FBI ostrzega przed przejęciami kont (ATO) przez podszywanie się pod wsparcie banków. Straty od stycznia 2025 r. przekroczyły 262 mln USD - Security Bez Tabu

FBI ostrzega przed przejęciami kont (ATO) przez podszywanie się pod wsparcie banków. Straty od stycznia 2025 r. przekroczyły 262 mln USD

Wprowadzenie do problemu / definicja luki

FBI (IC3) wydało 25 listopada 2025 r. komunikat ostrzegający przed falą oszustw typu Account Takeover (ATO), w których cyberprzestępcy podszywają się pod pracowników banków i działów wsparcia instytucji finansowych. Od stycznia 2025 r. zarejestrowano ponad 5,1 tys. skarg na tego typu incydenty, a straty przekroczyły 262 mln USD. Celem ataków są osoby prywatne, firmy i organizacje – zarówno konta bankowe, jak i portale płacowe czy HSA.

W skrócie

  • Vektor ataku: socjotechnika (SMS/połączenia/e-maile), phishingowe strony logowania i SEO poisoning (fałszywe reklamy w wynikach wyszukiwania).
  • Cel: wyłudzenie danych logowania i kodów MFA/OTP, przejęcie sesji i szybkie przelewy na konta powiązane m.in. z kryptowalutami.
  • Skala: sektor finansowy jest nieproporcjonalnie często celem phishingu (ok. 68% stron phishingowych w badanym okresie kierowano do klientów instytucji finansowych).
  • Trend UE: ENISA wskazuje rosnącą dojrzałość ekosystemu zagrożeń 2024/2025 i utrzymanie wysokiej aktywności intruzyjnej, w tym kampanii opartych o phishing i nadużycia tożsamości.

Kontekst / historia / powiązania

ATO nie jest nowym zjawiskiem, ale kombinacja podszywania się pod wsparcie banku, phishingu domenowego i płatnych reklam/SEO poisoning zwiększa skuteczność ataków. Zewnętrzne raporty branżowe od lat sygnalizują, że finanse to najczęściej obierany cel phishingu, a taktyki szybko ewoluują dzięki „phish-kitom” i usługom przestępczym. Dane Akamai potwierdzają, że większość identyfikowanych stron phishingowych celuje w instytucje finansowe i ich klientów.
W ujęciu europejskim raport ENISA Threat Landscape 2025 opisuje rosnącą złożoność sceny zagrożeń, szybkie tempo wykorzystywania podatności oraz utrzymującą się dominację kampanii przestępczych opartych o socjotechnikę i kradzież tożsamości.

Analiza techniczna / szczegóły luki

Jak działają kampanie ATO według FBI:

  1. Socjotechnika: atakujący podszywa się pod pracownika banku/biura obsługi i prosi o dane logowania lub kod MFA/OTP, czasem strasząc „podejrzaną transakcją” i podsyłając link do „zgłoszenia fraudu”. Zdarza się też łańcuchowe podszycie: „bank” łączy z rzekomym funkcjonariuszem, który wymusza dodatkowe informacje.
  2. Phishing domenowy i reklamy: tworzone są łudząco podobne serwisy logowania do bankowości/payroll, a ich widoczność wzmacnia SEO poisoning i wykupione reklamy. Użytkownik, klikając sponsorowany wynik, trafia na fałszywą stronę i oddaje poświadczenia.
  3. Monetyzacja i utrzymanie dostępu: po zalogowaniu oszuści resetują hasła, blokują właściciela konta i przelewają środki (często na konta powiązane z portfelami krypto), co utrudnia odzyskanie pieniędzy.

Dlaczego SEO poisoning jest groźny: nawet przy włączonym MFA, jeśli użytkownik wpisze dane na fałszywej stronie, kod trafi bezpośrednio do przestępcy. Ten wejdzie na prawdziwą stronę i zakończy reset hasła. CISA opisuje SEO poisoning jako przejmowanie wyników wyszukiwania w celu podbicia pozycji złośliwych linków.

Szerszy obraz ATO: dostawcy bezpieczeństwa raportują wzrost Account Takeover w kanałach e-mail i chmurowych, obejmujący wyłudzanie tokenów/MFA, nadużycia OAuth i automatyzację ataków. Praktyki detekcji i reagowania opisuje m.in. Proofpoint w kontekście obrony przed przejęciami kont użytkowników.

