Phishing bankowy i fałszywe strony logowania do VeloBank, Santander i Banku Pocztowego
2026-03-15
TL;DR
CSIRT KNF ostrzega przed kampaniami phishingowymi podszywającymi się pod VeloBank, Santander Bank Polska i Bank Pocztowy. Celem ataku są dane logowania do bankowości elektronicznej, a ich wpisanie na fałszywej stronie może skończyć się przejęciem konta i utratą środków.
Najważniejsza zasada jest prosta: zanim się zalogujesz, sprawdź pełny adres strony. Wygląd witryny może być bardzo podobny do oryginału, ale o jej autentyczności decyduje domena, a nie logo czy układ ekranu.
O co chodzi w tym ostrzeżeniu
Według komunikatu opublikowanego w moje.cert.pl przez CSIRT KNF cyberprzestępcy prowadzą kampanie phishingowe podszywające się pod VeloBank, Santander Bank Polska oraz Bank Pocztowy. Na spreparowanych stronach próbują wyłudzić dane logowania do bankowości elektronicznej.
To klasyczny phishing bankowy. Jeżeli chcesz uporządkować podstawy tego mechanizmu, zobacz też materiał czym jest phishing. Ofiara trafia na stronę, która wygląda wiarygodnie, wpisuje login i hasło, a dane zamiast do banku trafiają bezpośrednio do przestępców. W praktyce oznacza to ryzyko przejęcia dostępu do konta, a później także prób wykonania nieautoryzowanych operacji.
Jak działa ten phishing bankowy
Schemat ataku jest prosty, ale skuteczny. Najpierw ofiara dostaje zachętę do działania, na przykład link w wiadomości, reklamie albo poście. Po kliknięciu trafia na stronę przypominającą prawdziwy ekran logowania banku. Jeśli użytkownik działa odruchowo i nie sprawdzi domeny, bardzo łatwo może potraktować ją jak zwykły proces logowania.
Po wpisaniu danych przestępcy przechwytują login i hasło. W kolejnym kroku próbują wykorzystać te informacje do przejęcia dostępu do bankowości elektronicznej, obejścia kolejnych zabezpieczeń albo nakłonienia ofiary do zatwierdzenia operacji, która wygląda niewinnie, ale w rzeczywistości działa na korzyść oszustów.
Warto pamiętać, że prawdziwe adresy logowania nie zawsze wyglądają tak, jak intuicyjnie zakłada użytkownik. VeloBank korzysta z adresu secure.velobank.pl, Santander z domeny centrum24.pl, a Bank Pocztowy kieruje klientów do online.pocztowy.pl. To właśnie dlatego weryfikacja pełnego adresu ma większe znaczenie niż sam wygląd strony.
Po czym rozpoznać fałszywą stronę banku
Najmocniejszym sygnałem ostrzegawczym jest adres strony. Jeśli logowanie zostało otwarte z linku w wiadomości lub reklamie, ryzyko rośnie. Dobrą praktyką jest ręczne wejście na stronę banku albo używanie zapisanej zakładki. Bardzo podobny schemat, czyli fałszywe logowanie po kliknięciu w link z wiadomości, pojawia się też w kampaniach podszywających się pod instytucje publiczne. W przypadku Santander warto znać oficjalny kontekst logowania opisany na stronie bankowości internetowej Santander, ponieważ prawidłowe logowanie działa w domenie centrum24.pl, co dla części użytkowników może być nieoczywiste.
Drugim sygnałem jest presja czasu albo komunikat, który próbuje wymusić natychmiastowe działanie. Jeśli strona lub wiadomość sugeruje pilne potwierdzenie danych, odblokowanie dostępu albo szybką reakcję pod groźbą blokady, warto się zatrzymać i zweryfikować sytuację innym kanałem. Podobnie jest w przypadku Banku Pocztowego, gdzie oficjalna bankowość internetowa Pocztowy24 jasno wskazuje prawidłowy adres logowania jako online.pocztowy.pl.
Nie warto też ufać samemu wyglądowi witryny. Logo, kolory i układ ekranu da się skopiować bardzo szybko. Strona może mieć poprawnie działający formularz, ikonę kłódki, a nawet być dobrze dopasowana do urządzenia mobilnego. To nadal nie oznacza, że jest prawdziwa.
Co zrobić, jeśli klikniesz lub podasz dane
Jeśli tylko klikniesz link, ale niczego nie wpiszesz, zamknij stronę i nie wracaj do niej. Następnie wejdź do bankowości wyłącznie z oficjalnej strony banku i sprawdź, czy nie ma żadnych podejrzanych komunikatów. Sama ostrożność na tym etapie często wystarcza, by zatrzymać atak.
Jeśli jednak podasz login lub hasło, działaj od razu. Najpierw zmień hasło do bankowości elektronicznej, a potem skontaktuj się z bankiem i poinformuj o podejrzeniu phishingu. Sprawdź historię logowań, historię operacji oraz wszelkie powiadomienia bezpieczeństwa. Jeżeli to możliwe, włącz dodatkowe zabezpieczenia i upewnij się, że nikt nie dodał nowego urządzenia, odbiorcy albo metody autoryzacji.
Najkrótszy plan działania wygląda tak:
- przerwij dalsze logowanie i zamknij podejrzaną stronę
- zmień hasło do bankowości elektronicznej
- skontaktuj się z bankiem i zgłoś incydent
- sprawdź historię logowań, transakcji i ustawień bezpieczeństwa
Najczęstsze pytania
Jak rozpoznać fałszywą stronę banku
Sprawdź pełny adres strony przed logowaniem. Fałszywa witryna może wyglądać niemal identycznie jak prawdziwa, ale działać w innej domenie niż oficjalna bankowość elektroniczna.
Czy kłódka przy adresie strony oznacza, że witryna jest bezpieczna
Nie. Kłódka oznacza tylko szyfrowanie połączenia, a nie to, że strona należy do właściwej instytucji. Najważniejsze jest sprawdzenie całej domeny i wejście do banku z oficjalnej strony lub z zapisanej zakładki.
Co zrobić, jeśli wpisałem login i hasło na fałszywej stronie
Jak najszybciej zmień hasło i skontaktuj się z bankiem, aby zabezpieczyć dostęp do konta. Sprawdź historię logowań i transakcji, a jeśli używasz sprzętu służbowego, zgłoś incydent do IT lub zespołu bezpieczeństwa.
Czy phishing bankowy dotyczy tylko maili
Nie. Fałszywe strony mogą być promowane także przez SMS-y, reklamy, komunikatory i media społecznościowe. Celem ataku jest zwykle skłonienie ofiary do wejścia na spreparowaną stronę i podania danych.
Źródła
- Uwaga na fałszywe strony bankowości elektronicznej— Komunikat CSIRT KNF opublikowany w moje.cert.pl