Fałszywa weryfikacja numeru telefonu w banku. Przypadek SNS Bank

2026-05-13

TL;DR

Fałszywa wiadomość opisana przez Fraudehelpdesk wykorzystuje prosty, ale bardzo skuteczny pretekst: w danych klienta ma brakować numeru telefonu. Odbiorca dostaje termin na uzupełnienie informacji, a brak reakcji ma skutkować ograniczeniem funkcji rachunku albo opóźnieniami w komunikacji z bankiem.

To konkretny przypadek z holenderskiego rynku, ale mechanika jest łatwa do przeniesienia na Polskę. Numer telefonu jest dziś częścią bankowości: służy do kontaktu, autoryzacji, potwierdzania operacji i odzyskiwania dostępu. Właśnie dlatego fałszywa aktualizacja numeru może wyglądać jak normalna procedura bezpieczeństwa.

Numer telefonu wygląda jak niewinna informacja

Hasło, PIN albo kod SMS od razu brzmią wrażliwie. Numer telefonu dla wielu osób wydaje się mniej groźny. To błąd. W bankowości numer telefonu może być powiązany z autoryzacją, komunikacją alarmową, resetem dostępu, potwierdzeniami i dalszym kontaktem z klientem.

Oszust może więc wykorzystać go jako pierwszy krok. Fałszywa wiadomość nie musi od razu kraść pieniędzy. Może zbierać dane, które później posłużą do bardziej przekonującej rozmowy telefonicznej, czyli vishingu. Vishing to oszustwo przez rozmowę telefoniczną, w której przestępca podszywa się na przykład pod bank, policję, operatora albo pracownika wsparcia.

Jeżeli atakujący wie, że klient kliknął w wiadomość, podał dane i spodziewa się kontaktu banku, kolejny telefon będzie znacznie bardziej wiarygodny.

Groźba ograniczenia rachunku tworzy presję

W tym scenariuszu nie chodzi tylko o aktualizację danych. Ważna jest groźba konsekwencji. Brak numeru telefonu ma prowadzić do ograniczenia rachunku albo utrudnień w komunikacji. To wystarczy, żeby użytkownik poczuł, że sprawę trzeba załatwić szybko.

Presja czasu i funkcji działa podobnie jak w klasycznym phishingu na blokadę konta. Odbiorca nie chce stracić dostępu do bankowości, więc link w wiadomości zaczyna wyglądać jak wygodne rozwiązanie.

W rzeczywistości to właśnie link jest najgroźniejszym elementem. Przenosi użytkownika z bezpiecznej ścieżki do procesu kontrolowanego przez oszusta.

Polski odpowiednik jest bardzo prawdopodobny

W Polsce podobna wiadomość mogłaby dotyczyć numeru telefonu do autoryzacji SMS, aplikacji mobilnej, BLIK, zaufanego urządzenia, karty płatniczej, danych klienta albo ponownej aktywacji bankowości po aktualizacji zabezpieczeń.

Użytkownik wie, że bank potrzebuje aktualnych danych kontaktowych. Wie też, że numer telefonu jest ważny dla kodów, aplikacji i powiadomień. To sprawia, że fałszywa wiadomość nie brzmi absurdalnie.

Taki scenariusz może uderzyć również w firmę. Zamiast banku pojawi się system HR, konto Microsoft 365, VPN, portal benefitowy, narzędzie finansowe albo dostawca podpisu elektronicznego. Zamiast numeru telefonu do banku pojawi się numer do MFA, czyli uwierzytelniania wieloskładnikowego.

Co powinien zrobić użytkownik

Jeżeli bank prosi o uzupełnienie numeru telefonu, nie należy zaczynać od linku w mailu. Trzeba otworzyć oficjalną aplikację albo wpisać adres banku ręcznie. Jeśli taka aktualizacja jest naprawdę wymagana, informacja powinna być widoczna w oficjalnym kanale.

Nie należy podawać danych osobowych, loginu, hasła ani kodów na stronie otwartej z wiadomości. Nie należy też dzwonić na numer podany w podejrzanym mailu. Weryfikację trzeba rozpocząć samodzielnie, poza ścieżką wskazaną przez nadawcę wiadomości.

Jeśli dane zostały podane, warto skontaktować się z bankiem, zmienić hasło, sprawdzić aktywne urządzenia i uważać na kolejne telefony. Kolejny etap ataku może przyjść nie mailem, ale rozmową.

Lekcja dla firm

Ten case jest bardzo dobry do awareness, bo pokazuje, że phishing nie zawsze prosi od razu o hasło. Czasem zaczyna od danych, które wydają się pomocnicze: numeru telefonu, adresu, identyfikatora klienta albo potwierdzenia urządzenia.

W testach phishingowych dla firm warto ćwiczyć takie scenariusze, bo są bliższe prawdziwym atakom niż proste maile z hasłem. Użytkownik powinien rozpoznać nie tylko fałszywy formularz, ale też fałszywy proces.

Wniosek

Fałszywa weryfikacja numeru telefonu pokazuje, że phishing bankowy potrafi zaczynać się od pozornie niewinnej aktualizacji. Numer telefonu nie jest drobiazgiem, jeśli służy do autoryzacji, kontaktu i odzyskiwania dostępu.

Najważniejsza zasada pozostaje ta sama: sprawy bankowe i bezpieczeństwa konta sprawdzamy w oficjalnej aplikacji albo na stronie wpisanej ręcznie. Link z wiadomości nie powinien być początkiem żadnej weryfikacji.