Polacy odkryli groźnego wirusa. Podmienia numery kont. Zagrożeni klienci mBanku, Pekao, PKO BP, BZ WBK oraz ING

Robert Kędzierski
Polski zespół ekspertów firmy Eset informuje o groźnym wirusie, którego przestępcy stworzyli specjalnie z myślą o klientach polskich banków. Korzystający z bankowości mBanku, Pekao, PKO BP, BZ WBK oraz ING powinni mieć się na baczności. Celem przestępców są tylko duże przelewy.

BackSwap to nowy wirus odkryty przez polski zespół badaczy z laboratorium ESET. Jest wyjątkowo groźny, bo podmienia numery kont. Ofiara może nie zauważyć, że dane skopiowane na przykład z wiadomości e-mail po wklejeniu na stronie banku uległy zmianie. Bank natomiast nie weryfikuje, czy numer konta i nazwisko czy nazwa odbiorcy się zgadzają. A kiedy pieniądze dotrą już na konto przestępcy, są zazwyczaj nie do odzyskania.

Zagrożeni klienci dużych polskich banków

Jak informuje ESET zagrożeni są przede wszystkim klienci pięciu największych polskich banków: mBanku, Pekao, PKO BP, BZ WBK, ING. Przestępcy w marcu zmodyfikowali swoje oprogramowanie. Wcześniej ich celem byli głównie handlujący kryptowalutami.

Związek Banków Polskich ostrzega

Istnienie wirusa potwierdza Związek Banków Polskich. W komunikacie na swojej stronie publikuje przykładową wiadomość zawierającą złośliwy załącznik. Ostrzega też: tym razem wirus jest naprawdę groźny. Jest tak z bardzo konkretnego powodu.

BackSwap jest szczególnie niebezpieczny dla klientów bankowości elektronicznej, gdyż kod sam wpisuje fragment znak po znaku, udając użytkownika.

Wirus infekuje przez fałszywy e-mailWirus infekuje przez fałszywy e-mail Fot. ZBP

W jaki sposób dochodzi do infekcji

Paweł Śmierciak, analityk, który odkrył istnienie BackSwap, wyjaśnia, że sposób działania przestępców powiela znany od lat schemat. 

Zagrożenie jest dystrybuowane za pośrednictwem wiadomości e-mail, zawierających zainfekowany załącznik, który wygląda jak faktura. Po jego otworzeniu, rozpoczyna się instalacja docelowego zagrożenia – BackSwap (Win32/BackSwap.A).

W jaki sposób numer konta jest podmieniany?

- Działanie wirusa polega na stałym monitorowaniu zachowania użytkownika w przeglądarce internetowej. W momencie, gdy BackSwap wykryje, że ofiara otwiera stronę swojego banku, sprawdza, czy znajduje się na zdefiniowanej przez cyberprzestępców liście celów (prawdopodobnie chodzi o listę wspominanych wyżej banków - red). Jeśli tak jest, dokonuje wszczepienia złośliwego skryptu (albo do konsoli w przeglądarce, albo bezpośrednio do paska adresowego widocznego w oknie przeglądarki). Kiedy klient banku wykonuje przelew na kwotę większą niż 10 tysięcy złotych, skrypt niezauważalnie podmienia numer konta i pieniądze trafiają bezpośrednio do cyberprzestępcy - wyjaśnia Śmierciak.

embed

Wirus może podmienić numer zarówno, gdy kopiujemy go do schowka jak i gdy wpisujemy dane ręcznie. Tak było w przypadku wirusa Banatrix.

Czytaj też: Stracili wielkie pieniądze, chociaż byli pewni, że wysyłają je tam gdzie trzeba.

Analitycy zagrożeń z firmy ESET podkreślają, że na tę chwilę nie jest znana dokładna liczba poszkodowanych klientów banków, ani też kwota, jaką cyberprzestępcy zdołali wyprowadzić z rachunków swoich ofiar. Kulminacja ataków złośliwego oprogramowania BackSwap miała miejsce w kwietniu. Obecnie zagrożenie jest mniejsze. Nie wiadomo jednak, czy i kiedy przestępcy znów zwiększą swą aktywność. 

Jak się bronić?

Najprostszy sposób, który chroni przed podmienianiem konta, to kopiowanie niepełnego numeru. Przynajmniej dwie, a najlepiej cztery ostatnie cyfry warto wpisywać ręcznie. Szczególnie przy przelewach na kwotę powyżej 10 tys. zł.

Zanim potwierdzimy przelew trzeba spojrzeć na ekran i jeszcze raz zweryfikować numer - na przykład cztery jego końcowe cyfry. Bank często pyta, czy dane wprowadzone do systemu są poprawne. W ten sposób uchronimy się przed wirusem, który podmienia numer w schowku, podczas kopiowania, oraz przed takim, który jest w stanie wstawić własne dane, nawet jeśli numer wpisujemy ręcznie. 

O tym, że tego typu ataki są możliwe ostrzegaliśmy już kilka lat temu - jeden z poszkodowanych stracił poprzez podmianę numeru konta 40 tys. zł. Niektóre wirusy podmieniają numery skopiowane do schowka, inne robią to nawet jeśli numer wkleimy ręcznie. 

Płatności powinny być wykonywane na komputerze z aktualnym systemem i programem antywirusowym. Po raz kolejny okazuje się też, że przed atakiem cyberprzestępców uchronić może zdrowy rozsądek. Nie otwierajmy podejrzanych wiadomości, a w szczególności załączników. 

***

Dominika Nowak: Czasem tylko dzięki szalonej odwadze, można zacząć działać [NEXT TIME]

Więcej o: