14 września zmienią się zasady logowania do serwisów bankowości elektronicznej. Banki muszą dostosować systemy do zaleceń dyrektywy PSD2, wprowadzając tzw. twarde uwierzytelnienie. Więcej na temat zmian, które już wkrótce czekają klientów polskich banków przeczytasz TUTAJ.
Michał otrzymał e-maila ze banku, który poinformował go o blokadzie konta "z powodów bezpieczeństwa". Z treści maila dowiedział się, że aby odblokować usługę, powinien zalogować się do serwisu bankowości elektronicznej, a następnie wprowadzić kod autoryzacyjny. W e-mailu znalazł się link do serwisu, z którego Michał skorzystał. Następnie w oknie logowania wprowadził nazwę użytkownika i hasło. Chwilę później otrzymał SMS-a z kodem, który również wpisał na stronie. Michał właśnie stracił 100 tysięcy złotych.
Część klientów BZWBK straciła spore pieniądze w wyniku działań przestępców Fot. Robert Kędzierski/BZWBK
Nadawcą e-maila nie był wcale bank, ale cyberprzestępcy. Spreparowali oni wiadomość tak, aby niemal do złudzenia przypominała oficjalną korespondencję z banku. Zdradzić mogła ich jedynie domena, z której wysłali e-maila. Różniła się jedną literą od domeny banku. Michał jednak tego nie sprawdził. Link, który oszuści umieścili w wiadomości nie kierował do serwisu banku, ale do spreparowanej strony.
. ING Bank Śląski
Gdy Michał wprowadził swój login i hasło, jeden z oszustów czekał już przy komputerze, aby użyć danych Michała do zalogowania się na stronie banku. Gdy cała operacja się powiodła, oszust zlecił wykonanie przelewu na kwotę 100 tys. złotych. Potrzebował jeszcze kodu SMS od banku, który jest wymagany aby zautoryzować taką transakcję. W tym Michał również mu "pomógł", bo na sfałszowanej stronie wprowadził kod, który rzekomo miał odblokować jego konto. Nie sprawdził dokładnie treści tego SMS-a. Gdyby to zrobił, to dowiedziałby się, że zatwierdza przelew, który wyczyści jego konto z oszczędności życia.
Phishing zbiera żniwo
Z raportu firmy Symantec wynika, że tylko w 2017 r. aż 978 mln osób padło ofiarą cyberprzestępców. a straty z tego tytułu oszacowano na 172 mld dolarów. Przeciętnie ofiara ataku straciła więc 142 dolary.
Równie niepokojące dane przedstawia nowy raport Instytutu Kościuszki - "Wyzwania w cyberprzestrzeni". Z zebranych przez jego autorów danych wynika, że już co 13 e-mail zawiera złośliwe oprogramowanie, którego celem jest zainfekowanie komputera, systemów komputerowych, sieci czy urządzeń mobilnych.
Ponad 25 procent internautów w Polsce padło w 2018 r. ofiarą phishingu polegającego na podstępnym wyłudzeniu od użytkowników ich danych osobistych, takich jak hasła, numery kart kredytowych czy dane kont bankowych
W Polsce phishing zbiera żniwo już od dawna, ale z każdym kolejnym rokiem liczba skutecznych kampanii jest coraz większa. W 2018 r. takie ataki zostały wymierzone m.in w klientów mBanku, Alior Banku, ING Banku Śląskiego i Pekao. Banki ostrzegały przed nimi na swoich stronach internetowych, ale często dopiero w momencie, gdy pierwsze ofiary oszustw straciły już swoje pieniądze.
Phishing działa przede wszystkim dlatego, że domagamy się od zwykłych ludzi 'nadludzkich możliwości'. Badania przeprowadzone w najbardziej zaawansowanych technologicznie krajach świata pokazują, że tylko 5 procent populacji potrafi wykonywać bardziej skomplikowane zadania w zetknięciu z IT. My tymczasem chcemy, by wszyscy potrafili odróżniać fałszywe treści od prawdziwych.
- tłumaczy Michał Jarski, ekspert ds. cyberbezpieczeństwa.
Przestępcy z powodzeniem omijają kolejne przeszkody, wykorzystując swoją największą przewagę - zaskoczenie. Korzystają z łatwowierności, ale także z wbudowanego w ludzki umysł mechanizmu 'dopasowywania do tego, co znane'. Tak działają przecież od tysięcy lat iluzjoniści. Tylko przedmiot iluzji się zmienia.
- dodaje Jarski.
Phishing jest skuteczny również z innego powodu. Oszuści cały czas ulepszają tę metodę ataku. Co jakiś czas pojawiają się jej kolejne warianty. Zazwyczaj coraz bardziej przebiegłe i coraz skuteczniejsze. W ostatnim czasie dużą popularnością cieszą się oszustwa "na BLIK-a", "na fakturę" oraz "na bony".
Płatność BLIK źródło: Polski Standard Płatności
Oszustwo "na BLIK-a" to stosunkowo świeży przekręt, którego popularność związana jest z coraz większym zainteresowaniem płatnościami BLIK. W tym scenariuszu oszuści przejmują kontrolę nad kontem użytkownika Faceboka, a następnie rozsyłają do jego znajomych prośbę o pożyczenie pieniędzy.
Proszą o podanie kodu BLIK, który pozwala na wypłatę środków z bankomatu bez użycia karty płatniczej. Swoją zaskakującą prośbę tłumaczą nagłymi problemami - np. zgubieniem portfela. Ci, którzy dadzą się nabrać na wiadomość od "fałszywego znajomego" mogą stracić od kilkuset do nawet kilku tysięcy złotych.
