BiznesINFO.pl Technologie Pilne ostrzeżenie dla klientów dużego banku. Chwila nieuwagi i pieniądze znikną
Iberion

Pilne ostrzeżenie dla klientów dużego banku. Chwila nieuwagi i pieniądze znikną

2 stycznia 2024
Autor tekstu: Maciej Olanicki

Ruszyła nowa kampania phishingowa, w której napastnicy podszywają się pod jeden z największych banków w Polsce. Z użyciem fałszywych witryn niemal identycznych z prawdziwymi atakujący próbują wyłudzić wrażliwe dane. Ich sukces skutkuje możliwością przejęcia kontroli nad rachunkiem bankowym.

Dopracowane fałszywe witryny

O zagrożeniu informuje zespół CSIRT działający przy Komisji Nadzoru Finansowego. Jego analitycy dostrzegli, że uruchomiona została nowa kampania phishignowa. Tym razem napastnicy podszywają się pod ING Bank Śląski i wykorzystują na specjalnie spreparowanych na stronach liczne elementy jego identyfikacji wizualnej.

Strony są bardzo dopracowane i wystarczy chwila nieuwagi, by dać się oszukać. Zwłaszcza że atakujący wykorzystują całkiem wiarygodne domeny, które mogą sprawiać wrażenie, że faktycznie mamy do czynienia z bankiem: ing-pl.com oraz login-ing-pl.com . Warto je zapamiętać i po trafieniu pod te adresy opuścić witrynę.

Zobacz także: Google musi się tłumaczyć. Wszystko przez fałszywe kursy walut

Rok 2023 w cyberbezpieczeństwie. Tysiące osób straciły pieniądze

Atakujący omijają uwierzytelnianie wieloskładnikowe

Na przygotowanej przez napastników stronie umieszczony został formularz, który ma rzekomo służyć do logowania w bankowości elektronicznej ING Banku Śląskiego. Zadbano nawet o to, aby widoczny był link do polityki dotyczącej ciasteczek oraz fałszywy czat umożliwiający kontakt z konsultantem. Zastosowanie strony jest jednak zupełnie inne.

Po wprowadzeniu loginu, numeru PESEL oraz kodu SMS wyświetlana jest informacja o tym, że zaraz dojdzie do połączenia telefonicznego, w którym podany zostanie kod autoryzacyjny. Witryna służy jednak jako pośrednik i zamiast prawdziwej witrynie ING przekazujemy dane oszustom . To oni stosują je na prawdziwej stronie logowania banku, omijając w ten sposób uwierzytelnianie wieloskładnikowe.

Jak się chronić przed phishingiem?

Zalecenia w tym przypadku nie odbiegają od standardowych dobrych praktyk w zakresie ochrony przed phishingiem. Wystarczy weryfikacja adresu, który co prawda sprawia wrażenie wiarygodnego, ale wystarczy sprawdzić bank w wyszukiwarce, by zdać sobie sprawę, że jego witryny dostępne są w domenie ing.pl lub ingbank.pl , nie zaś ing-pl.com .

Dodatkową ochronę przed phishingiem z użyciem fałszywych witryn jest poleganie w dostępie do bankowości elektronicznej wyłącznie na oficjalnych aplikacjach banków i unikanie korzystania z mobilnych wersji przeglądarkowych.

Groźny atak hakerski w Zakopanem. Wydano pilne oświadczenie
Był podejrzewany o kradzież telefonu. Wpadł przez jedną aplikację
Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat