Polacy odkryli groźnego wirusa. Podmienia numery kont. Zagrożeni klienci mBanku, Pekao, PKO BP, BZ WBK oraz ING

Robert Kędzierski
Polski zespół ekspertów firmy Eset informuje o groźnym wirusie, którego przestępcy stworzyli specjalnie z myślą o klientach polskich banków. Korzystający z bankowości mBanku, Pekao, PKO BP, BZ WBK oraz ING powinni mieć się na baczności. Celem przestępców są tylko duże przelewy.

BackSwap to nowy wirus odkryty przez polski zespół badaczy z laboratorium ESET. Jest wyjątkowo groźny, bo podmienia numery kont. Ofiara może nie zauważyć, że dane skopiowane na przykład z wiadomości e-mail po wklejeniu na stronie banku uległy zmianie. Bank natomiast nie weryfikuje, czy numer konta i nazwisko czy nazwa odbiorcy się zgadzają. A kiedy pieniądze dotrą już na konto przestępcy, są zazwyczaj nie do odzyskania.

Zagrożeni klienci dużych polskich banków

Jak informuje ESET zagrożeni są przede wszystkim klienci pięciu największych polskich banków: mBanku, Pekao, PKO BP, BZ WBK, ING. Przestępcy w marcu zmodyfikowali swoje oprogramowanie. Wcześniej ich celem byli głównie handlujący kryptowalutami.

Związek Banków Polskich ostrzega

Istnienie wirusa potwierdza Związek Banków Polskich. W komunikacie na swojej stronie publikuje przykładową wiadomość zawierającą złośliwy załącznik. Ostrzega też: tym razem wirus jest naprawdę groźny. Jest tak z bardzo konkretnego powodu.

BackSwap jest szczególnie niebezpieczny dla klientów bankowości elektronicznej, gdyż kod sam wpisuje fragment znak po znaku, udając użytkownika.

Wirus infekuje przez fałszywy e-mailWirus infekuje przez fałszywy e-mail Fot. ZBP

W jaki sposób dochodzi do infekcji

Paweł Śmierciak, analityk, który odkrył istnienie BackSwap, wyjaśnia, że sposób działania przestępców powiela znany od lat schemat. 

Zagrożenie jest dystrybuowane za pośrednictwem wiadomości e-mail, zawierających zainfekowany załącznik, który wygląda jak faktura. Po jego otworzeniu, rozpoczyna się instalacja docelowego zagrożenia – BackSwap (Win32/BackSwap.A).

W jaki sposób numer konta jest podmieniany?

- Działanie wirusa polega na stałym monitorowaniu zachowania użytkownika w przeglądarce internetowej. W momencie, gdy BackSwap wykryje, że ofiara otwiera stronę swojego banku, sprawdza, czy znajduje się na zdefiniowanej przez cyberprzestępców liście celów (prawdopodobnie chodzi o listę wspominanych wyżej banków - red). Jeśli tak jest, dokonuje wszczepienia złośliwego skryptu (albo do konsoli w przeglądarce, albo bezpośrednio do paska adresowego widocznego w oknie przeglądarki). Kiedy klient banku wykonuje przelew na kwotę większą niż 10 tysięcy złotych, skrypt niezauważalnie podmienia numer konta i pieniądze trafiają bezpośrednio do cyberprzestępcy - wyjaśnia Śmierciak.

embed

Wirus może podmienić numer zarówno, gdy kopiujemy go do schowka jak i gdy wpisujemy dane ręcznie. Tak było w przypadku wirusa Banatrix.

Czytaj też: Stracili wielkie pieniądze, chociaż byli pewni, że wysyłają je tam gdzie trzeba.

Analitycy zagrożeń z firmy ESET podkreślają, że na tę chwilę nie jest znana dokładna liczba poszkodowanych klientów banków, ani też kwota, jaką cyberprzestępcy zdołali wyprowadzić z rachunków swoich ofiar. Kulminacja ataków złośliwego oprogramowania BackSwap miała miejsce w kwietniu. Obecnie zagrożenie jest mniejsze. Nie wiadomo jednak, czy i kiedy przestępcy znów zwiększą swą aktywność. 

Jak się bronić?

Najprostszy sposób, który chroni przed podmienianiem konta, to kopiowanie niepełnego numeru. Przynajmniej dwie, a najlepiej cztery ostatnie cyfry warto wpisywać ręcznie. Szczególnie przy przelewach na kwotę powyżej 10 tys. zł.

