2014.08.19

Niebezpieczny wirus E-Security

Jakiś czas temu głośno było o E-Security – złośliwym oprogramowaniu, które umożliwia cyberprzestępcom przechwytywanie haseł jednorazowych i „czyszczenie” kont klientów banków. Nadal trzeba uważać na E-Security i jemu podobne socjotechniczne próby wyłudzenia kluczowych informacji.

Wirus e-security

Jak działa E-Security?

W skrócie, to złośliwe oprogramowanie majace na celu przechwytywanie kodów jednorazowych, które służą do potwierdzania transakcji prowadzonych na koncie klienta banku. Jego instalacja składa się z kilku etapów, ale wszystko zaczyna się od zainfekowania złośliwym oprogramowaniem komputera użytkownika. Duża „skuteczność” ataku wynika m.in. z tego, że stosujący go cyberprzestępcy wykorzystują w swoich działaniach również elementy socjotechniki.

Socjotechnika

Inżynieria społeczna. Zwykłe oszustwo. Blaga. Przekręt. Sztos. To jak spotkanie z geszefciarzem oferującym wymianę waluty po zaskakująco korzystnym kursie, kiedy to po transakcji zostaje nam w ręku umieszczony pomiędzy kilkoma banknotami plik papierków wydrukowanych na atramentówce.

W bankowości elektronicznej nastały takie czasy, że z jednej strony mamy niemal zawsze dostęp do swojego konta i możemy kontrolować wszystko, co się dzieje z naszymi pieniędzmi, a z drugiej – musimy zachować nieustającą czujność. Przestępcy w białych rękawiczkach co chwilę próbują nas podejść, żebyśmy sami przez nieuwagę, roztargnienie, pośpiech lub wreszcie niewiedzę oddali dostęp do swojego konta.

W zeszłym roku E-Security w sposób wieloetapowy, sprytnie kruszył podejrzenia użytkownika, by ostatecznie przechwycić kod potwierdzający transakcję i umożliwić przestępcy „wyczyszczenie” konta bankowego. Oczywiście pierwszym etapem było zainfekowanie komputera przyszłej ofiary oprogramowaniem złośliwym. Sprytny programik sam w sobie nie był specjalnie groźny, ale skutecznie wykorzystywał socjotechnikę i po wejściu przez użytkownika na stronę banku wyświetlał komunikat przekonujący do instalacji „certyfikatu E-Security” na telefonie właściciela konta. Tu zatrzymajmy się na chwilę. To pierwszy sygnał ostrzegawczy - banki z zasady nie komunikują niczego, co wymaga podawania danych konta za pomocą wyskakujących okienek.

Ważne informacje od banków pojawiają się zazwyczaj po zalogowaniu do konta. Należy przy tym pamiętać o sprawdzeniu, czy strona jest bezpieczna, o czym informuje zielona kłódka w pasku adresu przeglądarki.

Bezpieczeństwo

Sam komunikat był dość wiarygodny i zachęcał do zwiększenia bezpieczeństwa swoich pieniędzy oraz danych, choć do poprawności użytej polszczyzny można było mieć duże zastrzeżenia, a co za tym idzie - wątpliwości, co do pochodzenia komunikatu- to drugi sygnał ostrzegawczy.

Jeżeli poprawność użytej w informacji polszczyzny budzi nasze zaniepokojenie, należy dokładnie sprawdzić pochodzenie komunikatu, a najlepiej zadzwonić do banku i spytać się, czy oferują taką usługę lub aplikację.

W komunikacie poproszono również o wybranie systemu operacyjnego telefonu i ściągnięcie aplikacji - to kolejny sygnał ostrzegawczy.

Z zasady nie wolno ściągać niczego spoza oficjalnej dystrybucji App Store, Google Play czy Windows Phone Store. Wszystkie oficjalne aplikacje banków są dostępne w tych sklepach. Poza tym, wszystkie aplikacje dostępne w tych sklepach są sprawdzane pod kątem bezpieczeństwa. Zainstalowanie aplikacji z innego źródła to jak samodzielne wręczenie złodziejowi danych potrzebnych do oszukania nas.

Jak bronić się przed E-Security?

