Korzystasz z funkcji kopiuj-wklej w banku elektronicznym? Uważaj - nowe zagrożenie może wykraść twoje pieniądze

Jak często zdarzyło wam się kopiować numer konta odbiorcy w banku elektronicznym? Wiadomo, że to dużo łatwiejsze, niż wpisywanie 26 cyfr z pamięci. Tymczasem okazuje się, że polscy internauci narażeni są na nowe zagrożenie - złośliwe oprogramowanie, które podmieni numer konta odbiorcy na konto przestępców.

O tym konkretnym złośliwym oprogramowaniu poinformował CERT, czyli zespół specjalistów zajmujący się zagrożeniami internetowymi. Zostało ono wykryte na początku października. CERT podaje , że do tej pory wykryto ponad 3 tysiące infekcji. Nie jest to może zbyt wielka liczba, ale

Na czym polega zagrożenie?

W przeglądarce otwierasz stronę banku, logujesz się. Jak zwykle zwracasz uwagę na to, żeby adres strony rozpoczynał się od https://, a na dole strony znajdowała się zamknięta kłódka. Wszystko jest w porządku, więc zaczynasz robić przelewy. Dopóki płacisz stałe rachunki, to wszystko jest w porządku. Jeśli jednak chcesz zrobić nowy przelew, do osoby której jeszcze nie przesyłałeś pieniędzy, to co zrobisz? Jeśli tylko masz taką możliwość pewnie skopiujesz go skądś i wkleisz w formularz bankowy. I wszystko byłoby - jak zwykle - w porządku, gdyby nie nowe złośliwe oprogramowanie, które może podmienić ciąg cyfr z numeru konta odbiorcy na numer konta przestępcy.

Jak można się zarazić?

CERT tłumaczy, że do zarażenia komputera dochodzi w wyniku phishingu. Użytkownik dostaje wiadomość mailową z załącznikiem. W nim znajduje się plik wyglądający jak plik wygaszacza ekranu na Windows (ma rozszerzenie .src), ale spakowany w formie .pdf. Po rozpakowaniu załącznika na komputerze tworzą się pliki udające te systemowe. CERT zauważa dalej, że malware:

W celu zapewnienia uruchomienia przy starcie systemu, dodaje się on do klucza rejestru: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Dodatkowo, ukrywa swoją obecność przejmując wywołanie niektórych funkcji WinAPI. Dzięki temu, mimo obecności wpisu w rejestrze ciężko jest odnaleźć plik na dysku, gdyż nie jest widoczny nawet po włączeniu opcji pokazywania plików ukrytych i systemowych.

Co dzieje się dalej? Malware wysyła do właścicieli maila z podstawowymi informacjami o nowym komputerze (system operacyjny, nazwa użytkownika, itd). Ale przede wszystkim - zyskuje dostęp do schowka, przez co oprogramowanie podmienia każdy ciąg 26 cyfr na numer konta przestępców. A kiedy najczęściej są nam potrzebne ciągi 26 cyfr? Kiedy korzystamy z bankowości elektronicznej.

Jak można sprawdzić, czy komputer jest zainfekowany?

Sposobów jest kilka. Ale - niestety - tylko jeden 100% pewny. Można przeskanować komputer programem antywirusowym, ale to rozwiązanie jest raczej niepewne. W końcu konkretny antywirus może nie wykrywać tego zagrożenia.

Najpewniejsza metoda jest zarazem prosta. Można skopiować ciąg 26 cyfr, wkleić go np. do notatnika i... sprawdzić, co się stanie. Jeśli numer zostanie podmieniony, lepiej nie klikać na "Zapłać teraz". Jeśli pozostanie bez zmian - komputer nie jest zainfekowany.

 

Komputer został zainfekowany - jak pozbyć się malware?

Niestety, nie ma tu całkowicie sprawdzonej metody. Jak podkreślał w rozmowie z nami Piotr Kijewski, kierownik CERT Polska, należy zacząć od tego, żeby nie korzystać z komputera do wykonywania ważnych czynności (na przykład przelewów internetowych).

Można próbować skanować komputer kilkoma różnymi programami antywirusowymi w nadziei, że któryś z nich rozpozna i wykryje zagrożenie i będzie w stanie je usunąć. Jeśli ta czynność się nie powiedzie, najbezpieczniej będzie oddać komputer do serwisu i poinformować specjalistów o zagrożeniu.

Więcej o: