Chwila nieuwagi i tracisz majątek. Oszuści wciąż polują na klientów polskich banków

Daniel Maikowski
Zmiany w logowaniu do serwisów transakcyjnych, które szykują banki, mogą wydawać się nieco uciążliwe. Są jednak potrzebne. Nawet jeśli proces logowania wydłuży się przez to o kilka sekund. Chyba, że te kilka sekund znaczy dla nas więcej, niż nasze oszczędności.

14 września zmienią się zasady logowania do serwisów bankowości elektronicznej. Banki muszą  dostosować systemy do zaleceń dyrektywy PSD2, wprowadzając tzw. twarde uwierzytelnienie. Więcej na temat zmian, które już wkrótce czekają klientów polskich banków przeczytasz TUTAJ.

Michał otrzymał e-maila ze banku, który poinformował go o blokadzie konta "z powodów bezpieczeństwa".  Z treści maila dowiedział się, że aby odblokować usługę, powinien zalogować się do serwisu bankowości elektronicznej, a następnie wprowadzić kod autoryzacyjny. W e-mailu znalazł się link do serwisu, z którego Michał skorzystał. Następnie w oknie logowania wprowadził nazwę użytkownika i hasło. Chwilę później otrzymał SMS-a z kodem, który również wpisał na stronie. Michał właśnie stracił 100 tysięcy złotych.

Część klientów BZWBK straciła spore pieniądze w wyniku działań przestępcówCzęść klientów BZWBK straciła spore pieniądze w wyniku działań przestępców Fot. Robert Kędzierski/BZWBK

Nadawcą e-maila nie był wcale bank, ale cyberprzestępcy. Spreparowali oni wiadomość tak, aby niemal do złudzenia przypominała oficjalną korespondencję z banku. Zdradzić mogła ich jedynie domena, z której wysłali e-maila. Różniła się jedną literą od domeny banku. Michał jednak tego nie sprawdził. Link, który oszuści umieścili w wiadomości nie kierował do serwisu banku, ale do spreparowanej strony.

.. ING Bank Śląski

Gdy Michał wprowadził swój login i hasło, jeden z oszustów czekał już przy komputerze, aby użyć danych Michała do zalogowania się na stronie banku. Gdy cała operacja się powiodła, oszust zlecił wykonanie przelewu na kwotę 100 tys. złotych. Potrzebował jeszcze kodu SMS od banku, który jest wymagany aby zautoryzować taką transakcję. W tym Michał również mu "pomógł", bo na sfałszowanej stronie wprowadził kod, który rzekomo miał odblokować jego konto. Nie sprawdził dokładnie treści tego SMS-a. Gdyby to zrobił, to dowiedziałby się, że zatwierdza przelew, który wyczyści jego konto z oszczędności życia.

Phishing zbiera żniwo

Z raportu firmy Symantec wynika, że tylko w 2017 r. aż 978 mln osób padło ofiarą cyberprzestępców. a straty z tego tytułu oszacowano na 172 mld dolarów. Przeciętnie ofiara ataku straciła więc 142 dolary.

Równie niepokojące dane przedstawia nowy raport Instytutu Kościuszki - "Wyzwania w cyberprzestrzeni". Z zebranych przez jego autorów danych wynika, że już co 13 e-mail zawiera złośliwe oprogramowanie, którego celem jest zainfekowanie komputera, systemów komputerowych, sieci czy urządzeń mobilnych.

Ponad 25 procent internautów w Polsce padło w 2018 r. ofiarą phishingu polegającego na podstępnym wyłudzeniu od użytkowników ich danych osobistych, takich jak hasła, numery kart kredytowych czy dane kont bankowych

- czytamy w raporcie.

W Polsce phishing zbiera żniwo już od dawna, ale z każdym kolejnym rokiem liczba skutecznych kampanii jest coraz większa. W 2018 r. takie ataki zostały wymierzone m.in w klientów mBanku, Alior Banku, ING Banku Śląskiego i Pekao. Banki ostrzegały przed nimi na swoich stronach internetowych, ale często dopiero w momencie, gdy pierwsze ofiary oszustw straciły już swoje pieniądze.

Phishing działa przede wszystkim dlatego, że domagamy się od zwykłych ludzi 'nadludzkich możliwości'. Badania przeprowadzone w najbardziej zaawansowanych technologicznie krajach świata pokazują, że tylko 5 procent populacji potrafi wykonywać bardziej skomplikowane zadania w zetknięciu z IT. My tymczasem chcemy, by wszyscy potrafili odróżniać fałszywe treści od prawdziwych.

- tłumaczy Michał Jarski, ekspert ds. cyberbezpieczeństwa.

Przestępcy z powodzeniem omijają kolejne przeszkody, wykorzystując swoją największą przewagę - zaskoczenie. Korzystają z łatwowierności, ale także z wbudowanego w ludzki umysł mechanizmu 'dopasowywania do tego, co znane'. Tak działają przecież od tysięcy lat iluzjoniści. Tylko przedmiot iluzji się zmienia.

