Treść przechwyconej wiadomości phishingowej sugeruje odbiorcy, że w serwisie iPKO czeka na niego wiadomość, którą można odczytać po zalogowaniu się do swojego rachunku bankowego. Kliknięcie w odnośnik umieszczony w mailu przekierowuje internautę do strony, która do złudzenia przypomina prawdziwy serwis iPKO – fałszywa strona wyświetla nawet ostrzeżenie o fałszywych wiadomościach e-mail, zawierających opisywaną pułapkę. Wątpliwości czujnego internauty z pewnością wzbudzi adres WWW, inny od tego, pod którym widniej prawdziwy serwis iPKO. Fałszywa strona nie szyfruje również połączenia z bankiem (w przeglądarce nie wyświetla się popularna ikona kłódki). Po podaniu wszystkich danych, o które poprosi fałszywy serwis strona automatycznie przekierowuje internautę do prawdziwej witryny iPKO, a dokładnie do ekranu logowania się do rachunku bankowego.
Jeśli klient PKO BP uwierzy treści otrzymanej wiadomości, kliknie odnośnik zawarty w mailu z pułapką i na fałszywej stronie poda dane logowania do iPKO, a także jednorazowe kody, zabezpieczające przelewy zlecane z rachunku użytkownika, ryzykuje utratę środków zgromadzonych na jego rachunku bankowym — mówi Kamil Sadkowski z firmy Eset.
Bank PKO BP został poinformowany o opisywanej wyżej próbie phishingu.