Biznes i Finanse
Ataki hakerskie na sektor finansowy w Polsce w 2018 roku
Sektor finansowy w Polsce rozwija się niezwykle dynamicznie. Polska jest jednym z liderów w płatnościach bezgotówkowych oraz wdrażania nowych technologii przez banki. Wiąże się to rosnącym ryzykiem ataków cyberprzestępców, którzy dążą do osiągnięcia korzyści materialnych w nielegalny sposób. W 2018 roku podjęli szereg operacji ukierunkowanych na sektor finansowy.
BackSwap atakujący klientów pięciu czołowych polskich banków
Bankowość elektroniczna jest bardzo popularna, ponieważ jest to szybka i łatwa metoda zarządzania finansami. Coraz więcej osób sięga po nią. W Polsce szacuje się, że używa jej około 16 milionów osób. Powoduje to, że coraz częściej padają oni ofiarą cyberprzestępców. BlackSwap stanowił kolejną taką próbę. Program zmieniał numery rachunków i wykradał pieniądze posiadacza konta. Najpierw BackSwap atakował serwisy będące pośrednikami handlu kryptowalutami, a następnie kierunek ataku uległ zmianie i za cel obrano klientów pięciu banków działających w Polsce: mBank, ING Bank Śląski, BZ WBK (obecnie Santander Bank Polska), PKO BP, Pekao SA.
Odkryto, że zagrożenie jest dystrybuowane wiadomościami e-mail, których załącznik wygląda jak faktura. Działanie wirusa polega na stałym monitorowaniu pracy użytkownika w przeglądarce, gdy ofiara otworzy stronę swojego banku i będzie on na liście celów zdefiniowanych przez cyberprzestępców BackSwap wszczepia złośliwy skrypt. Jeśli klient banku dokonuje przelewu na kwotę większą niż 10 000 zł - skrypt niezauważalnie podmienia numer konta i pieniądze trafiają bezpośrednio do cyberprzestępcy.
Aplikacja ,,Bankowość uniwersalna Polska” w Google Play
W sieci pojawiła się uniwersalna aplikacja, która miała rzekomo umożliwić logowanie się do 21 banków polskich. Program prosił użytkownika o dane uwierzytelniające czyli login i hasło. Po wpisaniu nie były one jednak wysyłane do banku tylko do hakera. Aplikacja była w stanie ominąć weryfikację dwuetapową. Użytkownik nie otrzymywał smsa wysłanego z banku natomiast dostęp do nich zyskiwał cyberprzestępca. Aplikację jednak pobrano nie więcej niż sto razy i została usunięta ze sklepu Google Play w dniu wykryta. Należy jednak uważać na jej dostępność w nieautoryzowanych sklepach z aplikacjami. Podobny atak miał miejsce pod koniec 2017 roku, kiedy to pojawiły się dwie niebezpieczne aplikacje, których celem było wykradanie danych uwierzytelniających do kont bankowych oraz wyprowadzanie z nich pieniędzy.
Fałszywe maile wymagające potwierdzenia transakcji z przelewy24.pl
,,Potwierdzenie transakcji” - tak brzmi tytuł wiadomości trafiający na skrzynki mailowe polskich internautów, a nadawcą jest rzekomo system Przelewy24. W rzeczywistości jest to kampania, której celem jest rozsyłanie złośliwego oprogramowania. W treści wiadomości znajduje się link do pobrania faktury, a praktycznie odnośnik prowadzi użytkowników do zagranicznych serwisów. Kliknięcie powoduje pobranie złośliwego oprogramowania na komputer lub smartfon z systemem Android. Przedstawiony schemat był wykorzystywany wielokrotnie a ,,nadawcami” były urzędy skarbowe, firmy kurierskie czy systemy płatności online. Bliższe przyjrzenie się wiadomościom, pozwala zorientować się, że są one wysyłane z kont prywatnych, prawdopodobnie użytkownika zarażonego złośliwym oprogramowaniem. Nie jest znana liczba ofiar jaka padła takowym oszustwom lecz internauci wciąż ostrzegają się na forach przed takiego typu przestępstwami.
Podszywanie się pod banki
- W Google Play pojawiła się podszywająca aplikacja mobilna banku BZ WBK (obecnie Santander Bank Polska) i była to już druga fałszywa aplikacja tego banku. Oprogramowanie nazywało się BZWBKlight i próbowało uzyskać dostęp do SMS-ów. Jego reklama pojawiła się m.in. na portalu Wykop.pl. Została usunięta przez Google. Szacuje się, że pobrało ją około 100 osób.