- dodaje Jarski.

Phishing jest skuteczny również z innego powodu. Oszuści cały czas ulepszają tę metodę ataku. Co jakiś czas pojawiają się jej kolejne warianty. Zazwyczaj coraz bardziej przebiegłe i coraz skuteczniejsze. W ostatnim czasie dużą popularnością cieszą się oszustwa "na BLIK-a", "na fakturę" oraz "na bony".

Płatność BLIKPłatność BLIK źródło: Polski Standard Płatności

Oszustwo "na BLIK-a" to stosunkowo świeży przekręt, którego popularność związana jest z coraz większym zainteresowaniem płatnościami BLIK. W tym scenariuszu oszuści przejmują kontrolę nad kontem użytkownika Faceboka, a następnie rozsyłają do jego znajomych prośbę o pożyczenie pieniędzy.

Proszą o podanie kodu BLIK, który pozwala na wypłatę środków z bankomatu bez użycia karty płatniczej. Swoją zaskakującą prośbę tłumaczą nagłymi problemami - np. zgubieniem portfela. Ci, którzy dadzą się nabrać na wiadomość od "fałszywego znajomego" mogą stracić od kilkuset do nawet kilku tysięcy złotych.

.. mBank

Przed atakami "na fakturę" z wykorzystaniem złośliwego oprogramowania BackSwap. swoich klientów w tym roku ostrzegał m.in Orange, Alior Bank oraz mBank. W tym wariancie ofiara otrzymuje e-mail, który rzekomo pochodzi od banku, operatora telefonii komórkowej, kablówki czy np. firmy energetycznej.

Wiadomość zawiera załącznik z "fakturą". Po jego otwarciu ofiara dowiaduje się, że ma nieaktualną wersję programu Adobe Reader, który pozwala odczytywać pliki PDF. W e-mailu znajduje się link do pobrania aktualnej wersji aplikacji. Jeśli klikniemy w ten link, to na naszym komputerze zainstalujemy nie nowego Adobe Readera, ale złośliwe oprogramowanie. BackSwap, bo o nim mowa. na bieżąco monitoruje pracę przeglądarki internetowej. Wstrzykuje do systemu skrypt, który sprawia, że gdy ofiara zleci przelew na większą kwotę, numer konta odbiorcy automatycznie zostanie podmieniony na numer konta oszustów.

Podrobiona strona BiedronkiPodrobiona strona Biedronki fot. screen własny

W ostatnim czasie dużą popularnością cieszą się również podejrzane konkursy, w których rzekomo można wygrać bony na zakupy do Biedronki, Lidla, Tesco czy też innego sklepu. Oszuści tworzą strony, na których podszywają pod znane marki. Aby dostać nagrodę należy wypełnić krótką ankietę, a następnie dokonać przelewu na niewielką kwotę, który ma być warunkiem udziału w konkursie.

Podrobiona strona DotpayPodrobiona strona Dotpay fot. CERT Polska

Na końcu ankiety znajduje się link, który rzekomo prowadzi do strony jednego z pośredników oferujących płatności online - np. PayU, Dotpay czy Przelewy24. Tak naprawdę ta strona również została sfałszowana przez oszustów. Przekręt jest na tyle wyrafinowany, że fałszywy serwis posługuje się nawet certyfikatem SSL (symbol zielonej kłódki w przeglądarce), który zazwyczaj jest dowodem autentyczności danej strony

Następnie ofiara jest proszona o zalogowanie się na swoje konto bankowe i przelanie wymaganej kwoty 5 zł. W tym momencie przestępcy przejmują nasze dane logowania (nazwa użytkownika i hasła), które pozwolą im później przejąć kontrolę nad naszym kontem bankowym.

Uwaga na podejrzane aplikacje

Phishing nie jest dziś jednak jedynie problemem użytkowników komputerów. Dla wielu osób rolę komputera już dawno przejął bowiem smartfon. Oszuści również się na to przygotowali. W ub. roku w sklepie Google Play pojawiła się aplikacja "Bankowość uniwersalna Polska", która miała umożliwić łatwe logowanie do 21 banków. Oczywiście był to przekręt, a celem aplikacji miało być wykradanie danych klientów banków.

"Bankowość uniwersalna Polska" doskonale poradziła sobie również z problemem kodów autoryzacyjnych SMS. Nie jest tajemnicą, że dla cyberprzestępców największym wyzwaniem jest skłonienie nas do tego, abyśmy nieświadomie przekazali im treść SMS-a z kodem, który otrzymaliśmy od banku.

Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie - użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników

- tłumaczył Lukas Stefanko, badacz zagrożeń z ESET.

Fałszywa aplikacja została dość szybko usunięta z Google Play, ale wcześniej zdążyło ją pobrać ponad 100 osób. Oczywiście oszuści nadal się nie poddają i - mimo starań ze strony Google - co jakiś czas starają "przemycać" do sklepu kolejne phishingowe appki, które podszywają się pod serwisy banków.

