Polacy odkryli groźnego wirusa. Podmienia numery kont. Zagrożeni klienci mBanku, Pekao, PKO BP, BZ WBK oraz ING

Robert Kędzierski
Polski zespół ekspertów firmy Eset informuje o groźnym wirusie, którego przestępcy stworzyli specjalnie z myślą o klientach polskich banków. Korzystający z bankowości mBanku, Pekao, PKO BP, BZ WBK oraz ING powinni mieć się na baczności. Celem przestępców są tylko duże przelewy.

BackSwap to nowy wirus odkryty przez polski zespół badaczy z laboratorium ESET. Jest wyjątkowo groźny, bo podmienia numery kont. Ofiara może nie zauważyć, że dane skopiowane na przykład z wiadomości e-mail po wklejeniu na stronie banku uległy zmianie. Bank natomiast nie weryfikuje, czy numer konta i nazwisko czy nazwa odbiorcy się zgadzają. A kiedy pieniądze dotrą już na konto przestępcy, są zazwyczaj nie do odzyskania.

Zagrożeni klienci dużych polskich banków

Jak informuje ESET zagrożeni są przede wszystkim klienci pięciu największych polskich banków: mBanku, Pekao, PKO BP, BZ WBK, ING. Przestępcy w marcu zmodyfikowali swoje oprogramowanie. Wcześniej ich celem byli głównie handlujący kryptowalutami.

Związek Banków Polskich ostrzega

Istnienie wirusa potwierdza Związek Banków Polskich. W komunikacie na swojej stronie publikuje przykładową wiadomość zawierającą złośliwy załącznik. Ostrzega też: tym razem wirus jest naprawdę groźny. Jest tak z bardzo konkretnego powodu.

BackSwap jest szczególnie niebezpieczny dla klientów bankowości elektronicznej, gdyż kod sam wpisuje fragment znak po znaku, udając użytkownika.

Wirus infekuje przez fałszywy e-mailWirus infekuje przez fałszywy e-mail Fot. ZBP

W jaki sposób dochodzi do infekcji

Paweł Śmierciak, analityk, który odkrył istnienie BackSwap, wyjaśnia, że sposób działania przestępców powiela znany od lat schemat. 

Zagrożenie jest dystrybuowane za pośrednictwem wiadomości e-mail, zawierających zainfekowany załącznik, który wygląda jak faktura. Po jego otworzeniu, rozpoczyna się instalacja docelowego zagrożenia – BackSwap (Win32/BackSwap.A).

W jaki sposób numer konta jest podmieniany?

- Działanie wirusa polega na stałym monitorowaniu zachowania użytkownika w przeglądarce internetowej. W momencie, gdy BackSwap wykryje, że ofiara otwiera stronę swojego banku, sprawdza, czy znajduje się na zdefiniowanej przez cyberprzestępców liście celów (prawdopodobnie chodzi o listę wspominanych wyżej banków - red). Jeśli tak jest, dokonuje wszczepienia złośliwego skryptu (albo do konsoli w przeglądarce, albo bezpośrednio do paska adresowego widocznego w oknie przeglądarki). Kiedy klient banku wykonuje przelew na kwotę większą niż 10 tysięcy złotych, skrypt niezauważalnie podmienia numer konta i pieniądze trafiają bezpośrednio do cyberprzestępcy - wyjaśnia Śmierciak.

embed

Wirus może podmienić numer zarówno, gdy kopiujemy go do schowka jak i gdy wpisujemy dane ręcznie. Tak było w przypadku wirusa Banatrix.

Czytaj też: Stracili wielkie pieniądze, chociaż byli pewni, że wysyłają je tam gdzie trzeba.

Analitycy zagrożeń z firmy ESET podkreślają, że na tę chwilę nie jest znana dokładna liczba poszkodowanych klientów banków, ani też kwota, jaką cyberprzestępcy zdołali wyprowadzić z rachunków swoich ofiar. Kulminacja ataków złośliwego oprogramowania BackSwap miała miejsce w kwietniu. Obecnie zagrożenie jest mniejsze. Nie wiadomo jednak, czy i kiedy przestępcy znów zwiększą swą aktywność. 

Jak się bronić?

Najprostszy sposób, który chroni przed podmienianiem konta, to kopiowanie niepełnego numeru. Przynajmniej dwie, a najlepiej cztery ostatnie cyfry warto wpisywać ręcznie. Szczególnie przy przelewach na kwotę powyżej 10 tys. zł.

Zanim potwierdzimy przelew trzeba spojrzeć na ekran i jeszcze raz zweryfikować numer - na przykład cztery jego końcowe cyfry. Bank często pyta, czy dane wprowadzone do systemu są poprawne. W ten sposób uchronimy się przed wirusem, który podmienia numer w schowku, podczas kopiowania, oraz przed takim, który jest w stanie wstawić własne dane, nawet jeśli numer wpisujemy ręcznie. 

O tym, że tego typu ataki są możliwe ostrzegaliśmy już kilka lat temu - jeden z poszkodowanych stracił poprzez podmianę numeru konta 40 tys. zł. Niektóre wirusy podmieniają numery skopiowane do schowka, inne robią to nawet jeśli numer wkleimy ręcznie. 

Płatności powinny być wykonywane na komputerze z aktualnym systemem i programem antywirusowym. Po raz kolejny okazuje się też, że przed atakiem cyberprzestępców uchronić może zdrowy rozsądek. Nie otwierajmy podejrzanych wiadomości, a w szczególności załączników. 

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]

Więcej o:
Komentarze (146)
Polacy odkryli groźnego wirusa. Podmienia numery kont. Zagrożeni klienci mBanku, Pekao, PKO BP, BZ WBK oraz ING
Zaloguj się
  • 162tony

    Oceniono 38 razy 30

    " Bank natomiast nie weryfikuje, czy numer konta i nazwisko czy nazwa odbiorcy się zgadzają"

    NO TO ODKRYLIŚMY POWÓD...
    Bank tylko uczynnie przelewa pieniądze, przyjmuje pieniądze, zarabia na dawaniu kredytów...
    Bank nie weryfikuje prawdziwości dokumentów, zgodności danych, numerów kont...

  • borubar_perejro

    Oceniono 17 razy 17

    "Polacy odkryli groźnego wirusa". A kto kuwa miał go odkryć, skoro działa na kontach polskich banków?

  • marcin.73

    Oceniono 18 razy 12

    Przelew na 10 tys. powiadacie? Czyli dla mnie nie ma problemu, bo tyle to nawet na koncie nigdy nie miałem, że o przelewie na taką kwotę nie wspomnę.

  • vegemot

    Oceniono 21 razy 9

    Falszywy alarm, to zwykle ciemny niewyksztalcony lud pissowski klika falszywe linki bo sa ciemni i mysla ze wygrali nagrody. A wiekszosc z nich nie ma 10tys zl tylko 500+ na fajki i piwsko wiec sa bezpieczni

  • Jakub Jedynak

    Oceniono 18 razy 8

    Niech mi ktoś wytłumaczy... Przecież konto na które trafiają skradzione pieniądze do kogoś należy - znanego z imienia i nazwiska. Więc jakim cudem możliwa jest taka kradzież?

  • jozinzpolski

    Oceniono 10 razy 6

    Przecież w ING już co najmniej od roku trzeba ręcznie wpisać 2 pierwsze cyfry

  • repres1

    Oceniono 7 razy 5

    A co na to nasza dzielna policja?

  • ebom

    Oceniono 4 razy 4

    Żabki, ale to jest trochę stary nius, przeciez już tę panikę z pilnowaniem nru konta przy kopiuj-wklej przerobiliśmy ileś czasu temu na identycznie działającym wirusie, dlatego np. w Pekao przy wypełnianiu przelewu i wklejaniu skopiowanego nru konta już od kilku lat wyskakuje okienko ostrzegawcze ("sprawdź, czy nr konta na pewno się zgadza" coś w ten deseń).

Aby ocenić zaloguj się lub zarejestrujX