Niebezpieczny wirus E-Security
Jakiś czas temu głośno było o E-Security – złośliwym oprogramowaniu, które umożliwia cyberprzestępcom przechwytywanie haseł jednorazowych i „czyszczenie” kont klientów banków. Nadal trzeba uważać na E-Security i jemu podobne socjotechniczne próby wyłudzenia kluczowych informacji.
Jak działa E-Security?
W skrócie, to złośliwe oprogramowanie majace na celu przechwytywanie kodów jednorazowych, które służą do potwierdzania transakcji prowadzonych na koncie klienta banku. Jego instalacja składa się z kilku etapów, ale wszystko zaczyna się od zainfekowania złośliwym oprogramowaniem komputera użytkownika. Duża „skuteczność” ataku wynika m.in. z tego, że stosujący go cyberprzestępcy wykorzystują w swoich działaniach również elementy socjotechniki.
Socjotechnika
Inżynieria społeczna. Zwykłe oszustwo. Blaga. Przekręt. Sztos. To jak spotkanie z geszefciarzem oferującym wymianę waluty po zaskakująco korzystnym kursie, kiedy to po transakcji zostaje nam w ręku umieszczony pomiędzy kilkoma banknotami plik papierków wydrukowanych na atramentówce.
W bankowości elektronicznej nastały takie czasy, że z jednej strony mamy niemal zawsze dostęp do swojego konta i możemy kontrolować wszystko, co się dzieje z naszymi pieniędzmi, a z drugiej – musimy zachować nieustającą czujność. Przestępcy w białych rękawiczkach co chwilę próbują nas podejść, żebyśmy sami przez nieuwagę, roztargnienie, pośpiech lub wreszcie niewiedzę oddali dostęp do swojego konta.
W zeszłym roku E-Security w sposób wieloetapowy, sprytnie kruszył podejrzenia użytkownika, by ostatecznie przechwycić kod potwierdzający transakcję i umożliwić przestępcy „wyczyszczenie” konta bankowego. Oczywiście pierwszym etapem było zainfekowanie komputera przyszłej ofiary oprogramowaniem złośliwym. Sprytny programik sam w sobie nie był specjalnie groźny, ale skutecznie wykorzystywał socjotechnikę i po wejściu przez użytkownika na stronę banku wyświetlał komunikat przekonujący do instalacji „certyfikatu E-Security” na telefonie właściciela konta. Tu zatrzymajmy się na chwilę. To pierwszy sygnał ostrzegawczy - banki z zasady nie komunikują niczego, co wymaga podawania danych konta za pomocą wyskakujących okienek.
Ważne informacje od banków pojawiają się zazwyczaj po zalogowaniu do konta. Należy przy tym pamiętać o sprawdzeniu, czy strona jest bezpieczna, o czym informuje zielona kłódka w pasku adresu przeglądarki.
Sam komunikat był dość wiarygodny i zachęcał do zwiększenia bezpieczeństwa swoich pieniędzy oraz danych, choć do poprawności użytej polszczyzny można było mieć duże zastrzeżenia, a co za tym idzie - wątpliwości, co do pochodzenia komunikatu- to drugi sygnał ostrzegawczy.
Jeżeli poprawność użytej w informacji polszczyzny budzi nasze zaniepokojenie, należy dokładnie sprawdzić pochodzenie komunikatu, a najlepiej zadzwonić do banku i spytać się, czy oferują taką usługę lub aplikację.
W komunikacie poproszono również o wybranie systemu operacyjnego telefonu i ściągnięcie aplikacji - to kolejny sygnał ostrzegawczy.
Z zasady nie wolno ściągać niczego spoza oficjalnej dystrybucji App Store, Google Play czy Windows Phone Store. Wszystkie oficjalne aplikacje banków są dostępne w tych sklepach. Poza tym, wszystkie aplikacje dostępne w tych sklepach są sprawdzane pod kątem bezpieczeństwa. Zainstalowanie aplikacji z innego źródła to jak samodzielne wręczenie złodziejowi danych potrzebnych do oszukania nas.
Jak bronić się przed E-Security?
Jeżeli wszystkie te znaki ostrzegawcze zostały zignorowane i „aplikacja-wirus” E-Security została zainstalowana, użytkownik zostaje poproszony o wprowadzenie „kodu zabezpieczającego” (w rzeczywistości kodu powstałego na bazie IMEI telefonu). Potem przestępcy przypisują do telefonu login i hasło do systemu bankowego i od tego momentu (działając w przestrzeni pomiędzy Bankiem internetowym a klientem) mają możliwość przechwytywania jednorazowych kodów potwierdzających przysyłanych poprzez SMS. Użytkownik telefonu nawet nie wie, że takie SMS-y zostały wysyłane, bo aplikacja E-Security blokuje ich wyświetlanie. Tym samym przestępcy, mając zainstalowane złośliwe oprogramowanie zarówno na komputerze, jaki i telefonie ofiary, mogą swobodnie wyprowadzić środki z jej konta.
