Pod koniec ubiegłego tygodnia klienci ING Banku Śląskiego mieli kłopoty z dostępem do pieniędzy. Przyczyną tej awarii były problemy z infrastrukturą sieciową. Po kilku godzinach udało się ją opanować, ale wówczas pojawił się kolejny problem.
Wiele wskazuje na to, że zamieszanie związane z czwartkową awarią postanowili wykorzystać cyberprzestępcy, którzy w weekend ruszyli ze zmasowaną akcją phishingową, wymierzoną właśnie w klientów ING.
"Prosimy uważać na strony internetowe wyłudzające dane logowania do bankowości internetowej Moje ING
- poinformował ING w komunikacie, który wyświetla się m.in. w aplikacji mobilnej banku.
Metoda ataku stara, ale sprawdzona
Jak się okazuje, przestępcy sięgnęli tym razem do starej, ale sprawdzonej i skutecznej metody ataku. Rozsyłają e-maile do klientów ING (i nie tylko), w których - podszywając się pod bank - informują o rzekomej "blokadzie konta bankowego".
W trosce o bezpieczeństwo naszych odbiorców zablokowaliśmy konto w ING Bank Śląski, powodem jest włamanie do konta. W celu odblokowania dostępu prosimy o weryfikację właściciela konta, logując się na: Zaloguj aby odblokować
- czytamy w jednej z takich wiadomości.
Oczywiście e-mail opatrzony jest logotypem banku, a także innymi charakterystycznymi elementami graficznymi. Pierwszą rzeczą, która powinna wzbudzić nasze podejrzenia, jest adres nadawcy e-maila: mail@imdetective.net. Wiadomość z całą pewnością nie została więc wysłana z domeny banku. Oczywiście mniej uważni klienci mogą ten fakt przeoczyć, bo adres skrywa się pod tytułem nadawcy, którym jest rzekomo "ING".
Jeśli ofiara ataku nie zorientuje się, że za wiadomością stoją oszuści i kliknie w link, to zostaje przeniesiona na fałszywą stronę banku, gdzie jest proszona o podanie danych logowania do konta. Kolejny krok, to prośba o wprowadzenie kodu autoryzacji SMS. Jeśli oszustom uda się go zdobyć, to dostęp do pieniędzy stoi przed nimi otworem.
Jak widać, to dość wyrafinowany przekręt. Oszuści nie tylko uzyskują dane logowania do konta bankowego, ale również treść SMS-a autoryzacyjnego. Na nic zda się nam więc dwuetapowa weryfikacja, która powinna w tej sytuacji zadziałać.
Jak nie dać się złapać?
Przede wszystkim należy pamiętać, że w komunikacji elektronicznej z klientem, bank nigdy nie prosi nas o podanie danych osobowych i haseł logowania do rachunku. Jeśli otrzymamy takiego e-maila, to możemy być pewni, że pochodzi on od oszustwa.
Co w sytuacji, gdy, przez nieuwagę, daliśmy się złowić w sidła phishingu? Należy natychmiast skontaktować się z bankiem i zażądać blokady rachunku. Jeśli zareagujemy szybko, istnieje duża szansa, że uprzedzimy działania przestępców.