Zanim potwierdzimy przelew trzeba spojrzeć na ekran i jeszcze raz zweryfikować numer - na przykład cztery jego końcowe cyfry. Bank często pyta, czy dane wprowadzone do systemu są poprawne. W ten sposób uchronimy się przed wirusem, który podmienia numer w schowku, podczas kopiowania, oraz przed takim, który jest w stanie wstawić własne dane, nawet jeśli numer wpisujemy ręcznie. 

O tym, że tego typu ataki są możliwe ostrzegaliśmy już kilka lat temu - jeden z poszkodowanych stracił poprzez podmianę numeru konta 40 tys. zł. Niektóre wirusy podmieniają numery skopiowane do schowka, inne robią to nawet jeśli numer wkleimy ręcznie. 

Płatności powinny być wykonywane na komputerze z aktualnym systemem i programem antywirusowym. Po raz kolejny okazuje się też, że przed atakiem cyberprzestępców uchronić może zdrowy rozsądek. Nie otwierajmy podejrzanych wiadomości, a w szczególności załączników. 

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]

Więcej o:
Komentarze (146)
Polacy odkryli groźnego wirusa. Podmienia numery kont. Zagrożeni klienci mBanku, Pekao, PKO BP, BZ WBK oraz ING
Zaloguj się
  • twzelnik

    Oceniono 4 razy 0

    No to jeszcze raz: przeciętnemu użytkownikowi domowemu wystarczy Linux zamiast obecnego systemu. Po instalacji Linuxa 99% wirusów po prostu nie będzie w stanie zainfekować twojego komputera.
    Za to będą działać wszystkie twoje komputery, skanery, drukarki, itp. Również te stare, których Microsoft już nie zamierza obsługiwać.
    Na linuxa są dostępne przeróżne aplikacje, choć większość użytkowników domowych nie wychodzi poza schemat przeglądarka + pakiet office (dostępny za darmo).
    W skrajnym przypadku można pod linuxem zainstalować ...całe Windows wraz z niezbędnymi aplikacjami.
    Do tego cena - Linux jest darmowy.

    Zaraz tu zaczną wypisywać PFCSK o problemach z Linuxem, bo gdy go widzieli przez te 5 minut to mieli problemy...

  • Krzysztof I

    Oceniono 3 razy -1

    Większości społeczeństwa te "duże" przelewy nei dotycza :)) hahaha./// źle trafili ;[p

  • mille666

    Oceniono 4 razy 0

    "numer wkleimy ręcznie"
    klejem? taśmą samoprzylepną?
    bo jeśli nie, to właśnie korzystamy ze schowka...

  • normalny_ludz

    Oceniono 1 raz 1

    To ciekawe,bo w moim banku,jak kopiuję numer rachunku,to strona automatycznie odrzuca 4 cyfry i muszę je wpisać ręcznie.Znaczy mam lepsze konto niż w "największych" porażkach bankowych w kraju?

  • tylko_na_forum

    Oceniono 3 razy -1

    Nawet nie mam tylu pieniedzy wiec mi to nie grozi..

  • alpepe

    Oceniono 1 raz -1

    Nie rozumiem, dlaczego ing, jak w ing, kiedy kopiuję numer, to mi nie wchodzą dwie pierwsze cyfry i trzeba je wpisać ręcznie, czyli tak, jak zalecacie.

  • chamsolo

    Oceniono 3 razy 1

    Ostatnio co 3-5 dni mam taką fakturę od dhl , dziwne jest ze wcześniej miałem kilka przesyłek nadanych kurierem z punktu w tym dhl .Na stronie dhl nie da się zgłosić oszustów mimo iż jest info o oszustwach.

  • ebom

    Oceniono 4 razy 4

    Żabki, ale to jest trochę stary nius, przeciez już tę panikę z pilnowaniem nru konta przy kopiuj-wklej przerobiliśmy ileś czasu temu na identycznie działającym wirusie, dlatego np. w Pekao przy wypełnianiu przelewu i wklejaniu skopiowanego nru konta już od kilku lat wyskakuje okienko ostrzegawcze ("sprawdź, czy nr konta na pewno się zgadza" coś w ten deseń).

Aby ocenić zaloguj się lub zarejestrujX