05.07.2017 | 20:43

Adam Haertle

Trzy przykłady prawdziwych ataków na polską bankowość elektroniczną oczami ofiary

Nie ma tygodnia, byśmy nie natknęli się na atak na polskich klientów bankowości elektronicznej. Niestety większość z nich jest słabo przez ofiary udokumentowana. Na szczęście trochę zrzutów ekranu udało się nam z różnych źródeł uzbierać.

Ataków na pieniądze Polaków i polskich firm nie brakuje, a mało który bank chce pokazywać, że jego klienci także mogą zostać ofiarami. Z tego powodu w internecie trudno trafić na zrzuty ekranu pokazujące faktyczny przebieg ataku oczami ofiary. Poniżej znajdziecie kilka przykładów zebranych nas w ostatnich dniach z różnych źródeł – możecie śmiało wykorzystać w edukacji pracowników w swoich firmach.

Atak przez internetową reklamę

W ostatnich dniach miał miejsce sprytny atak na klientów mBanku. Jeśli szukali w Google panelu logowania do swojego banku (zamiast wpisać adres mbank.pl do paska przeglądarki), to mogli trafić na taką oto reklamę:

Jak możecie zauważyć, adres do którego prowadzi reklama nie należy do mBanku. Co się stanie, jeśli na niego klikniecie? Zobaczycie taki oto ekran:

Przestępcy próbują namówić swoje ofiary do podania wszystkich danych, umożliwiających dokonanie w banku dowolnej czynności – np. zlecenia przelewu za pośrednictwem infolinii.

To tylko jedna kropka

W poprzednim ataku domena wyglądała podobnie do bankowej, ale jednak nawet średnio uważna osoba mogła od razu zwrócić uwagę na to, że coś nie gra z adresem strony. Kilka miesięcy temu przestępcy wystawili jednak witrynę udającą stronę banku, która była dużo lepiej podrobiona. Wyglądała tak:

Zupełnie jak oryginalna, prawda? Kiedy jednak przyjrzycie się dokładnie adresowi, zobaczycie, że jest w nim nadmiarowa kropka. Za to ma nawet swój certyfikat SSL.

Zmiana formatu konta

Jednym z ulubionych scenariuszy przestępców jest „zmiana formatu konta”. Za pomocą złośliwego oprogramowania zainstalowanego na komputerach ofiar modyfikują zawartość strony banku i nakłaniają ofiary do przepisania kodu jednorazowego z wiadomości SMS pod pretekstem konieczności potwierdzenia nowego numeru konta. Atak ten może wyglądać tak:

Niestety wiele ofiar się na to łapie – w końcu prośbę o przepisanie kodu widzą na prawdziwej stronie banku (kontrolowanej przez konia trojańskiego). Analogiczne ataki mogą oczywiście także spotykać klientów innych banków:

Jeśli widzicie którykolwiek z opisanych powyżej ataków lub cokolwiek nietypowego na stronie banku, zgłaszajcie to od razu swojemu bankowi (możecie także nam).

Pokażecie to znajomym

Na opisane powyżej ataki codziennie łapią się użytkownicy, którzy nigdy nie widzieli przykładów tego, co im grozi. Pokażcie je bliskim i znajomym a także pracownikom w swoich firmach, by łatwiej im było rozpoznać sytuację w której sami mogą stać się ofiarami przestępców.

Scenariuszy jest o wiele więcej
Scenariuszy ataków podobnych do opisanych powyżej (a także dużo bardziej rozbudowanych i skierowanych na klientów bankowości korporacyjnej) jest o wiele więcej. Znamy wiele kategorii ataków, większość z nich udało się nam udokumentować na prawdziwych przykładach ofiar z polskiego podwórka. Jeśli chcecie, by poznali je pracownicy Waszych firm, możecie zaprosić nas do siebie a podzielimy się z Wami całą naszą wiedzą na ten temat. Opowiemy nie tylko, jak działają przestępcy, ale także jak najprościej się przed takimi atakami obronić.
Powrót

Komentarze

  • 2017.07.05 21:41 rba

    Wpisalem w google logowanie mbank i widzę
    https://www.mbank.net.pl/public/login.php?ms=lo

    Odpowiedz
    • 2017.07.05 21:56 Adam

      Tak, to strona programu partnerskiego.

      Odpowiedz
      • 2017.07.05 22:31 JcL

        Tylko skąd „zwykły” user ma o tym wiedzieć ? Nawet dla mnie ta domena wygląda źle … Wg mnie wszystkie pododdziały banków powinny być w subdomenach …

        Odpowiedz
        • 2017.07.05 22:32 Adam

          Jak się zaloguje to nic złego się raczej nie stanie.

          Odpowiedz
          • 2017.07.06 18:19 Wiskoler

            Z naciskiem na „raczej”?

          • 2017.07.06 19:02 Adam

            Z naciskiem na „nigdy nie wiadomo” bo był już przypadek gdzie przestępcy kradli loginy i hasła klientów prosto z prawdziwej witryny banku.

  • 2017.07.05 21:45 Albert

    [quote]nieautoryzowanym transakcją[/quote]

    Wygląda legitnie ;-)

    Odpowiedz
    • 2017.07.06 11:59 markac

      To oznacza tylko tyle, że atak dostosowany jest do poziomu intelektualnego ofiary, która się na to nabiera…

      Odpowiedz
  • 2017.07.05 23:28 zwiedzacz

    logowanie-mbank to teraz… forum w budowie ;) Budują nowe logowanie.

