Kolejny atak phishingu, czyli groźny wirus komputerowy, który kradnie loginy i hasła do kont bankowych.

Atak został nazwany Man-in-the Mobile, a informacje o wirusie pojawiły się na różnych portalach internetowych. Na uwagę zasługuje fakt, iż same banki aktywnie zaczęły ostrzegać klientów przed możliwym zagrożeniem. Do akcji włączyły się: ING Bank Śląski, Multibank oraz mBank.

Poniżej znajduje się przykładowy atak na stronie ING Banku Śląskiego.

Rysunek 1 – Prośba o podanie pełnego hasła.


Rysunek 2Atak ten został uzupełniony o działania socjotechniczne wykorzystujące Man-in-the-Browser. Ma on na celu pozyskanie informacji o telefonie klienta wykorzystywanym do kodów SMS takich jak producent, model i numer telefonu. Prośba pojawiająca się w systemie jest uzasadniana wprowadzeniem nowych środków bezpieczeństwa.


Rysunek 3 – Przykładowy atak mający na celu pozyskanie danych dotyczących telefonu klienta.


Rysunek 4Przykładowy SMS z linkiem.


Klient po podaniu wymaganych danych otrzymuje SMS z linkiem do pobrania nowego certyfikatu bezpieczeństwa, który jest, jak wiadomo, złośliwą aplikacją.

Na stronach banków pojawiły się komunikaty jakie działania należy podjąć aby zminimalizować ryzyko wystąpienia ataku.

1. Po pierwsze: banki nie proszą Klientów o podawanie autoryzujących informacji na temat używanego telefonu oraz nie wymagają instalacji żadnego oprogramowania na tychże telefonach, aby autoryzować transakcje za pomocą kodów SMS.

2. Po drugie: należy zabezpieczyć komputer

  • Zainstalować niezbędne programy zabezpieczające, tj. program antywirusowy czy zaporę ogniową
  • Regularnie aktualizować system operacyjny i sygnatury antywirusowe
  • Zabezpieczyć komórkę instalując program antywirusowy

3. Po trzecie: nie należy

  • Otwierać podejrzanych e-maili lub SMS-ów oraz korzystać z podawanych tam linków czy załączników
  • Instalować oprogramowania nieznanego pochodzenia
  • Odwiedzać niezaufanych stron WWW

4. Po czwarte: zachowaj zdrowy rozsądek, traktuj z dystansem wszystkie e-maile, SMS-y i telefony, w których jesteś proszony o dane osobowe, numer PIN czy hasło. Jeżeli nawet na stronie banku zostałeś poproszony o podanie jakichkolwiek danych, o które do tej pory nie byłeś pytany, zadzwoń do danej placówki i sprawdź czy na pewno o te dane pyta bank a nie Trojan Zeus!

Źródło:

ingbank.pl

gospodarka.gazeta.pl

multibank.pl

Zobacz także: