Nie daj się złowić cyberprzestępcom

Wraz z rozwojem nowoczesnych kanałów obsługi zmieniają się metody działania złodziei. Większość ataków cyberprzestepców polega nie na ataku systemów bankowych, a na sprytnej próbie oszukania klienta. Oto kilka najpopularniejszych metod ataku i porady, jak się przed nimi chronić.

Banki w Polsce stosują jedne z najnowocześniejszych zabezpieczeń systemów elektronicznych. Nie notuje się przypadków skutecznych włamań hakerów do „skarbców” bankowych. Skąd więc doniesienia o kolejnych atakach cyberprzestępców? Słabym ogniwem niestety jesteśmy my sami klient. Najczęściej wynika to z niefrasobliwości oraz nieznajomości podstawowych zasad bezpiecznego korzystania z bankowości internetowej. Poniżej przedstawiamy najpopularniejsze metody ataków na klientów bankowości i porady, jak się przed nimi uchronić. Warto zwrócić uwagę, że wszystkie z nich opierają się na próbie oszukania klienta przez podsunięcie mu fałszywych wiadomości.

Fałszywy e-mail z „banku”

Nadal jednym z najpopularniejszych sposobów wyłudzania wrażliwych danych od klientów jest phishing. Samo słowo jest wariacją na temat angielskiego wyrazu „fishing” (łowienie). Metoda opiera się na „łowieniu” nieuważnych lub naiwnych klientów banków. Przestępcy przygotowują kopię strony internetowej instytucji i umieszczają ją w internecie. Następnie wysyłają maile na losowo wybrane adresy e-mail z nadzieją, że przynajmniej część z nich trafi do klientów danego banku.

Wiadomość wygląda niemal identycznie, jak komunikat z banku. Znajduje się tam zazwyczaj prośba o pilne zalogowanie się na konto w celu aktualizacji danych kontaktowych, lub informacja, że dostęp do rachunku został zablokowany. E-mail zawiera link kierujący na fałszywą stronę, która do złudzenia przypomina oryginał. Oczywiście uważny klient od razu zobaczy, że adres strony nie jest prawidłowy i brakuje w nim przedrostka https://

Nieuważny klient spróbuje wpisać swoje dane do logowania na konto. Jeśli to zrobi, zostanie przekierowany na kolejną fałszywą podstronę. Tam zostanie poproszony o podanie 2 lub 3 kodów z karty zdrapek. Jeśli poda dane do logowania oraz kody autoryzacyjne, informacje te trafią w ręce złodziei. To wystarczy im do zalogowania się na rachunek i zlecenia przelewu zewnętrznego.

Jeszcze do niedawna phishing można było stosunkowo łatwo wykryć, bo wiadomości pisane były łamaną polszczyzną z licznymi błędami językowymi. Ostatnio pojawia się jednak coraz więcej starannie przygotowanych. Z drugiej strony, coraz większą popularnością cieszą się kody autoryzacyjne w formie SMS, które utrudniają złodziejom próby ataku.

• Zapamiętaj: żaden bank nigdy nie przesyła wiadomości z linkiem. Nie prosi też o podanie kilku kodów z karty zdrapki. Pod żadnym pozorem nie korzystaj z linków zawartych w wiadomościach e-mail. Za każdym razem sprawdzaj, czy strona, na której się logujesz ma prawidłowy adres i protokół https://

Wirus na komputerze

Ostatnio pojawił się nowy rodzaj ataku, który przypomina phishing. Cyberprzestępcy rozsyłają na losowo wybrane adresy wiadomości zawierające zainfekowany wirusem załącznik. E-mail przypomina standardową korespondencję wysyłaną przez bank, również adres nadawcy jest podobny. Klienci jednego z banków dostali na przykład wiadomość, która wyglądała niemal identycznie jak prawdziwy e-mail zawierający miesięczny wyciąg z konta. Zasadnicza różnica polegała jednak na tym, że zamiast pliku w formacie PDF lub HTML znajdował się tam ZIP. W spakowanym pliku znajdował się wirus.