. mBank
Przed atakami "na fakturę" z wykorzystaniem złośliwego oprogramowania BackSwap. swoich klientów w tym roku ostrzegał m.in Orange, Alior Bank oraz mBank. W tym wariancie ofiara otrzymuje e-mail, który rzekomo pochodzi od banku, operatora telefonii komórkowej, kablówki czy np. firmy energetycznej.
Wiadomość zawiera załącznik z "fakturą". Po jego otwarciu ofiara dowiaduje się, że ma nieaktualną wersję programu Adobe Reader, który pozwala odczytywać pliki PDF. W e-mailu znajduje się link do pobrania aktualnej wersji aplikacji. Jeśli klikniemy w ten link, to na naszym komputerze zainstalujemy nie nowego Adobe Readera, ale złośliwe oprogramowanie. BackSwap, bo o nim mowa. na bieżąco monitoruje pracę przeglądarki internetowej. Wstrzykuje do systemu skrypt, który sprawia, że gdy ofiara zleci przelew na większą kwotę, numer konta odbiorcy automatycznie zostanie podmieniony na numer konta oszustów.
Podrobiona strona Biedronki fot. screen własny
W ostatnim czasie dużą popularnością cieszą się również podejrzane konkursy, w których rzekomo można wygrać bony na zakupy do Biedronki, Lidla, Tesco czy też innego sklepu. Oszuści tworzą strony, na których podszywają pod znane marki. Aby dostać nagrodę należy wypełnić krótką ankietę, a następnie dokonać przelewu na niewielką kwotę, który ma być warunkiem udziału w konkursie.
Podrobiona strona Dotpay fot. CERT Polska
Na końcu ankiety znajduje się link, który rzekomo prowadzi do strony jednego z pośredników oferujących płatności online - np. PayU, Dotpay czy Przelewy24. Tak naprawdę ta strona również została sfałszowana przez oszustów. Przekręt jest na tyle wyrafinowany, że fałszywy serwis posługuje się nawet certyfikatem SSL (symbol zielonej kłódki w przeglądarce), który zazwyczaj jest dowodem autentyczności danej strony
Następnie ofiara jest proszona o zalogowanie się na swoje konto bankowe i przelanie wymaganej kwoty 5 zł. W tym momencie przestępcy przejmują nasze dane logowania (nazwa użytkownika i hasła), które pozwolą im później przejąć kontrolę nad naszym kontem bankowym.
Uwaga na podejrzane aplikacje
Phishing nie jest dziś jednak jedynie problemem użytkowników komputerów. Dla wielu osób rolę komputera już dawno przejął bowiem smartfon. Oszuści również się na to przygotowali. W ub. roku w sklepie Google Play pojawiła się aplikacja "Bankowość uniwersalna Polska", która miała umożliwić łatwe logowanie do 21 banków. Oczywiście był to przekręt, a celem aplikacji miało być wykradanie danych klientów banków.
"Bankowość uniwersalna Polska" doskonale poradziła sobie również z problemem kodów autoryzacyjnych SMS. Nie jest tajemnicą, że dla cyberprzestępców największym wyzwaniem jest skłonienie nas do tego, abyśmy nieświadomie przekazali im treść SMS-a z kodem, który otrzymaliśmy od banku.
Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie - użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników
- tłumaczył Lukas Stefanko, badacz zagrożeń z ESET.
Fałszywa aplikacja została dość szybko usunięta z Google Play, ale wcześniej zdążyło ją pobrać ponad 100 osób. Oczywiście oszuści nadal się nie poddają i - mimo starań ze strony Google - co jakiś czas starają "przemycać" do sklepu kolejne phishingowe appki, które podszywają się pod serwisy banków.
Jak nie dać się oszukać?
Ostrożność i zdrowy rozsądek to najlepsza broń w walce z potencjalnymi zagrożeniami w sieci. Zawsze, gdy otrzymasz na swoją skrzynkę podejrzanego e-maila, odpowiedz sobie na pięć prostych pytań:
- Czy znasz nadawcę wiadomości?
- Czy otrzymywałeś już inne wiadomości od tego nadawcy?
- Czy spodziewałeś się otrzymać tę wiadomość?
- Czy tytuł wiadomości i nazwa załącznika mają sens?
- Czy wiadomość nie zawiera złośliwego oprogramowania?
Jeśli odpowiedź na któreś z tych pytań brzmi „NIE”, to nie otwieraj maila. Pamiętaj również o tym, że banki, firmy oferujące usługi związane z płatnościami on-line, czy serwisy społecznościowe nigdy nie wysyłają do klientów wiadomości, w których proszą ich o podania haseł logowania czy innych wrażliwych danych. Jeśli otrzymałeś takiego e-maila, to jego nadawcą z całą pewnością jest oszust.
Co w sytuacji, gdy, daliśmy się złowić w sidła phishingu? Należy skontaktować się z bankiem i zażądać blokady rachunku. Jeśli zareagujemy szybko, istnieje duża szansa, że uprzedzimy działania przestępców.
W znacznie lepszej sytuacji są osoby, którym oszuści wyciągnęli pieniądze z karty kredytowej. Transakcje za pośrednictwem kart są zabezpieczane przez banki za pośrednictwem systemu obciążenia zwrotnego (ang. chargeback), dzięki któremu odzyskanie ukradzionych w ten sposób pieniędzy jest dużo łatwiejsze
