BackSwap to nowy wirus odkryty przez polski zespół badaczy z laboratorium ESET. Jest wyjątkowo groźny, bo podmienia numery kont. Ofiara może nie zauważyć, że dane skopiowane na przykład z wiadomości e-mail po wklejeniu na stronie banku uległy zmianie. Bank natomiast nie weryfikuje, czy numer konta i nazwisko czy nazwa odbiorcy się zgadzają. A kiedy pieniądze dotrą już na konto przestępcy, są zazwyczaj nie do odzyskania.
Zagrożeni klienci dużych polskich banków
Jak informuje ESET zagrożeni są przede wszystkim klienci pięciu największych polskich banków: mBanku, Pekao, PKO BP, BZ WBK, ING. Przestępcy w marcu zmodyfikowali swoje oprogramowanie. Wcześniej ich celem byli głównie handlujący kryptowalutami.
Związek Banków Polskich ostrzega
Istnienie wirusa potwierdza Związek Banków Polskich. W komunikacie na swojej stronie publikuje przykładową wiadomość zawierającą złośliwy załącznik. Ostrzega też: tym razem wirus jest naprawdę groźny. Jest tak z bardzo konkretnego powodu.
BackSwap jest szczególnie niebezpieczny dla klientów bankowości elektronicznej, gdyż kod sam wpisuje fragment znak po znaku, udając użytkownika.
W jaki sposób dochodzi do infekcji
Paweł Śmierciak, analityk, który odkrył istnienie BackSwap, wyjaśnia, że sposób działania przestępców powiela znany od lat schemat.
Zagrożenie jest dystrybuowane za pośrednictwem wiadomości e-mail, zawierających zainfekowany załącznik, który wygląda jak faktura. Po jego otworzeniu, rozpoczyna się instalacja docelowego zagrożenia – BackSwap (Win32/BackSwap.A).
W jaki sposób numer konta jest podmieniany?
- Działanie wirusa polega na stałym monitorowaniu zachowania użytkownika w przeglądarce internetowej. W momencie, gdy BackSwap wykryje, że ofiara otwiera stronę swojego banku, sprawdza, czy znajduje się na zdefiniowanej przez cyberprzestępców liście celów (prawdopodobnie chodzi o listę wspominanych wyżej banków - red). Jeśli tak jest, dokonuje wszczepienia złośliwego skryptu (albo do konsoli w przeglądarce, albo bezpośrednio do paska adresowego widocznego w oknie przeglądarki). Kiedy klient banku wykonuje przelew na kwotę większą niż 10 tysięcy złotych, skrypt niezauważalnie podmienia numer konta i pieniądze trafiają bezpośrednio do cyberprzestępcy - wyjaśnia Śmierciak.
Wirus może podmienić numer zarówno, gdy kopiujemy go do schowka jak i gdy wpisujemy dane ręcznie. Tak było w przypadku wirusa Banatrix.
Czytaj też: Stracili wielkie pieniądze, chociaż byli pewni, że wysyłają je tam gdzie trzeba.
Analitycy zagrożeń z firmy ESET podkreślają, że na tę chwilę nie jest znana dokładna liczba poszkodowanych klientów banków, ani też kwota, jaką cyberprzestępcy zdołali wyprowadzić z rachunków swoich ofiar. Kulminacja ataków złośliwego oprogramowania BackSwap miała miejsce w kwietniu. Obecnie zagrożenie jest mniejsze. Nie wiadomo jednak, czy i kiedy przestępcy znów zwiększą swą aktywność.
Jak się bronić?
Najprostszy sposób, który chroni przed podmienianiem konta, to kopiowanie niepełnego numeru. Przynajmniej dwie, a najlepiej cztery ostatnie cyfry warto wpisywać ręcznie. Szczególnie przy przelewach na kwotę powyżej 10 tys. zł.
Zanim potwierdzimy przelew trzeba spojrzeć na ekran i jeszcze raz zweryfikować numer - na przykład cztery jego końcowe cyfry. Bank często pyta, czy dane wprowadzone do systemu są poprawne. W ten sposób uchronimy się przed wirusem, który podmienia numer w schowku, podczas kopiowania, oraz przed takim, który jest w stanie wstawić własne dane, nawet jeśli numer wpisujemy ręcznie.
O tym, że tego typu ataki są możliwe ostrzegaliśmy już kilka lat temu - jeden z poszkodowanych stracił poprzez podmianę numeru konta 40 tys. zł. Niektóre wirusy podmieniają numery skopiowane do schowka, inne robią to nawet jeśli numer wkleimy ręcznie.
Płatności powinny być wykonywane na komputerze z aktualnym systemem i programem antywirusowym. Po raz kolejny okazuje się też, że przed atakiem cyberprzestępców uchronić może zdrowy rozsądek. Nie otwierajmy podejrzanych wiadomości, a w szczególności załączników.
***
