji przez reklamę, wszystkie działania będą widoczne w oficjalnym portalu.

Dobrze zaprojektowane testy phishingowe dla firm powinny uwzględniać takie scenariusze. Nie tylko fałszywą fakturę, ale też fałszywą migrację, nową aplikację i promocję związaną z realną zmianą.

Wniosek

Kampania podszywająca się pod Erste Bank Polska pokazuje, że phishing bardzo dobrze wykorzystuje okresy przejściowe. Zmiana marki, nowe logo i komunikacja o migracji tworzą idealne tło dla fałszywej aktywacji i fałszywej promocji.

Najważniejsza zasada jest praktyczna: gdy bank albo inna ważna usługa przechodzi zmianę, ostrożność trzeba zwiększyć, a nie zmniejszyć. Prawdziwe zmiany sprawdzamy w oficjalnym kanale. Fałszywe linki najczęściej przychodzą tam, gdzie ktoś próbuje skrócić nam drogę.