Bankowy phishing musi się opłacać. Tym razem na celowniku mBank i BZ WBK
Bankowość elektroniczna, czy to dostarczana tradycyjnie, przezprzeglądarkę, czy przez aplikacje mobilne, nieodmiennie pozostajepopularnym celem ataków cyberprzestępców, i to mimo tego, że znaszych danych wynika, że zamówienie takiego kompletnego atakuphishingowego na klientów typowego banku to wydatek rzędu kilkutysięcy dolarów. Najwyraźniej to wszystko się opłaca, ktośpieniądze w ten sposób traci. Trwają właśnie dobrze przygotowaneataki na klientów mBanku i BZ WBK. Ile będzie ofiar? To skrywatajemnica bankowa, ale chyba nie tak znowu wiele: brak innowacji wdziedzinie bezpieczeństwa pokazuje, że chyba taniej jest bankomrekompensować straty, niż wymyślać odporne na ataki systemy.
Pierwszy wart przyjrzenia się atak dotyczy mBanku, i co ciekawe,uderza w kanał mobilny – trojan, rozpowszechniany głównie przezchińskie pirackie sklepy z aplikacjami, tworzy wizualną nakładkęnad oficjalną aplikacją mBanku. Przechwytuje ona w ten sposób danelogowania, potrafi przejąć SMS-y z kodami jednorazowymi iwyświetlać użytkownikowi uspokajające komunikaty. Na dokładkęprzesyła do napastników dane o operatorze komórkowym, numertelefonu czy IMEI.
Atak jest jak najbardziej na czasie, choćby dlatego, że zasprawą początkowej fali popularności Pokemona GO w Polsce mnóstwoosób włączyło możliwość instalacji aplikacji spoza GooglePlay. Wzywanie użytkowników Androida do analizowania wymaganychprzez aplikację uprawnień niewiele w tym wypadku daje – skądmają wiedzieć, co z długiej listy uprawnień aplikacja faktyczneby potrzebowała? iOS znacznie lepiej rozwiązuje tę kwestię,pytając użytkownika przy uaktywnieniu o zgodę na daną potrzebęaplikacji.
Drugi wart uwagi atak dotyczy BZ WBK. Od ostatniego weekenduphishingowe e-maile, pisane łamaną polszczyzną, trafiły dotysięcy klientów tego banku. Nie ma co jednak liczyć na to, żefraza „W dbałość o bezpieczeństwo”, która zaczyna tę„informację o zablokowaniu dostępu” kogoś odstraszy – ludziew komentarzach w Internecie piszą jeszcze gorzej. Tak więc linkprowadzący do „uwierzytelnienia” na phishingowej w wieluwypadkach spełni swoje zadanie. Niejeden internauta poda swój login(numer NIK) oraz hasło, by dowiedzieć się, że trwa weryfikacjajego danych.
Jak zwykle w takich sytuacjach internautów ocalić może tylkoich własny rozum. W wypadku Androida nie ma co liczyć na działającebez uprawnień roota programy antywirusowe – jeśli samo Googletrojana nie zablokowało, to już jest w zasadzie pozamiatane, wwielu wypadkach, dzięki niezałatanym exploitom może on więcej,niż użytkownik i jego aplikacje.
Ataki przeglądarkowe sprowadzają się przede wszystkim doinżynierii społecznej. Zakłada się, że w danej populacjikompetencje techniczne i inteligencja poddane są rozkładowinormalnemu, a wiadomo co to oznacza – znajdą się i tacy, którzynie wiedzą co robią. Jest strona banku? Jest. To podajmy hasło.Niestety, ale na razie żadne oprogramowanie nie może zabezpieczyćużytkownika przed jego własną ignorancją. Może dopiero eracyfrowych asystentek, jakaś Siri czy Cortana v 2.0 to zmieni, do tejjednak pory bankowy phishing pozostanie intratnym interesem.
