Setki Polaków straciło pieniądze w wyniku nowej, zaawansowanej fali cyberataków. Przestępcy wykorzystują złośliwe oprogramowanie, które zamienia telefon ofiary w czytnik kart płatniczych. CERT Polska alarmuje, że metoda ta, nazwana roboczo NGate, jest niezwykle skuteczna, ponieważ łączy klasyczny phishing z nowoczesną technologią płatności zbliżeniowych.
Skala zagrożenia jest poważna. Według danych firmy ESET, zajmującej się bezpieczeństwem cyfrowym, w pierwszym półroczu 2025 roku odnotowano aż 35-krotny wzrost oszustw opartych na modułach NFC w porównaniu do drugiej połowy 2024 roku. Ataki wymierzone są w klientów największych polskich banków, w tym PKO Banku Polskiego, ING, Spółdzielczej Grupy Bankowej (SGB) oraz Santandera. Mechanizm jest na tyle wyrafinowany, że pozwala złodziejom na natychmiastową wypłatę gotówki z bankomatów, bez fizycznego posiadania skradzionej karty.
Dlaczego ta metoda jest tak niebezpieczna? Wykorzystuje ona zaufanie do banku, presję czasu oraz codzienną znajomość technologii zbliżeniowej. Oszustwo polega na osadzeniu złośliwego oprogramowania na telefonie ofiary, a następnie nakłonieniu jej do „weryfikacji” karty poprzez przyłożenie jej do urządzenia. W ten sposób przestępcy zdobywają wszystkie niezbędne dane i kod PIN, aby wyczyścić konto w ciągu kilku minut.
Jak telefon staje się narzędziem złodzieja?
Cały proces rozpoczyna się od wiadomości phishingowej. Ofiara otrzymuje e-mail lub SMS, który wygląda na oficjalny komunikat banku. Może informować o rzekomym incydencie bezpieczeństwa, konieczności pilnej weryfikacji danych lub problemie technicznym. Wiadomość jest zazwyczaj profesjonalnie przygotowana, zawiera logo i styl wizualny banku, co ma uwiarygodnić oszustwo. Link zawarty w wiadomości prowadzi do strony nakłaniającej do instalacji aplikacji na system Android.
Kluczowy etap ataku następuje chwilę później. Do ofiary dzwoni „pracownik banku”. Oszust jest uprzejmy, zna już niektóre dane klienta, co buduje zaufanie, i uwiarygadnia konieczność instalacji aplikacji. Czasem ofiara otrzymuje nawet SMS z fałszywym potwierdzeniem, że dzwoni do niej przedstawiciel banku. W tym momencie ofiara jest już przekonana, że działa w celu ochrony swoich finansów.
Zainstalowana aplikacja, nazwana przez ekspertów NGate, jest zaawansowana technicznie – wygląda jak prawdziwa aplikacja bankowa, ma odpowiednią ikonę i interfejs. Po jej uruchomieniu, użytkownik widzi prośbę o „pilną weryfikację karty płatniczej”. Instrukcja jest prosta: przyłóż kartę do tyłu telefonu, tak jak w terminalu płatniczym, a następnie wpisz PIN na klawiaturze w aplikacji. Cała operacja trwa mniej niż minutę i jest postrzegana jako rutynowa czynność.
Przechwycenie danych NFC i natychmiastowa wypłata
W momencie przyłożenia karty do telefonu, złośliwe oprogramowanie NGate wykorzystuje moduł Near Field Communication (NFC) urządzenia mobilnego. Telefon zamienia się w de facto czytnik, przechwytując dane karty: pełny numer, datę ważności oraz identyfikatory bezpieczeństwa. Dodatkowo, aplikacja rejestruje wpisany przez ofiarę kod PIN.
Wszystkie te informacje są natychmiast przesyłane przez internet na serwer kontrolowany przez przestępców (CERT Polska zidentyfikował jeden z serwerów pod adresem 91.84.97.13 na porcie 5653). W tym samym czasie, w pobliżu bankomatu w Polsce, czeka wspólnik oszustów. Posiada on specjalne urządzenie, które odbiera przesłane dane i odtwarza je, symulując obecność prawdziwej karty płatniczej.
Bankomat, otrzymując poprawne dane karty i poprawny kod PIN, nie wykrywa oszustwa. Transakcja jest autoryzowana, a wypłata następuje w ciągu zaledwie kilku minut od momentu, gdy ofiara przyłożyła kartę do swojego telefonu. Skradziona kwota to często kilka tysięcy złotych lub cały dzienny limit dostępny na koncie.