Jak nie dać się oszukać?

Ostrożność i zdrowy rozsądek to najlepsza broń w walce z potencjalnymi zagrożeniami w sieci. Zawsze, gdy otrzymasz na swoją skrzynkę podejrzanego e-maila, odpowiedz sobie na pięć prostych pytań:

  • Czy znasz nadawcę wiadomości?
  • Czy otrzymywałeś już inne wiadomości od tego nadawcy?
  • Czy spodziewałeś się otrzymać tę wiadomość?
  • Czy tytuł wiadomości i nazwa załącznika mają sens?
  • Czy wiadomość nie zawiera złośliwego oprogramowania?

Jeśli odpowiedź na któreś z tych pytań brzmi „NIE”, to nie otwieraj maila. Pamiętaj również o tym, że banki, firmy oferujące usługi związane z płatnościami on-line, czy serwisy społecznościowe nigdy nie wysyłają do klientów wiadomości, w których proszą ich o podania haseł logowania czy innych wrażliwych danych. Jeśli otrzymałeś takiego e-maila, to jego nadawcą z całą pewnością jest oszust.

Co w sytuacji, gdy, daliśmy się złowić w sidła phishingu? Należy skontaktować się z bankiem i zażądać blokady rachunku. Jeśli zareagujemy szybko, istnieje duża szansa, że uprzedzimy działania przestępców.

W znacznie lepszej sytuacji są osoby, którym oszuści wyciągnęli pieniądze z karty kredytowej. Transakcje za pośrednictwem kart są zabezpieczane przez banki za pośrednictwem systemu obciążenia zwrotnego (ang. chargeback), dzięki któremu odzyskanie ukradzionych w ten sposób pieniędzy jest dużo łatwiejsze

Więcej o:
Komentarze (52)
Chwila nieuwagi i tracisz majątek. Oszuści wciąż polują na klientów polskich banków
Zaloguj się
  • buk.horror.dulszczyzna.00

    Oceniono 20 razy 14

    Pan Jarek jest ostrożny.
    Nie ma e-konta.
    Nie korzysta z internetu
    Bądź jak Pan Jarek.

  • koziorozka

    Oceniono 8 razy 4

    Może nareszcie PGNiG przestanie przysyłać faktury jako załącznik .pdf

  • zmichalg1

    Oceniono 5 razy 3

    Kiedyś robiłem (tj. ja a nie oszust) większy przelew drogą elektroniczną. Na stronie banku wyskoczył napis, że przelew musi być potwierdzony telefonicznie. Po chwili miałem telefon z banku z prośbą o potwierdzenie...
    A tak przy okazji: z bankowości elektronicznej korzystam już naście lat. W tym czasie dostałem masę spamu typu "zaloguj się i coś tam sprawdź" i dotąd nie dałem się nabrać. Za to zdarzyło mi się uznać za podejrzany mail, gdzie rzeczywiście bank czy podobna instytucja coś tam do mnie pisała.
    Reasumując: ostrożność, ostrożność i jeszcze raz ostrożność.

  • jtby

    Oceniono 11 razy 3

    Wyżej opisany Michał jest po prostu kretynem i przed cyberprzestępcami uchroni go tylko niekorzystanie z czegokolwiek przez internet.
    Ludzie uważają, że mają święte niezbywalne prawo nic nowego nie uczyć się, być kretynami, a władza ma obowiązek chronić ich przed mocno utrwaloną głupotą.

  • przyjemny_gosc

    Oceniono 10 razy 2

    No i co? Przelew na 100 tys zł został przesłany i co dalej? Nie można ustalić na jakie konto ING wysłał hajs? Nie można cofnąć transakcji? Nie można zwrócić się do banku, który pieniądze przyjął, aby zblokował do nich dostęp?
    Pewnie można, tylko komu by się chciało?

  • pigeon_shit_dust

    Oceniono 3 razy 1

    Zawsze mnie to dziwi jak czytam, ze takiego idiote oszukano na pokazna kwote. Skad idiota mial te pieniadze, od babci dostal czy jak? No bo chyba sam nie zarobil, za glupi?

  • solvikki

    0

    Żeby stracić majątek trzeba najpierw go mieć. Pozdrawiam wszystkich pracujących za płacę minimalną.

  • tonz2

    0

    Jest szansa, że przez takie logowanie ktoś ukradnie moje długi na koncie??

  • franclajn

    Oceniono 4 razy 0

    Nieuzasadniona krytyka klientów. Przecież te ukradzione pieniądze trafiają do jakiegoś banku. Jest ślad. Jest, a raczej powinna być reakcja prokuratury i policji, bo w państwie władcy dwóch wież raczej nie można liczyć na pomoc służb. Zresztą inflacja w Polsce galopuje, a zyskuje na tym tylko władza (podatki od coraz droższych towarów i usług), a przed tą władzą i jej polityką pieniężną zabezpieczyć się antywirusem nie da.

Aby ocenić zaloguj się lub zarejestrujX