r   e   k   l   a   m   a
r   e   k   l   a   m   a

Bankowy phishing musi się opłacać. Tym razem na celowniku mBank i BZ WBK

Strona główna AktualnościBEZPIECZEŃSTWO

Bankowość elektroniczna, czy to dostarczana tradycyjnie, przez przeglądarkę, czy przez aplikacje mobilne, nieodmiennie pozostaje popularnym celem ataków cyberprzestępców, i to mimo tego, że z naszych danych wynika, że zamówienie takiego kompletnego ataku phishingowego na klientów typowego banku to wydatek rzędu kilku tysięcy dolarów. Najwyraźniej to wszystko się opłaca, ktoś pieniądze w ten sposób traci. Trwają właśnie dobrze przygotowane ataki na klientów mBanku i BZ WBK. Ile będzie ofiar? To skrywa tajemnica bankowa, ale chyba nie tak znowu wiele: brak innowacji w dziedzinie bezpieczeństwa pokazuje, że chyba taniej jest bankom rekompensować straty, niż wymyślać odporne na ataki systemy.

Pierwszy wart przyjrzenia się atak dotyczy mBanku, i co ciekawe, uderza w kanał mobilny – trojan, rozpowszechniany głównie przez chińskie pirackie sklepy z aplikacjami, tworzy wizualną nakładkę nad oficjalną aplikacją mBanku. Przechwytuje ona w ten sposób dane logowania, potrafi przejąć SMS-y z kodami jednorazowymi i wyświetlać użytkownikowi uspokajające komunikaty. Na dokładkę przesyła do napastników dane o operatorze komórkowym, numer telefonu czy IMEI.

Atak jest jak najbardziej na czasie, choćby dlatego, że za sprawą początkowej fali popularności Pokemona GO w Polsce mnóstwo osób włączyło możliwość instalacji aplikacji spoza Google Play. Wzywanie użytkowników Androida do analizowania wymaganych przez aplikację uprawnień niewiele w tym wypadku daje – skąd mają wiedzieć, co z długiej listy uprawnień aplikacja faktyczne by potrzebowała? iOS znacznie lepiej rozwiązuje tę kwestię, pytając użytkownika przy uaktywnieniu o zgodę na daną potrzebę aplikacji.

r   e   k   l   a   m   a

Drugi wart uwagi atak dotyczy BZ WBK. Od ostatniego weekendu phishingowe e-maile, pisane łamaną polszczyzną, trafiły do tysięcy klientów tego banku. Nie ma co jednak liczyć na to, że fraza „W dbałość o bezpieczeństwo”, która zaczyna tę „informację o zablokowaniu dostępu” kogoś odstraszy – ludzie w komentarzach w Internecie piszą jeszcze gorzej. Tak więc link prowadzący do „uwierzytelnienia” na phishingowej w wielu wypadkach spełni swoje zadanie. Niejeden internauta poda swój login (numer NIK) oraz hasło, by dowiedzieć się, że trwa weryfikacja jego danych.

Jak zwykle w takich sytuacjach internautów ocalić może tylko ich własny rozum. W wypadku Androida nie ma co liczyć na działające bez uprawnień roota programy antywirusowe – jeśli samo Google trojana nie zablokowało, to już jest w zasadzie pozamiatane, w wielu wypadkach, dzięki niezałatanym exploitom może on więcej, niż użytkownik i jego aplikacje.

Ataki przeglądarkowe sprowadzają się przede wszystkim do inżynierii społecznej. Zakłada się, że w danej populacji kompetencje techniczne i inteligencja poddane są rozkładowi normalnemu, a wiadomo co to oznacza – znajdą się i tacy, którzy nie wiedzą co robią. Jest strona banku? Jest. To podajmy hasło. Niestety, ale na razie żadne oprogramowanie nie może zabezpieczyć użytkownika przed jego własną ignorancją. Może dopiero era cyfrowych asystentek, jakaś Siri czy Cortana v 2.0 to zmieni, do tej jednak pory bankowy phishing pozostanie intratnym interesem.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.