Reakcja banków i skala zgłoszeń
Skala ataku jest ogólnopolska. Policja przyjęła dotychczas około 200 oficjalnych zgłoszeń w tej sprawie, choć eksperci ostrzegają, że rzeczywista liczba poszkodowanych może być znacznie wyższa. Ataki dotknęły klientów wielu dużych instytucji finansowych w Polsce. Podobne incydenty odnotowano również w innych krajach europejskich, takich jak Czechy, Węgry, Niemcy i Rosja, co świadczy o międzynarodowym charakterze zorganizowanej grupy przestępczej.
Niektóre banki zareagowały natychmiast. Santander Bank Polska poinformował, że jego wewnętrzny monitoring wykrył podejrzane transakcje i wdrożono rozwiązania blokujące dalsze działania przestępców. Co najważniejsze, bank automatycznie zwrócił skradzione środki wszystkim poszkodowanym klientom, którzy nie musieli nawet składać formalnych reklamacji. To pokazuje, że instytucje finansowe są świadome problemu i starają się minimalizować straty po stronie konsumentów.
Dwie fundamentalne zasady, które chronią twoje pieniądze
CERT Polska podkreśla, że obrona przed atakiem NGate jest możliwa, jeśli przestrzegane są dwie fundamentalne zasady bezpieczeństwa. To proste kroki, które w 100% niwelują ryzyko oszustwa:
1. Pobieraj aplikacje tylko z oficjalnych źródeł
Nigdy nie instaluj aplikacji bankowej z linku przesłanego w wiadomości SMS, e-mailu ani na prośbę telefoniczną. Aplikacje bankowe należy pobierać wyłącznie z oficjalnych sklepów, takich jak Google Play Store lub App Store. Jeśli „pracownik banku” nalega na instalację z zewnętrznego źródła (np. pliku APK), jest to zawsze oszustwo. Prawdziwy bank nigdy nie poprosi o takie działanie.
2. Zawsze oddzwaniaj na oficjalny numer
Jeśli otrzymasz telefon z banku informujący o problemie z kontem, natychmiast się rozłącz i samodzielnie oddzwoń na oficjalny numer infolinii. Numer ten znajdziesz na odwrocie swojej karty płatniczej, na stronie internetowej banku lub w umowie. Prawdziwy pracownik banku nigdy nie będzie miał problemu z tym, żebyś zweryfikował jego tożsamość w ten sposób. Oszuści często próbują skłonić ofiarę do pozostania na linii, twierdząc, że oddzwonienie spowoduje utratę połączenia z „systemem bezpieczeństwa”.
Warto również zapamiętać, że żaden bank nie poprosi o przyłożenie karty płatniczej do telefonu w celu weryfikacji. Bank już posiada wszystkie dane niezbędne do autoryzacji twoich płatności. Taka prośba jest zawsze „czerwoną lampką” wskazującą na próbę oszustwa.
Co zrobić, jeśli padłeś ofiarą ataku?
Jeśli podejrzewasz, że zainstalowałeś złośliwą aplikację i przyłożyłeś do niej kartę, musisz działać natychmiast. Im szybciej zareagujesz, tym większa szansa na zminimalizowanie strat:
- Zadzwoń do banku i zablokuj kartę: Użyj oficjalnego numeru infolinii (nie numeru podanego przez oszusta) i poproś o natychmiastową blokadę karty, której dane mogły zostać skompromitowane.
- Odinstaluj i zresetuj telefon: Odinstaluj podejrzaną aplikację, a następnie, aby mieć pewność, że złośliwe oprogramowanie nie działa w tle, przywróć telefon do ustawień fabrycznych. Pamiętaj o wykonaniu kopii zapasowej ważnych danych.
- Zgłoś sprawę na policję: Nawet jeśli bank zadeklarował zwrot skradzionych środków, zgłoszenie na policji jest niezbędne. Umożliwia to organom ścigania tropienie i rozbijanie grup przestępczych. Posiadanie oficjalnego protokołu policyjnego może być również wymagane w przypadku późniejszych sporów z bankiem.
Cyberprzestępcy stale udoskonalają swoje metody. Oszustwo NGate jest dowodem na to, że coraz częściej łączą oni socjotechnikę z zaawansowaną technologią. Świadomość i przestrzeganie podstawowych zasad bezpieczeństwa to jedyna skuteczna bariera chroniąca przed utratą oszczędności.