- mBank alarmował o e-mailach zawierających fałszywe komunikaty o zarejestrowanym przelewie, które wyglądają jak prawdziwe wiadomości z banku. Zawierały one załączniki PDF lub link, który przekierowywał użytkownika do strony z plikiem PDF do pobrania. Po otwarciu dokumentu pojawiało się ostrzeżenie o nieaktualnej wersji programu Adobe Acrobat Reader oraz zablokowaniu możliwości przeglądania jego zawartości. W komunikacie był również link do strony z rzekomą aktualizację tego programu. Pobranie i uruchomienie pliku z takiej strony mogło powodować zainstalowanie na komputerze złośliwego oprogramowania.
- ING Bank Ślaski ostrzegał swoich klientów przed aplikacją Update Google Market, która przechwytywała dane do logowania i zmieniała konfigurację telefonu, co prowadziło do ukrycia wszystkich przychodzących wiadomości SMS. Dzięki temu przestępca mógł uzyskać dostęp do bankowości internetowej oraz mobilnej i wykonać dowolny przelew z konta, posiadając dostęp do kodów autoryzacyjnych transakcji.
- PKO Bank Polski wydał komunikat, w którym ostrzegał swoich klientów przed pojawianiem się w Internecie złośliwego oprogramowania atakującego telefony komórkowe. Program podszywał się pod wtyczkę Adobe Flash i przechwytywał dane dostępowe do serwisów bankowości elektronicznej oraz przejmuje kontrolę nad niektórymi funkcjami urządzenia – między innymi odczytem i wysyłaniem SMS czy przekierowywaniem połączeń.
To tylko kilka przykładów podszywania się pod banki. Niestety pomimo licznych ostrzeżeń, wciąż są użytkownicy, którzy dają się złapać na pułapki cyberprzestępców.
Podszywanie się pod DotPay i Przelewy24.pl
Ataków z wykorzystaniem fałszywych stron DotPay i przelewy.pl było już wiele. Ostrzeżenia przed nimi pojawią się w mediach społecznościowych. Przykładowo oszuści proponowali bony rabatowe w jednym z popularnych sklepów takich jak Biedronka, Tesco, Żabka. W rzeczywistości chodziło o zdobycie danych osobowych i opróżnienie kont bankowych.
„Gratulujemy! Twój adres został wybrany. Odpowiedz na 3 krótkie pytania, a w zamian dostajesz szansę na jedną z nagród: bon o wartości 500 złotych na zakupy w: Biedronka, Tesco lub Żabka. Pozdrawiam serdecznie, Zespół z Bon Do Marketu” - tak brzmi jeden z fałszywych maili.
Użytkownik po kliknięciu w baner reklamowy, link z SMSów czy z e-maili był przekierowywany na stronę podszywającą się pod Dotpay lub Przelewy.pl i proszony o wybranie banku, wpisanie danych do logowania i przelanie 5 zł (małej kwoty w zamian za większy bon), lub dodatkowej opłaty za przesyłkę InPost. Co ważne podszywające się strony są bliźniaczo podobne do prawdziwych stron i bardzo trudno rozpoznać, że jest to oszustwo.
Liczba ofiar jakie padły wspomnianym oszustwom pozostaje nieznana. Duże firmy starają się szybko interweniować w trosce o reputacje jak Biedronka:
Oświadczenie sieci sklepów Biedronka
“W odniesieniu do Państwa publikacji dot. strony internetowej bony-biedronka.com, wykorzystującej w sposób nieuprawniony logotyp naszej sieci, informujemy, że na skutek zdecydowanej reakcji właściwych organów wspomniana strona już nie działa. Zalecamy szczególną ostrożność podczas korzystania z takich serwisów, tym bardziej jeśli oferują one możliwość wygrania bonów lub innych nagród rzekomo pochodzących od sieci Biedronka i oczekują od użytkownika podania danych osobowych.
Podszycie się pod stronę Neo24.pl
Firma Noe24.pl padła ofiarą oszustwa i próbą wyłudzenia pieniędzy. Hakerzy najprawdopodobniej zdołali przejąć kontrolę nad systemem informatycznym Neo24.pl i dzięki dostępowi do numerów telefonów wysłano SMSy do klientów, informując ich o szczególnej promocji dostępnej na mistrzostwa.neo24.pl, która była stroną podszywającą się pod prawdziwą Neo24.pl. Fałszywa domena została usunięta od razu po interwencji sklepu a zdarzenie zgłoszone do odpowiednich organów.