Atak rozpoczyna się od zachęcenia użytkownika na zainfekowanejstronie internetowej do aktualizacji Flash Playera. Jednak pobranaaplikacja to w rzeczywistości trojan, który atakuje plik host,dzięki czemu może przekierować użytkownika na dowolną witrynę.
Klient PKO BP, chcąc dokonać operacji na swoim koncie, klika wskrót lub wpisuje adres w przeglądarkę. Jednak wskutek działaniatrojana zamiast strony banku otwiera się witryna cyberprzestępców(na zdjęciu poniżej) wyglądająca niemal identycznie, jak serwistransakcyjny PKO BP.
Po wpisaniu przez użytkownika swojego prawdziwego logiku i hasłazostaje on przekierowany na kolejną stronę, na której proszony jesto podanie pięciu kolejnych kodów jednorazowych potrzebnych dopojedynczych transakcji internetowych w PKO BP. Jest to dlategoniezwykle groźne, bo dysponując kombinacją tych trzech informacji,cyberprzestępcy są w stanie przelać wszystkie środki na koncieklienta banku na dowolne konto.
Ochronę przed tego typu atakami zapewniają pakiety antywirusowez odpowiednim modułem, które sprawdzają, czy strona odwiedzanaprzez użytkownika nie została zgłoszona do specjalnego rejestruwitryn wyłudzających dane. Dodatkowo specjalne dodatkiantyphishingowe w przeglądarkach potrafią rozpoznawać lub nawetblokować sfałszowane strony.
Warto też sprawdzać, czy adres URL odwiedzanej strony rozpoczynasię od https:// i czy jest prawidłowy. Szczególną uwagę należy przytym zwrócić na koniec adresu, czyli domenę główną, którą bardzołatwo jest sfałszować.
