szukaj

05.07.2017 | 20:43

avatar

Adam Haertle

Trzy przykłady prawdziwych ataków na polską bankowość elektroniczną oczami ofiary

Nie ma tygodnia, byśmy nie natknęli się na atak na polskich klientów bankowości elektronicznej. Niestety większość z nich jest słabo przez ofiary udokumentowana. Na szczęście trochę zrzutów ekranu udało się nam z różnych źródeł uzbierać.

Ataków na pieniądze Polaków i polskich firm nie brakuje, a mało który bank chce pokazywać, że jego klienci także mogą zostać ofiarami. Z tego powodu w internecie trudno trafić na zrzuty ekranu pokazujące faktyczny przebieg ataku oczami ofiary. Poniżej znajdziecie kilka przykładów zebranych nas w ostatnich dniach z różnych źródeł – możecie śmiało wykorzystać w edukacji pracowników w swoich firmach.

Atak przez internetową reklamę

W ostatnich dniach miał miejsce sprytny atak na klientów mBanku. Jeśli szukali w Google panelu logowania do swojego banku (zamiast wpisać adres mbank.pl do paska przeglądarki), to mogli trafić na taką oto reklamę:

Jak możecie zauważyć, adres do którego prowadzi reklama nie należy do mBanku. Co się stanie, jeśli na niego klikniecie? Zobaczycie taki oto ekran:

Przestępcy próbują namówić swoje ofiary do podania wszystkich danych, umożliwiających dokonanie w banku dowolnej czynności – np. zlecenia przelewu za pośrednictwem infolinii.

To tylko jedna kropka

W poprzednim ataku domena wyglądała podobnie do bankowej, ale jednak nawet średnio uważna osoba mogła od razu zwrócić uwagę na to, że coś nie gra z adresem strony. Kilka miesięcy temu przestępcy wystawili jednak witrynę udającą stronę banku, która była dużo lepiej podrobiona. Wyglądała tak:

Zupełnie jak oryginalna, prawda? Kiedy jednak przyjrzycie się dokładnie adresowi, zobaczycie, że jest w nim nadmiarowa kropka. Za to ma nawet swój certyfikat SSL.

Zmiana formatu konta

Jednym z ulubionych scenariuszy przestępców jest „zmiana formatu konta”. Za pomocą złośliwego oprogramowania zainstalowanego na komputerach ofiar modyfikują zawartość strony banku i nakłaniają ofiary do przepisania kodu jednorazowego z wiadomości SMS pod pretekstem konieczności potwierdzenia nowego numeru konta. Atak ten może wyglądać tak:

Niestety wiele ofiar się na to łapie – w końcu prośbę o przepisanie kodu widzą na prawdziwej stronie banku (kontrolowanej przez konia trojańskiego). Analogiczne ataki mogą oczywiście także spotykać klientów innych banków:

Jeśli widzicie którykolwiek z opisanych powyżej ataków lub cokolwiek nietypowego na stronie banku, zgłaszajcie to od razu swojemu bankowi (możecie także nam).

Pokażecie to znajomym

Na opisane powyżej ataki codziennie łapią się użytkownicy, którzy nigdy nie widzieli przykładów tego, co im grozi. Pokażcie je bliskim i znajomym a także pracownikom w swoich firmach, by łatwiej im było rozpoznać sytuację w której sami mogą stać się ofiarami przestępców.

Scenariuszy jest o wiele więcej
Scenariuszy ataków podobnych do opisanych powyżej (a także dużo bardziej rozbudowanych i skierowanych na klientów bankowości korporacyjnej) jest o wiele więcej. Znamy wiele kategorii ataków, większość z nich udało się nam udokumentować na prawdziwych przykładach ofiar z polskiego podwórka. Jeśli chcecie, by poznali je pracownicy Waszych firm, możecie zaprosić nas do siebie a podzielimy się z Wami całą naszą wiedzą na ten temat. Opowiemy nie tylko, jak działają przestępcy, ale także jak najprościej się przed takimi atakami obronić.
Powrót

Komentarze

  • avatar
    2017.07.05 21:41 rba

    Wpisalem w google logowanie mbank i widzę
    https://www.mbank.net.pl/public/login.php?ms=lo

    Odpowiedz
    • avatar
      2017.07.05 21:56 Adam

      Tak, to strona programu partnerskiego.

      Odpowiedz
      • avatar
        2017.07.05 22:31 JcL

        Tylko skąd „zwykły” user ma o tym wiedzieć ? Nawet dla mnie ta domena wygląda źle … Wg mnie wszystkie pododdziały banków powinny być w subdomenach …

        Odpowiedz
        • avatar
          2017.07.05 22:32 Adam

          Jak się zaloguje to nic złego się raczej nie stanie.

          Odpowiedz
          • avatar
            2017.07.06 18:19 Wiskoler

            Z naciskiem na „raczej”?

          • avatar
            2017.07.06 19:02 Adam

            Z naciskiem na „nigdy nie wiadomo” bo był już przypadek gdzie przestępcy kradli loginy i hasła klientów prosto z prawdziwej witryny banku.

  • avatar
    2017.07.05 21:45 Albert

    [quote]nieautoryzowanym transakcją[/quote]

    Wygląda legitnie ;-)

    Odpowiedz
    • avatar
      2017.07.06 11:59 markac

      To oznacza tylko tyle, że atak dostosowany jest do poziomu intelektualnego ofiary, która się na to nabiera…

      Odpowiedz
  • avatar
    2017.07.05 23:28 zwiedzacz

    logowanie-mbank to teraz… forum w budowie ;) Budują nowe logowanie.

