PKO BP ostrzega klientów przed oszustami, którzy starają się wyłudzić dane karty i PIN pod pretekstem aktualizacji aplikacji. W scenariuszu opisywanym przez bank, do klientów dzwonią osoby podające się za pracownika PKO lub wysyłają SMS z informacją, że wystąpił problem z aktualizacją aplikacji. Rozwiązaniem ma być kliknięcie w link rzekomo kierujący do nowej wersji apki. W rzeczywistości prowadzi on do fałszywej strony lub sklepu z aplikacjami, z których użytkownik ma pobrać oprogramowanie.
Ofiara jest proszona o weryfikację swojej tożsamości – ma to zrobić przez przyłożenie karty do telefonu oraz wpisanie jej kodu PIN. W ten sposób oszuści pozyskują dane karty, które potem wykorzystują, aby okraść ofiarę.
PKO podkreśla, że jego pracownicy nigdy nie proszą o przykładanie karty do telefonu ani wpisywanie PIN-u karty w aplikacji. Warto też stosować się do ogólnej zasady, by nie klikać w linki wysyłane w tego rodzaju wiadomościach. Przy pobieraniu i aktualizacji oprogramowania należy zawsze upewnić się, że pochodzą one z oficjalnych sklepów (Google Play, App Store, Huawei App Gallery) i nie instalować oprogramowania z nieznanych źródeł ani za niczyją namową, zwłaszcza na urządzeniach, z których użytkownik loguje się do banku.
Jednocześnie warto zwrócić uwagę, że przestępcy w opisywanym przez PKO BP schemacie wykorzystują mechanizm przykładania karty do telefonu, który stosuje też kilka banków przy autoryzacji. Takie rozwiązanie wprowadził np. mBank czy ING. Procedura ta ma co do zasady zwiększać bezpieczeństwo, bo np. mBank informował, że wykorzystuje ją do dodatkowego potwierdzenia tożsamości klienta przy transakcjach, co do których ma wątpliwości, czy są wykonywane przez prawowitego użytkownika. Jednocześnie skutkiem ubocznym jest to, że klienci mogą się spodziewać, iż bank będzie od nich takiej operacji oczekiwał. Co w przypadku opisywanym przez PKO niestety jest wykorzystywane przez oszustów. Natomiast, aby ten trik zadziałal na korzyść przestępców, wcześniej klient musiałby popełnić kilka istotnych błędów. Na przykład nie zweryfikować osoby podającej się za pracownika banku, kliknąć w link z SMS-a i pobrać fałszywą aplikację z niezaufanego źródła.
