Atak na klientów polskich banków. Wyjątkowo dopracowany phishing
Zidentyfikowano kolejną kampanię phishingową, której celem jest kradzież pieniędzy klientów korzystających z bankowości elektronicznej. Początkowo napastnicy korzystają z serwisów sprzedażowych, by następnie z użyciem dopracowanych środków wyłudzić dane i dokonać kradzieży. Wydano już odpowiednie zalecenia.
Zaczyna się od SMS-ów
Przed trwającą kampanią ostrzega bank Pekao, choć na próbę dokonania kradzieży narażeni są także klienci innych banków. Analitycy banku ustalili, że oszuści działają w sposób wykorzystujący pozycję serwisów pośredniczących w sprzedaży , np. OLX. Wysyłają do potencjalnych SMS-y, w których podszywają się pod administrację portalu.
W SMS-ach tych atakujący przekonują potencjalną ofiarę, że przedmiot rzekomo wystawiony na sprzedaż właśnie został zakupiony. Pieniądze można odebrać po kliknięciu linku zamieszczone w treści wiadomości.
Szczególnie dopracowane fałszywe witryny
Link zaprowadzi nas pod świetnie spreparowaną stronę OLX, którą przy braku uważności można wziąć za autentyczną . Oczywiście samo zastanowienie powinno budzić, że informacje zawarte na stronie dotyczą przedmiotu, którego nie sprzedawaliśmy, ani nie kupowaliśmy, niemniej wizualnie witryna jest niezwykle dopracowana.
Na stronie znajdziemy formularz, w którym wyłudzane są dane osobowe, ale to stanowi zaledwie pierwszy etap. W kolejnym kroku jesteśmy ponownie przenoszeni, tym razem na równie dopracowaną stronę imitującą jeden z serwisów płatniczych . O tym, że mamy do czynienia z oszustwem wskazuje w zasadzie tylko adres strony, który nie ma nic wspólnego z bankiem Pekao. Napastnicy zadbali nawet o to, aby komunikaty przesyłał nam fałszywy konsultant za pomocą czatu.
Kradzież danych do konta i ominięcie MFA
W ostatnim etapie ujawnia się właściwy cel napastników – serwując fałszywą stronę logowania do bankowości elektronicznej świadczonej przez Pekao, próbują wymusić przekazanie loginu i hasła do konta , a także numeru PESEL.
Dalej dochodzi do tzw. ataku man-in-the-middle, w którym przejmowany jest kolejny składnik autoryzacji dostarczany telefonicznie przez bank . Ofiara przekazuje go napastnikom, będąc przekonana, że loguje się na prawdziwej stronie banku, a nie na makiecie przygotowanej przez atakujących i przekazuje im wszystkie informacje niezbędne do przejęcia i ogołocenia konta bankowego ofiary.
Jak się chronić?
Kampania jest tym razem bardzo dopracowana, a końcowe wprowadzenie modelu MITM pozwala napastnikom pokonać uwierzytelnianie wieloskładnikowe. Nie oznacza to jednak, że nie ma żadnych metod, by się chronić.
Wspomniano już, że uwagę należy zwracać na adresy witryn , które nie mają nic wspólnego ani z OLX, ani z Pekao. Ponadto bank przestrzega przed podawaniem w sieci danych karty płatniczej i zaleca uważne czytanie komunikatów autoryzacyjnych.