    Odpowiedz
  • 2017.07.05 23:44 anatol

    Elo! Drugi skrin i tekst, cyt.: „..,aby zapobiec nieautoryzowanym transakcją” odrazu widać zła odmiana – liczba mnoga TRANSAKCJE odmienia się TRANSAKCJOM. HEhe hakiery analfabeci, czesto jak gdzie widze skriny majo chopcy problemy z gramatyką..

    Odpowiedz
    • 2017.07.06 07:15 Krn

      *od razu

      Odpowiedz
    • 2017.07.06 07:27 Bogdan

      Moze i maja, ale ci co sie nabieraja jak widac nie zwracaja uwagi na bledy ortograficzne/stylistyczne.

      Odpowiedz
  • 2017.07.06 00:22 ad

    Czy jak wchodzę z telefonu to jestem bezpieczniejszy?

    Odpowiedz
    • 2017.07.06 07:26 Bogdan

      Zalezy jak bardzo jestes podatny na socjotechnike :-)

      Odpowiedz
    • 2017.07.06 07:37 KrzysKrzysirk

      Nie

      Odpowiedz
  • 2017.07.06 12:14 Marek

    Złodzieje podszywali się też kiedyś pod domenę rnbank.pl
    Wiele osób się dawało nabrać.

    Odpowiedz
  • 2017.07.06 16:28 Hgfdss

    Wyryć na czole: zakaz używania systemu Windows do bankowości internetowej i wszelkiej innej poważnej. Windows tylko do grania w gry, Linux + przeglądarka do internetu.

    Odpowiedz
    • 2017.07.06 23:53 NitroFuN

      Ale Linux przed phishingiem nie ochroni, raczej wystarczy zmienić wyszukiwarkę Google na jakąś bez reklam np. DuckDuckGo

      Odpowiedz
      • 2017.07.11 09:19 m4sk1n

        Ale DuckDuckGo też ma reklamy ;)

        Odpowiedz
  • 2017.07.06 20:03 Korsarz

    A kontrola fingerprintów w certyfikacie może zmniejszyć ryzyko?

    Odpowiedz
    • 2017.07.06 20:09 Adam

      Może, tylko kto by to robił…

      Odpowiedz
      • 2017.07.06 20:24 Korsarz

        Lekki paranoik ?.

        Odpowiedz
      • 2017.07.07 00:42 Jakub

        Ja sprawdzam na kogo certyfikat jest wystawiony, wszystkie banki mają certyfikaty EV. Niestety ostatnimi czasy przeglądarki utrudniają dostęp do tego typu danych. O ile w FF jeszcze da się taką informację wyświetlić to w Chrome inaczej niż przez DevTools się chyba nie da.

        Odpowiedz
        • 2017.07.07 09:51 P

          Mnie bardzo dziwi ten ruch Google’a, tak jakby uderzali w bezpieczeństwo przeciętnego użytkownika.

          Odpowiedz
        • 2017.07.07 21:04 Korsarz

          W mobilnej jeszcze się da normalnie, w desktopie trudniej, dlatego tu wolę Vivaldi.

          Odpowiedz
      • 2017.07.07 18:50 dx

        Przeglądarka cert pinningiem?

        Odpowiedz
  • 2017.07.07 11:38 kraszan

    W sumie można się przed phishingiem spróbować bronić inaczej – zaprowadzić listę takich domen i wycinać na firewallu, dla zwykłego użytkownika dość trudne, chyba, że ma się dostęp do rutera z openwrt, gdzie już funkcjonują podobne moduły. Gdyby większa ilość osób chciała z tego korzystać, powstanie lista, którą raz dziennie ściągnie sobie ruter i gdy ktoś nieopatrznie uruchomi odnośnik, zobaczy jedynie (np w chrome) czarny ekran z wygenerowaną kropką 1x1px

    Odpowiedz
  • 2017.07.07 17:27 Ryszard S. Klanu

    http://malc0de.com/database/
    +
    https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt
    +
    https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset

    + do tego ip r a blackhole $x
    osobiscie uzywam drugiej i trzeciej listy, apdejtuje raz dziennie. Obadam ta pierwsza i zobacze.

    Odpowiedz
    • 2017.07.09 14:35 txkx

      Była „zgodna” z regulaminem, przynajmniej na pierwszy rzut oka … i reklamy czasami są najpierw puszczane z automatu a później weryfikowane manualnie, przy dużej ilości już działających, wiem z autopsji.

      Odpowiedz
  • 2017.07.07 19:39 Jigit

    Ciekawe dlaczego moderatorzy reklam Adwords zaakceptowali tę reklamę.

    Odpowiedz
    • 2017.07.26 10:01 gosc

      W adwords 99% akceptacji robią automaty. Google nie ma tyle zasobów ludzkich by móc w stanie weryfikować wszystko ręcznie.

      Odpowiedz
  • 2017.07.10 17:02 Piotr

    Wiem, że już poniedziałek, ale weekendowej już nie będzie? ;(

    Odpowiedz
    • 2017.07.10 19:04 Adam

      Będzie tylko nie w ten weekend ;)

      Odpowiedz
      • 2017.07.11 07:50 Piotr

        Czekam na kolejny weekend zatem ;)

        Odpowiedz
        • 2017.07.11 17:23 Wampir z Bytowa

          A kto mowil, ze to bedzie kolejny weekend?

          Odpowiedz

Zostaw odpowiedź do gosc

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Trzy przykłady prawdziwych ataków na polską bankowość elektroniczną oczami ofiary

Komentarze