Jeżeli wszystkie te znaki ostrzegawcze zostały zignorowane i „aplikacja-wirus” E-Security została zainstalowana, użytkownik zostaje poproszony o wprowadzenie „kodu zabezpieczającego” (w rzeczywistości kodu powstałego na bazie IMEI telefonu). Potem przestępcy przypisują do telefonu login i hasło do systemu bankowego i od tego momentu (działając w przestrzeni pomiędzy Bankiem internetowym a klientem) mają możliwość przechwytywania jednorazowych kodów potwierdzających przysyłanych poprzez SMS. Użytkownik telefonu nawet nie wie, że takie SMS-y zostały wysyłane, bo aplikacja E-Security blokuje ich wyświetlanie. Tym samym przestępcy, mając zainstalowane złośliwe oprogramowanie zarówno na komputerze, jaki i telefonie ofiary, mogą swobodnie wyprowadzić środki z jej konta.

Przed socjotechnicznymi sztuczkami czasami trudno się obronić, ale najlepszym na to sposobem jest ostrożność i zdrowy rozsądek. Warto zadać sobie trochę trudu i upewnić się u źródła - czyli w banku - czy wprowadzał takie udogodnienia, jak dodatkowy certyfikat czy aplikacja. Podobne informacje zawsze można znaleźć na stronie banku w komunikatach lub uzyskać telefonicznie u konsultanta (infolinia dla klientów PKO Banku Polskiego: 801 302 302). Jeżeli zaś chcemy zwiększyć bezpieczeństwo swoich danych należy skorzystać z profesjonalnych programów renomowanych firm, a same aplikacje ściągać wyłącznie z oficjalnych lub zaufanych źródeł.

Marcin Sikora

Źródło: www.cert.pl/news/6949

  • Zdaniem eksperta

    - Przed próbami wyłudzenia danych pozwalających na dostęp do konta bankowego trzeba chronić się przestrzegając kilku ważnych zasad – mówi Tomasz Derkowski z Departamentu Bezpieczeństwa w PKO Banku Polskim.

    Socjotechnika nazywana jest sztuką zdobywania władzy nad umysłami – trudno się przed nią bronić. Zwłaszcza gdy jesteśmy zagonieni w pracy lub podczas trudów dnia codziennego. Nie myślimy zbytnio o bezpieczeństwie swoich pieniędzy, a na pewno nie zastanawiamy się nad tym, jakie skomplikowane triki może zaserwować nam oszust dybiący na nasz elektroniczny portfel. My, klienci mamy ufność w zabezpieczenia Banku (de facto są one niezłe), jednak zapominamy, że bankowość elektroniczna to są dwie strony: infrastruktura Banku oraz komputery (smartfony itp.) po stronie klienta. Niestety najczęściej ta druga strona staje się celem ataku przestępców. Trzeba przede wszystkim:

    • korzystać wyłącznie ze znanych i bezpiecznych urządzeń i oprogramowania,
    • posiadać komputer (urządzenie) z aktualnym oprogramowaniem systemowym oraz oprogramowaniem antywirusowym z aktualnymi szczepionkami,
    • korzystać tylko ze stron bankowych zabezpieczonych prawdziwym i prawidłowym certyfikatem,
    • wystrzegać się klikania w linki w mailach z nieznanych źródeł (zaleca się także nie odpowiadać na nie),
    • chronić swoje elementy uwierzytelniające.

    Bank nie wysyła komunikatów transakcyjnych, zmuszających klienta do wykonania działań w systemie internetowym, a wszelkie ważne informacje zwykle pojawiają się po zalogowaniu się na konto. Nie ma znaczenia czy mail jest napisany łamaną angielszczyzną lub polszczyzną czy też jest napisanie schludnie i "czysto" po polsku. Atakujący działają coraz to inteligentniej i ciągle się uczą. Tę edukację musimy przechodzić i my!

    Gdy masz wątpliwość, zawsze dzwoń na infolinię Banku.

Czytaj także:

Co robić, aby nie paść ofiarą ataku phishingowego?

Login i hasło pilnie strzeżone

Jak nie wpaść w sieć phishingu?

loaderek.gifoverlay.png