Uwaga na nowy sprytny atak na internautów i ich konta bankowe

dodał 31 maja 2017 o 06:44 w kategorii Prawo, Socjo  z tagami:
Uwaga na nowy sprytny atak na internautów i ich konta bankowe

Klienci banków go nienawidzą! Zobacz jak jednym prostym trikiem… Niestety od pewnego czasu klienci polskich banków padają ofiarami nietypowego, całkiem sprytnie wymyślonego i wdrożonego ataku internetowych złodziei.

Nie ma tygodnia w którym nie słyszelibyśmy o przypadku kradzieży środków z konta Bogu ducha winnego klienta bankowości elektronicznej który padł ofiarą oszustów. Kradzież pieniędzy z konta powszechnie kojarzona jest ze złośliwym oprogramowaniem. Jednak zmuszenie ofiary, żeby zainfekowała swój komputer, a następnie potwierdziła kodem SMS nieautoryzowaną operację wymaga od przestępców dość sporo wysiłku, dodatkowo trzeba złośliwe oprogramowanie dystrybuować, hostować, zorganizować konta słupa, zarządzać całym procederem – jest to proces wymagający dobrej organizacji i infrastruktury . Na dokładkę zespoły bezpieczników w bankach działają dość prężnie i starają się utrudnić złym ludziom życie, przez co przestępcy zmuszeni są szukać innych sposobów kradzieży pieniędzy.

Najpierw przejęte konto Facebooka

Ostatnio modne staję się inne podejście.

Cześć babciu, jesteś w stanie mi opłacić kartę do telefonu na 22zł?

Taką wiadomość dostała Babcia jednego z naszych czytelników. Wiadomość wysłana na Facebooku przyszła z konta jej wnuczka. Jak można się domyślić konto wnuczka zostało przejęte. Przestępca przestudiował historię ostatniej korespondencji i do bliskich znajomych wysłał spersonalizowane wiadomości prosząc o niewielkie kwoty doładowań. Wiadomości dość wiernie oddawały charakter relacji między nimi, część ofiar do samego końca nie mogła uwierzyć, że dała się oszukać. Z informacji które do nas trafiły wynika, że złodziej potrafił korespondować ze swoimi ofiarami i nawet organizować im czas na najbliższe dni, umawiać się w ich imieniu na basen czy do kina.
Nasza Babcia na szczęście przejrzała oszusta, skontaktowała się z wnuczkiem telefonicznie i poinformowała go o zajściu. Przyłapany na gorącym uczynku złodziej zaczął robić jej wyrzuty, że własny wnuczek jest wart dla niej mniej niż paczka papierosów i żeby natychmiast wykonała przelew na 22zł to zostawi jego konto w spokoju. Przypadków jak ten znamy kilka, siostra pomogła bratu czy kolega koleżance. Przestępca dokładnie przeczytał archiwum rozmów przez co był całkowicie wiarygodny dla swojego rozmówcy.

22 PLN? O co chodzi?

Z pozoru niewinny przelew na niską kwotę byłby w tym scenariuszu opłakany w skutkach i mógłby się skończyć wyczyszczeniem konta ofiary. Jak to możliwe? Otóż wiadomość wysłana przez oszusta zawierała link do integratora płatności DotPay, a przynajmniej do czegoś co jak DotPay wygląda. Przestępcy postarali się nawet o zieloną kłódeczkę i kupili certyfikat SSL. Strona znajdowała się pod adresem:

i wyglądała tak:

Gdy ofiara po wejściu na fałszywą stronę wybierała bank, była przekierowywana na podrobioną stronę bankowości internetowej. Również tu przestępca postarał się być wiarygodny i linki do bankowości skonstruowane były tak by zmylić mniej świadomych użytkowników, np.:

a wyglądały następująco:

Po „zalogowaniu się” ofiara oddawała przestępcom dostęp do swojego konta. Najprawdopodobniej w tym momencie przestępca zacierał ręce po czym wykonywał przelew weryfikacyjny na jedną z giełd bitcoinowych. Co w całym procederze bardzo ważne, przy okazji dodawał jej rachunek do listy zaufanych rachunków, tak by przyszłe przelewy nie wymagały potwierdzeń SMSowych. Na telefon ofiary przychodził SMS z prośbą o zatwierdzenie przelewu na 22 PLN. Okradzione osoby najwyraźniej uznając, że wszystko zgadza się z własnie wykonywaną operacją, więc bez większego zastanowienia przepisywały kod na stronie przestępców. Podobny scenariusz ataku opisywaliśmy już pół roku temu, jednak wówczas przestępcy byli mniej zaawansowani – nie „podstawiali” fałszywych stron banku i jedynie definiowali przelew zaufany, przez co łatwiej było ofierze zauważyć atak.

Przestępcy nie są grupą zawodową cieszącą się dużym zaufaniem, można więc założyć, że ofiara która da się nabrać ma poważny kłopot. Przestępca bez żadnej trudności może wyprowadzić całość środków zgromadzonych na koncie – a przecież chodziło tylko o drobną przysługę i przelew na 22 PLN.

Ktoś się jeszcze na to nabiera?

Tak.

Co robić?

Po pierwsze, gdy ktoś prosi Cię o przelew, zweryfikuj jego prośbę innym kanałem kontaktu. Wyślij SMS, zadzwoń. Nigdy nie możesz mieć pewności czy konto Twojego rozmówcy nie zostało przejęte i ktoś właśnie nie próbuje Cie okraść.

Po drugie, zawsze upewnij się, że wpisujesz login i hasło na stronie swojego banku, a nie na stronie która tylko ją udaje. Jeżeli coś budzi Twoje podejrzenia bezzwłocznie skontaktuj się z bankiem.

Premiera
Autorem artykułu jest członek grupy Anonimowych Analityków, wspierających nasz serwis swoim doświadczeniem i umiejętnościami, ukrywający się pod pseudonimem „Z”. Dziękujemy za cenny materiał i zapraszamy do współpracy innych obrońców.