Na skrzynki pocztowe rozsyłane są maile z fałszywą wiadomością. W mailu pojawia się informacja o zwrocie środków za zakupy w ramach PAYBACK wraz z prośbą o zalogowanie na stronę podaną w linku w celu weryfikacji prawidłowości zwróconej kwoty.
Fałszywa wiadomość ma na celu wyłudzenie identyfikatora i hasła do systemu transakcyjnego.

Przykładowa treść fałszywej wiadomości, zatytułowanej: Zwrot PAYBACK
 

Zawarty w mailu link przekierowuje do fałszywej strony.
 

Połączenie z tą stroną nie jest szyfrowane, brakuje również poprawnego certyfikatu (do sprawdzenia w miejscu zaznaczenia).
 

Po wprowadzaniu loginu oraz hasła przez klienta na fałszywej stronie, następuje poprawne zalogowanie do serwisu transakcyjnego mBanku, a do przestępców są wysyłane dane logowania, które klient podał na fałszywej stronie.

Posiadając zdobyte w ten sposób dane, przestępcy logują się do serwisu transakcyjnego banku, podszywając się pod klienta. Przestępcy mogą także próbować kontaktować się telefonicznie z klientem podszywając się pod pracownika banku aby wyłudzić kod podany w SMS-ie autoryzacyjnym, a następnie dokonać kradzieży środków z kont klienta.

PAMIĘTAJ! Bank nigdy nie poprosi o podanie kodów autoryzacyjnych podczas połączenia telefonicznego lub logowania do serwisu transakcyjnego.

Jeśli otworzyłeś wiadomość, kliknąłeś w link i wpisałeś dane, jak najszybciej skontaktuj się z nami dzwoniąc na mLinię pod numerem 801 300 800 oraz zmień hasła dostępu! Jeżeli podałeś kody sms sprawdź jakich operacji dotyczyły hasła i anuluj je. W przypadku braku możliwości anulowania operacji, które nie Ty zlecałeś, jak najszybciej skontaktuj się z mLinią.

PRZYPOMINAMY!
mBank nigdy nie prosi o podawanie żadnych danych poufnych, w szczególności:
- nie żąda podawania haseł jednorazowych podczas logowania do serwisu transakcyjnego;
- nie prosi o podanie telekodu, danych kart płatniczych i kredytowych;
- danych dotyczących Twojego telefonu (takich jak numer, marka i model) w czasie logowania, sprawdzania stanu konta i przeglądania historii operacji;
- nie prosi o podanie kodu PIN do karty, aplikacji etc.;
- nie wysyła na telefon komórkowy żadnych certyfikatów bezpieczeństwa lub innych aplikacji do zainstalowania;
- nie wysyła do klientów wiadomości e-mail zawierających link do serwisu bankowości internetowej (czyli kierujących na stronę logowania do serwisu mBanku).