Kolejny atak phishingu, czyli groźny wirus komputerowy, który kradnie loginy i hasła do kont bankowych.
Atak został nazwany Man-in-the Mobile, a informacje o wirusie pojawiły się na różnych portalach internetowych. Na uwagę zasługuje fakt, iż same banki aktywnie zaczęły ostrzegać klientów przed możliwym zagrożeniem. Do akcji włączyły się: ING Bank Śląski, Multibank oraz mBank.
Poniżej znajduje się przykładowy atak na stronie ING Banku Śląskiego.
Rysunek 1 – Prośba o podanie pełnego hasła.
Rysunek 2 – Atak ten został uzupełniony o działania socjotechniczne wykorzystujące Man-in-the-Browser. Ma on na celu pozyskanie informacji o telefonie klienta wykorzystywanym do kodów SMS takich jak producent, model i numer telefonu. Prośba pojawiająca się w systemie jest uzasadniana wprowadzeniem nowych środków bezpieczeństwa.
Rysunek 3 – Przykładowy atak mający na celu pozyskanie danych dotyczących telefonu klienta.
Rysunek 4 – Przykładowy SMS z linkiem.
Klient po podaniu wymaganych danych otrzymuje SMS z linkiem do pobrania nowego certyfikatu bezpieczeństwa, który jest, jak wiadomo, złośliwą aplikacją.
Na stronach banków pojawiły się komunikaty jakie działania należy podjąć aby zminimalizować ryzyko wystąpienia ataku.
1. Po pierwsze: banki nie proszą Klientów o podawanie autoryzujących informacji na temat używanego telefonu oraz nie wymagają instalacji żadnego oprogramowania na tychże telefonach, aby autoryzować transakcje za pomocą kodów SMS.
2. Po drugie: należy zabezpieczyć komputer
- Zainstalować niezbędne programy zabezpieczające, tj. program antywirusowy czy zaporę ogniową
- Regularnie aktualizować system operacyjny i sygnatury antywirusowe
- Zabezpieczyć komórkę instalując program antywirusowy
3. Po trzecie: nie należy
- Otwierać podejrzanych e-maili lub SMS-ów oraz korzystać z podawanych tam linków czy załączników
- Instalować oprogramowania nieznanego pochodzenia
- Odwiedzać niezaufanych stron WWW
4. Po czwarte: zachowaj zdrowy rozsądek, traktuj z dystansem wszystkie e-maile, SMS-y i telefony, w których jesteś proszony o dane osobowe, numer PIN czy hasło. Jeżeli nawet na stronie banku zostałeś poproszony o podanie jakichkolwiek danych, o które do tej pory nie byłeś pytany, zadzwoń do danej placówki i sprawdź czy na pewno o te dane pyta bank a nie Trojan Zeus!
Źródło: