Największy bank w Polsce opublikował pilny komunikat, który powinien przeczytać każdy przedsiębiorca i pracownik korzystający z bankowości elektronicznej. 17 lutego 2026 roku PKO BP poinformował o zmasowanej kampanii cyberprzestępców, którzy przygotowali perfekcyjne kopie serwisu iPKO biznes. Oszuści wykorzystują mechanizmy reklamowe w wyszukiwarkach, aby ich fałszywe witryny pojawiały się na samym szczycie wyników, kusząc nieświadomych użytkowników do wpisania haseł i kodów autoryzacyjnych.
Fot. Warszawa w Pigułce
Skala ataku jest poważna, ponieważ hakerzy postawili na wysoką jakość podróbek – strony wyłudzające dane są niemal niemożliwe do odróżnienia od tych autentycznych na pierwszy rzut oka. Przejęcie dostępu do konta biznesowego może skutkować błyskawiczną kradzieżą środków firmowych, dlatego bank zdecydował się na natychmiastowe zaalarmowanie wszystkich swoich klientów za pośrednictwem mediów społecznościowych i strony głównej.
Metoda na „reklamę w Google”. Tak wpadają klienci
Przestępcy zrezygnowali z rozsyłania masowych e-maili na rzecz bardziej wyrafinowanej techniki. Zamiast czekać, aż ofiara kliknie w link, sami „podstawiają” jej fałszywą stronę tam, gdzie najczęściej jej szuka.
Pułapka w wyszukiwarce: Fałszywe witryny są promowane jako linki sponsorowane. Po wpisaniu w Google frazy „iPKO biznes”, na samej górze może pojawić się złośliwy odnośnik.
Złudne podobieństwo: Szata graficzna, logotypy i układ pól do logowania są identyczne z oryginałem, co usypia czujność choćby doświadczonych księgowych.
Kradzież w czasie rzeczywistym: Dane wpisane na takiej stronie trafiają prosto do oszustów, którzy w tym samym momencie logują się na prawdziwe konto klienta.
Zasada ograniczonego zaufania: Bank przypomina, iż oficjalna komunikacja PKO BP nigdy nie zawiera bezpośrednich odnośników do stron logowania.
Jak bezpiecznie wejść do banku? najważniejsze zasady
W obliczu nowej fali oszustw, eksperci bezpieczeństwa PKO BP wskazują na kilka żelaznych reguł, które uchronią Twoją firmę przed stratą pieniędzy.
- Ręczne wpisywanie adresu: Zamiast korzystać z wyszukiwarki, zawsze wpisuj pełny adres serwisu bezpośrednio w pasku przeglądarki.
- Weryfikacja certyfikatu: Zanim podasz login, sprawdź symbol kłódki i upewnij się, iż certyfikat bezpieczeństwa został wystawiony dla adekwatnej domeny banku.
- Infolinia w razie wątpliwości: jeżeli strona zachowuje się nietypowo lub prosi o dane, których wcześniej nie wymagała, natychmiast przerwij operację i zadzwoń na bezpłatną infolinię.
- Higiena cyfrowa: Bank zaleca regularne aktualizowanie systemu antywirusowego oraz stosowanie unikalnych, skomplikowanych haseł dla wszystkich profilu użytkownika.
W 2026 roku cyberprzestrzeń staje się polem walki, na którym stawką jest płynność finansowa Twojego przedsiębiorstwa. Komunikat PKO BP to sygnał, iż dotychczasowe nawyki, jak ufanie wynikom wyszukiwania, muszą odejść do lamusa.
Pamiętaj, iż hakerzy działają najskuteczniej pod presją czasu, więc jeżeli strona logowania wymusza na Tobie szybkie działanie lub „pilną weryfikację”, prawdopodobnie jest to pułapka. Warto rozważyć wprowadzenie w firmie dodatkowych szkoleń dla pracowników z zakresu rozpoznawania phishingu, ponieważ to błąd człowieka, a nie luki w systemach bankowych, jest najczęstszą przyczyną utraty milionowych kwot.