Przed socjotechnicznymi sztuczkami czasami trudno się obronić, ale najlepszym na to sposobem jest ostrożność i zdrowy rozsądek. Warto zadać sobie trochę trudu i upewnić się u źródła - czyli w banku - czy wprowadzał takie udogodnienia, jak dodatkowy certyfikat czy aplikacja. Podobne informacje zawsze można znaleźć na stronie banku w komunikatach lub uzyskać telefonicznie u konsultanta (infolinia dla klientów PKO Banku Polskiego: 801 302 302). Jeżeli zaś chcemy zwiększyć bezpieczeństwo swoich danych należy skorzystać z profesjonalnych programów renomowanych firm, a same aplikacje ściągać wyłącznie z oficjalnych lub zaufanych źródeł.
Marcin Sikora
Źródło: www.cert.pl/news/6949
Zdaniem eksperta
- Przed próbami wyłudzenia danych pozwalających na dostęp do konta bankowego trzeba chronić się przestrzegając kilku ważnych zasad – mówi Tomasz Derkowski z Departamentu Bezpieczeństwa w PKO Banku Polskim.
Socjotechnika nazywana jest sztuką zdobywania władzy nad umysłami – trudno się przed nią bronić. Zwłaszcza gdy jesteśmy zagonieni w pracy lub podczas trudów dnia codziennego. Nie myślimy zbytnio o bezpieczeństwie swoich pieniędzy, a na pewno nie zastanawiamy się nad tym, jakie skomplikowane triki może zaserwować nam oszust dybiący na nasz elektroniczny portfel. My, klienci mamy ufność w zabezpieczenia Banku (de facto są one niezłe), jednak zapominamy, że bankowość elektroniczna to są dwie strony: infrastruktura Banku oraz komputery (smartfony itp.) po stronie klienta. Niestety najczęściej ta druga strona staje się celem ataku przestępców. Trzeba przede wszystkim:
- korzystać wyłącznie ze znanych i bezpiecznych urządzeń i oprogramowania,
- posiadać komputer (urządzenie) z aktualnym oprogramowaniem systemowym oraz oprogramowaniem antywirusowym z aktualnymi szczepionkami,
- korzystać tylko ze stron bankowych zabezpieczonych prawdziwym i prawidłowym certyfikatem,
- wystrzegać się klikania w linki w mailach z nieznanych źródeł (zaleca się także nie odpowiadać na nie),
- chronić swoje elementy uwierzytelniające.
Bank nie wysyła komunikatów transakcyjnych, zmuszających klienta do wykonania działań w systemie internetowym, a wszelkie ważne informacje zwykle pojawiają się po zalogowaniu się na konto. Nie ma znaczenia czy mail jest napisany łamaną angielszczyzną lub polszczyzną czy też jest napisanie schludnie i "czysto" po polsku. Atakujący działają coraz to inteligentniej i ciągle się uczą. Tę edukację musimy przechodzić i my!
Gdy masz wątpliwość, zawsze dzwoń na infolinię Banku.
Czytaj także:
Co robić, aby nie paść ofiarą ataku phishingowego?
Login i hasło pilnie strzeżone
Jak nie wpaść w sieć phishingu?
Nowe technologie
02018.07.25Suma haszowa, czyli wstęp do blockchaina
więcejSuma haszowa stoi na straży informacji, które są przechowywane i przetwarzane w bazach opartych o łańcuch bloków.
Nowe technologie
02016.10.17Proste kroki do Profilu Zaufanego
więcejUtworzenie Profilu Zaufanego i podpisywanie wniosków oraz dokumentów jest bardzo proste. W kilku krokach można to zrobić za pośrednictwem bankowego serwisu transakcyjnego.
Nowe technologie
02015.11.16Nowe IKO - moc mobilnej bankowości
więcejPKO Bank Polski, lider bankowości mobilnej, wprowadza nową wersję aplikacji na telefony komórkowe. Wygodna, intuicyjna nawigacja zgodna z najnowszymi trendami, dostęp do rachunku i salda przed zalogowaniem, czy wykonywanie operacji bezpośrednio z głównego ekranu – to tylko niektóre z jej zalet. Użytkownicy IKO zyskują dostęp do pełnej bankowości za pośrednictwem telefonu. Obecnie z aplikacji mobilnej Banku korzysta ponad 370 tysięcy osób.
Nowe technologie
02015.07.29Wypłaty BLIK dostępne już w ponad 11 tys. bankomatów
więcejSieć bankomatów Euronet obsługujących wypłaty BLIK powiększyła się o blisko 850 maszyn. Bankomaty umieszczone są w oddziałach: Alior Banku, Credit Agricole, Getin Banku, Idea Banku oraz mBanku na terenie całej Polski.
Nowe technologie
02015.07.27„B” jak bezpieczna bankowość
więcej„Bankowali bezpiecznie”, czyli jak? Nie dali złowić się w sieć phishingu i nie padli ofiarą cyberprzestępców. Wypełnili bezbłędnie nasz test wiedzy, zwyciężyli i zdobyli nagrody. Znamy już laureatów konkursu „Bankuj bezpiecznie”. Jakie są ich rady dotyczące korzystania z bankowości?
Nowe technologie
02015.07.24Bank chce chodzić za nami krok w krok
więcejBanki chcą błyskawicznie reagować na potrzeby swoich klientów, a często nawet wyjść im naprzeciw. To od nas zależy, jak blisko zwiążemy się ze swoim bankiem.