Praktyczne konsekwencje / ryzyko

  • Ryzyko finansowe: szybkie transfery, trudna do odwrócenia „kaskada” wypłat i prania środków przez warstwy rachunków, w tym krypto.
  • Ryzyko operacyjne: blokada kont pracowniczych/payroll, opóźnione wypłaty, kary umowne, incydenty HR.
  • Ryzyko reputacyjne i prawne (UE): wymogi NIS2/RODO dotyczące zgłaszania incydentów i ochrony danych; zgodnie z ETL 2025 trendem jest przyspieszenie kampanii ukierunkowanych na dane i tożsamości.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i pracowników:

  • Nie ufaj numerom i linkom z wiadomości. Jeśli „bank” dzwoni – odłóż słuchawkę, samodzielnie znajdź numer na stronie instytucji i zadzwoń.
  • Zawsze wpisuj adres ręcznie lub korzystaj z zakładek. Nie klikaj w reklamy ani „najwyższe wyniki” przy logowaniu do bankowości.
  • Unikalne, długie hasła + MFA, ale nie podawaj kodów przez telefon/SMS/e-mail, niezależnie od „pilności”.
  • Regularnie sprawdzaj rachunki pod kątem anomalii (brak wpłat, nieautoryzowane przelewy).

Dla zespołów bezpieczeństwa/IT:

  • Hardening uwierzytelniania: wymuszaj phishing-resistant MFA (np. FIDO2/WebAuthn), ogranicz SMS-OTP; monitoruj anomalia logowania i resetów haseł. (Wnioski z IC3 + dobre praktyki branżowe).
  • Ochrona przed SEO poisoning: blokuj/reviewuj reklamy na brand-keywords, raportuj fałszywe domeny, wdrażaj brand monitoring i szybkie zdejmowanie phishingu.
  • Bezpieczne ścieżki odzyskiwania kont: procedury resetu poza e-mailem/SMS, z weryfikacją tożsamości wielokanałową; audyt uprawnień i tokenów aplikacyjnych. (Proofpoint – praktyki reagowania na ATO).
  • Playbook incydentowy ATO: natychmiastowa blokada i rotacja poświadczeń, unieważnienie sesji/tokenów, rekalibracja reguł anty-fraud; szybki kontakt z bankiem/operatorem płatności o recall/reversal i pismo Hold Harmless/Letter of Indemnity.

Gdy dojdzie do incydentu:

  1. Kontakt z instytucją finansową i wniosek o recall/reversal + dokumenty indemnifikacyjne.
  2. Reset/odwołanie wszystkich ujawnionych poświadczeń (w tym kont usługowych/certyfikatów).
  3. Szczegółowe zgłoszenie do IC3 (z dopiskiem „Account Takeover” / „SEO poisoning”, danymi rachunków/oszustów).
  4. Powiadomienie podszytej instytucji i prośba o współpracę przy zdejmowaniu stron phishingowych.

Różnice / porównania z innymi przypadkami

  • ATO vs. BEC: w BEC głównym celem jest przekierowanie płatności przez przejęcie korespondencji; w ATO przestępca przejmuje konto (bankowe/płacowe) i sam inicjuje transakcje. (Ujęcie porównawcze wg praktyk rynkowych; patrz też materiały Proofpoint dot. socjotechniki).
  • MFA nie zawsze „ratuje”: na fałszywej stronie kod trafia do napastnika (reverse proxy/AitM), który używa go w czasie rzeczywistym – stąd nacisk na phishing-resistant metody i higienę nawigacji (zakładki, brak klikania reklam).

Podsumowanie / kluczowe wnioski

  • Skala strat ATO w 2025 r. jest znacząca; 262 mln USD od stycznia to twarde dane z IC3.
  • Najsilniejszym akceleratorem skuteczności jest SEO poisoning i socjotechnika „na wsparcie banku”.
  • Obrona wymaga połączenia: phishing-resistant MFA, higieny nawigacji (zakładki zamiast reklam/wyników), monitoringu marki i gotowego playbooka ATO.
  • Trendy UE (ENISA) wskazują na dalszą profesjonalizację grup przestępczych – warto kalibrować procesy zgodnie z dobrymi praktykami i regulacjami.

Źródła / bibliografia

  1. FBI IC3, „Account Takeover Fraud via Impersonation of Financial Institution Support”, 25.11.2025. (ic3.gov)
  2. ENISA, „Threat Landscape 2025”, 07.10.2025. (ENISA)
  3. Akamai, „Financial Services Is Awash in Attacks”, 17.09.2024. (Akamai)
  4. Proofpoint, „Detecting, Responding and Stopping Account Takeovers”, 23.07.2025. (Proofpoint)
  5. CISA, „#StopRansomware Guide” – sekcja dot. SEO poisoning. (CISA)