Klienci innej instytucji dostali z kolei wiadomość o zaległej racie kredytu. Podobnie jak w wyżej opisanym przypadku, po szczegóły „bank” odsyłał do załącznika, w którego wnętrzu znajdował się zainfekowany plik.

Nie do końca wiadomo o wszystkich możliwych efektach działań wirusów. Te stale są modyfikowane, a ich metody działania ewoluują. Jednym z bardziej znanych jest „szkodnik”, który podmienia numery rachunków bankowych. Po otworzeniu zainfekowanego pliku, na komputerze klienta instaluje się wirus i czeka, aż klient zacznie wykonywać przelewy przez system bankowości internetowej (wirus Banapter). Czasami użytkownicy kopiują numer rachunku, który chcą wkleić do formatki przelewu.

Wirus rozpoznaje, że do schowka systemowego został skopiowany numer rachunku bankowego i podczas kiedy użytkownik wkleja go do odpowiedniej rubryki w systemie, szkodnik „w locie” podmienia go na inny numer. Klient przekonany jest, że wkleił prawidłowy numer i zazwyczaj nie sprawdza już jego poprawności. Zleca przelew, który w rzeczywistości trafia na konto przestępcy.

Niedawno specjaliści z firmy CERT odkryli zmutowaną wersję tego szkodnika. Okazuje się, że program potrafi teraz podmienić numer rachunku, nawet wówczas wpisujemy go ręcznie. Zmiana danych wpisanych do formularza następuje na oczach użytkownika.

• Zapamiętaj: żaden bank nigdy nie przesyła plików w spakowanym formacie .ZIP. Jeśli dostaniesz taką wiadomość, nie otwieraj jej. W razie wątpliwości skontaktuj się z infolinią.

Fałszywy program antywirusowy

Zagrożeniem dla klientów są także wirusy Zeus, ZitMo czy Citadel. Stanowią niebezpieczną mieszankę. Najpierw podmieniają stronę logowania do systemu bankowości internetowej na fałszywą, niemal identyczną jak oryginał (nie zgadza się oczywiście adres internetowy). Logując się do niej, klient zdradza swoje hasło i login. Co więcej, także klienci banków używających maskowanego hasła mogą paść ofiarą wyłudzenia. Przy pierwszym logowaniu strona prosi ich o podanie wybranych kilku znaków. Pojawia się komunikat, że wpisano błędne hasło i system prosi o ponowne wprowadzenie wybranych znaków, ale tym razem wskazuje brakujące znaki z pierwszego formularza. W ten sposób w ręce złodziei dostaje się całe hasło.

Po zalogowaniu na fałszywej stronie  klientowi wyświetla się komunikat z prośbą o zainstalowanie na swoim telefonie aplikacji antywirusowej zalecanej przez bank. Pojawia się też klauzula: "W przypadku odmowy instalacji mobilnej aplikacji antywirusowej bank nie odpowiada za zachowanie nienaruszalności środków finansowych na koncie klienta".  Do instalacji wymagane jest podanie numer telefonu, na który złodzieje wyślą link do rzekomej aplikacji antywirusowej. Po zainstalowaniu programu wszystkie SMS-y z hasłami od banku będą automatycznie przekierowywane na telefon złodzieja. Klient nie będzie o nich nawet powiadamiany. Złodziej uzyska więc dane do logowania i narzędzie autoryzacyjne w postaci przekierowywanych kodów SMS.

• Zapamiętaj:żaden bank nigdy nie prosi o zainstalowanie na telefonie komórkowym dodatkowego oprogramowania antywirusowego lub specjalnego certyfikatu bezpieczeństwa. Nie przesyła klientowi linków do oprogramowania w SMS-ie lub e-mailu.

Wojciech Boczoń,
analityk Bankier.pl

Czytaj także:

Niebezpieczny wirus e-security

Jak nie wpaść w sieć phishingu?