    Odpowiedz
  • avatar
    2017.07.05 23:44 anatol

    Elo! Drugi skrin i tekst, cyt.: „..,aby zapobiec nieautoryzowanym transakcją” odrazu widać zła odmiana – liczba mnoga TRANSAKCJE odmienia się TRANSAKCJOM. HEhe hakiery analfabeci, czesto jak gdzie widze skriny majo chopcy problemy z gramatyką..

    Odpowiedz
    • avatar
      2017.07.06 07:15 Krn

      *od razu

      Odpowiedz
    • avatar
      2017.07.06 07:27 Bogdan

      Moze i maja, ale ci co sie nabieraja jak widac nie zwracaja uwagi na bledy ortograficzne/stylistyczne.

      Odpowiedz
  • avatar
    2017.07.06 00:22 ad

    Czy jak wchodzę z telefonu to jestem bezpieczniejszy?

    Odpowiedz
    • avatar
      2017.07.06 07:26 Bogdan

      Zalezy jak bardzo jestes podatny na socjotechnike :-)

      Odpowiedz
    • avatar
      2017.07.06 07:37 KrzysKrzysirk

      Nie

      Odpowiedz
  • avatar
    2017.07.06 12:14 Marek

    Złodzieje podszywali się też kiedyś pod domenę rnbank.pl
    Wiele osób się dawało nabrać.

    Odpowiedz
  • avatar
    2017.07.06 16:28 Hgfdss

    Wyryć na czole: zakaz używania systemu Windows do bankowości internetowej i wszelkiej innej poważnej. Windows tylko do grania w gry, Linux + przeglądarka do internetu.

    Odpowiedz
    • avatar
      2017.07.06 23:53 NitroFuN

      Ale Linux przed phishingiem nie ochroni, raczej wystarczy zmienić wyszukiwarkę Google na jakąś bez reklam np. DuckDuckGo

      Odpowiedz
      • avatar
        2017.07.11 09:19 m4sk1n

        Ale DuckDuckGo też ma reklamy ;)

        Odpowiedz
  • avatar
    2017.07.06 20:03 Korsarz

    A kontrola fingerprintów w certyfikacie może zmniejszyć ryzyko?

    Odpowiedz
    • avatar
      2017.07.06 20:09 Adam

      Może, tylko kto by to robił…

      Odpowiedz
      • avatar
        2017.07.06 20:24 Korsarz

        Lekki paranoik ?.

        Odpowiedz
      • avatar
        2017.07.07 00:42 Jakub

        Ja sprawdzam na kogo certyfikat jest wystawiony, wszystkie banki mają certyfikaty EV. Niestety ostatnimi czasy przeglądarki utrudniają dostęp do tego typu danych. O ile w FF jeszcze da się taką informację wyświetlić to w Chrome inaczej niż przez DevTools się chyba nie da.

        Odpowiedz
        • avatar
          2017.07.07 09:51 P

          Mnie bardzo dziwi ten ruch Google’a, tak jakby uderzali w bezpieczeństwo przeciętnego użytkownika.

          Odpowiedz
        • avatar
          2017.07.07 21:04 Korsarz

          W mobilnej jeszcze się da normalnie, w desktopie trudniej, dlatego tu wolę Vivaldi.

          Odpowiedz
      • avatar
        2017.07.07 18:50 dx

        Przeglądarka cert pinningiem?

        Odpowiedz
  • avatar
    2017.07.07 11:38 kraszan

    W sumie można się przed phishingiem spróbować bronić inaczej – zaprowadzić listę takich domen i wycinać na firewallu, dla zwykłego użytkownika dość trudne, chyba, że ma się dostęp do rutera z openwrt, gdzie już funkcjonują podobne moduły. Gdyby większa ilość osób chciała z tego korzystać, powstanie lista, którą raz dziennie ściągnie sobie ruter i gdy ktoś nieopatrznie uruchomi odnośnik, zobaczy jedynie (np w chrome) czarny ekran z wygenerowaną kropką 1x1px

    Odpowiedz
  • avatar
    2017.07.07 17:27 Ryszard S. Klanu

    http://malc0de.com/database/
    +
    https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt
    +
    https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset

    + do tego ip r a blackhole $x
    osobiscie uzywam drugiej i trzeciej listy, apdejtuje raz dziennie. Obadam ta pierwsza i zobacze.

    Odpowiedz
    • avatar
      2017.07.09 14:35 txkx

      Była „zgodna” z regulaminem, przynajmniej na pierwszy rzut oka … i reklamy czasami są najpierw puszczane z automatu a później weryfikowane manualnie, przy dużej ilości już działających, wiem z autopsji.

      Odpowiedz
  • avatar
    2017.07.07 19:39 Jigit

    Ciekawe dlaczego moderatorzy reklam Adwords zaakceptowali tę reklamę.

    Odpowiedz
    • avatar
      2017.07.26 10:01 gosc

      W adwords 99% akceptacji robią automaty. Google nie ma tyle zasobów ludzkich by móc w stanie weryfikować wszystko ręcznie.

      Odpowiedz
  • avatar
    2017.07.10 17:02 Piotr

    Wiem, że już poniedziałek, ale weekendowej już nie będzie? ;(

    Odpowiedz
    • avatar
      2017.07.10 19:04 Adam

      Będzie tylko nie w ten weekend ;)

      Odpowiedz
      • avatar
        2017.07.11 07:50 Piotr

        Czekam na kolejny weekend zatem ;)

        Odpowiedz
        • avatar
          2017.07.11 17:23 Wampir z Bytowa

          A kto mowil, ze to bedzie kolejny weekend?

          Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Trzy przykłady prawdziwych ataków na polską bankowość elektroniczną oczami ofiary

Komentarze