Uwaga na nowy sposób ataku oszustów na Wasze konta bankowe

dodał 5 listopada 2016 o 10:36 w kategorii Prawo  z tagami:
Uwaga na nowy sposób ataku oszustów na Wasze konta bankowe

Codziennie słyszymy o próbach kradzieży pieniędzy z Waszych kont, jednak z reguły złodzieje posługują się znanymi nam wcześniej sprawdzonymi metodami. Czasem zdarza się, że trafiamy na coś nowego wartego wysłania ostrzeżenia.

Od jednego z naszych Czytelników dostaliśmy informację o nowym scenariuszu oszustwa, przed którym warto ostrzec Was i Waszych znajomych, zanim padną ofiarami kradzieży. Metoda nie jest wyrafinowana, jednak wcale to nie oznacza, ze nie będzie skuteczna.

 Z punktu widzenia ofiary

Atak oczami ofiary wygląda dość niewinnie. Zaczyna się od prośby od znajomego, przesyłanej przez Facebooka z jego prawdziwego konta. Znajomy informuje, że do ważnego zakupu zabrakło mu dosłownie kilku złotych i prosi o pomoc w uzupełnieniu brakującej kwoty. Kwota jest symboliczna, znajomy mniej lub bardziej zaufany, zatem część ofiar ulega prośbie. Znajomy podsyła link do płatności internetowej w jednym z popularnych serwisów typu Przelewy24, BLuecash czy Dotpay. Ofiara klika w linka, wybiera swój bank, loguje się, potwierdza przelew na kilka złotych, dostaje SMSa, wpisuje kod jednorazowy i traci ze swojego rachunku zupełnie inną, znacznie większą kwotę. Jak to możliwe?

pieniadze

Z punktu widzenia sprawcy

Przestępca zaczyna od przygotowania fałszywej witryny pośrednika płatności i stron logowania do najpopularniejszych banków. Następnie loguje się na cudze, wcześniej przejęte konto Facebooka i wysyła do wszystkich znajomych pierwszej ofiary link do „płatności internetowej” – a tak naprawdę kontrolowanego przez siebie serwera. Gdy ofiara wybiera swój bank ze strony „płatności”, przestępca pokazuje stronę „logowania do banku”. Tam ofiara podaje swój login i hasło, którym przestępca natychmiast loguje się w prawdziwym banku i zleca stworzenie przelewu zaufanego na cudze konto (np. na giełdę bitcoin lub kantor internetowy). Bank wysyła do ofiary SMSa z kodem potwierdzającym stworzenie przelewu zaufanego, a przestępca w swoim fałszywym serwisie wyświetla okienko z prośbą o podanie kodu „w celu autoryzacji transakcji”.

Jeśli ofiara nie zwróci uwagi na:

  • fakt, że nie znajduje się na stronie pośrednika płatności
  • fakt, że nie loguje się na stronie swojego banku
  • fakt, że w SMSie znajduje się sformułowanie „definicja przelewu zaufanego”

to z jej konta może zniknąć spora kwota. Teraz pewnie zapytacie, kto nie zwraca uwagi na tak podstawowe elementy bezpieczeństwa? Otóż niestety są takie osoby – i zapewniamy, że wśród Waszych znajomych także się takie znajdą. Banki potrafią wychwytywać takie anomalie i niektóre z nich radzą sobie z tym całkiem dobrze, jednak nie ma gwarancji, że każdy przypadek złapią na czas. Warto zatem ostrzec znajomych, by nie dali się złapać na takie próby wyłudzenia „na przelew na kilka złotych” – a najlepiej zgłaszali je np. nam lub swojemu bankowi.

Aktualizacja: Jak słusznie wskazuje autor serwisu Bądź bezpieczny identyczny scenariusz ataku został już opisany dwa tygodnie temu. Znajdziecie tam także scenariusz rozmowy z oszustem – nadal używa tego samego.