Nowoczesne wyzwania bankowości: iBanking i Smishing
Rozwój technologii przynosi każdemu z nas setki udogodnień z którymi obcujemy na co dzień. Jednak równolegle do postępującego świata techniki w siłę rosną także organizacje przestępcze specjalizujące się w wykorzystywaniu naszych komputerów czy telefonów aby opróżnić nasze konta bankowe.
Kiedyś złodziej aby pozbawić nas środków musiał fizycznie pozbawić nas gotówki, wyciągnąć nam ją z kieszeni, ukraść portfel lub okraść dom. Później coraz popularniejsze stało się trzymanie większości pieniędzy na kontach bankowych. Złodzieje więc kradli karty w różnoraki sposób wyłudzając wcześniej pin. Montowali czytniki kart i kamery przy bankomatach. Jednak wszystkie te czynności wymagały działań fizycznych a także były przez nie ograniczone. Przestępcy nie mogli okraść stu domów jednej nocy jeżeli działali w niewielkiej grupie. Także nie mogli okraść stu kont w krótkim okresie czasu ponieważ byli ograniczeni przez ilość użytkujących bankomat.
Dziś jednak hakerzy mają większe możliwości, sprawnie działająca grupa jest w stanie wyczyścić wiele setek kont jednej nocy osób rozrzuconych po całym świecie. Nie ogranicza ich miejsce zamieszkania ofiary. Jedynymi przeszkodami są zabezpieczenia banków i nasza własna przezorność i ostrożność. O ile te pierwsze nie są w stanie wychwycić wszystkich prób ataku na nas o tyle te drugie mogą nas uchronić przed utratą oszczędności życia.
iBanking jednym z najszybciej rozwijających się zagrożeń
Pod mało nam mówiącą nazwą „iBanking” kryje się groźny wirus infekujący nasze komputery i telefony. W celu ochrony przed phishingiem banki coraz częściej stosują nową metodę uwiarygadniania naszych transakcji online – kod sms. Jednak także to nie daje nam 100% pewności. W pierwszej kolejności wirus atakuje nasz komputer. Wchodząc na stronę naszego banku zostajemy automatycznie przekierowani na stworzoną przez hakerów, łudząco podobną witrynę.
Fałszywy portal banku prosi nas o numer telefonu na który wysyła link do aplikacji, która jest legitymizowana przez podstawioną stronę banku, ma ona zapewnić bezpieczeństwo naszego urządzenia. Witryna wymaga także aktywacji aplikacji, w tym celu musimy przepisać unikalny kod podany na stronie www do odpowiedniego okna w telefonie. Zainstalowana aplikacja jest łudząco podobna do znanego programu antymalware – Trusteer Rapport, ma to uśpić naszą czujność. Wielu użytkowników może kojarzyć ów program przez co nie wzbudza on żadnych wątpliwości. Jednak warto zwrócić uwagę na to, nadania jakich praw wymaga od nas aplikacja.
Czytanie, pisanie, wysyłanie, otrzymywanie wiadomości SMS, czytanie listy kontaktów, blokowanie ekranu, wykonywanie połączeń – czy aby na pewno są to działania niezbędne dla zapewnienia bezpieczeństwa naszego telefonu? Niestety jest raczej odwrotnie i to powinno zwrócić uwagę każdego użytkownika.
Po udanym wpisaniu kodu aktywacyjnego aplikacja generuje kod zwrotny, który musimy wpisać na stronie banku. Po tych działaniach przestępcy mają już możliwość powiązania urządzenia mobilnego z konkretnym komputerem. Teraz po „udanym” zainstalowaniu aplikacji możemy przejść do standardowego logowania się na stronie banku. Po wpisaniu naszych danych do logowania są one automatycznie przesyłane do zewnętrznego serwera kontrolowanego przez przestępców. W tym momencie mają oni dostęp do naszego konta internetowego ale także, co najgroźniejsze, są w stanie przechwytywać bankowe smsy z jednorazowymi kodami uwierzytelniającymi transakcje.
Smishing w połączeniu z naiwnością
Sposób ten oparty jest także na wysyłaniu wiadomości sms do potencjalnej ofiary, jednak nie wymaga instalacji żadnych aplikacji, jest prostszy dla oszustów. Według jednego z brytyjskich portali finansowych pewien mieszkaniec Wielkiej Brytanii stracił 23 tysiące funtów na rzecz oszustów działających tym schematem.
Jak to działa?
Ofiara dostaje smsa wyglądającego na standardowe zabezpieczenie przed podejrzanymi przelewami wychodzącymi. W treści znajduje się informacja o zaplanowanym przelaniu pieniędzy na obcy numer konta oraz informacja o tym, że jeżeli to nie klient wykonał ten przelew – musi się niezwłocznie skontaktować z podanym numerem telefonu. W rzeczywistości był to sms wysłany przez oszustów, którzy wcześniej musieli wykraść dane do logowania internetowego danej osoby.
Ofiara w strachu oddzwania na podstawiony przez oszustów numer – zgłasza się podszywający się pod pracownika banku głos informujący, że aby anulować transakcję będzie potrzebował kodu jednorazowego wysłanego do klienta smsem. Oczywiście przyszły poszkodowany bez dłuższego namysłu podaje wymagany numer. Po chwili do klienta oddzwania prawdziwy pracownik banku z zapytaniem czy wykonuje on przelew do samego siebie. Mężczyzna potwierdza to będąc pewnym, że chodzi o zwrot pieniędzy z wcześniejszej fałszywej transakcji. W rzeczywistości oszuści ustawiają przelew wychodzący z konta ofiary do odbiorcy zdefiniowanego jako on sam, używając jego imienia i nazwiska jednak podając swój numer konta bankowego. Klient wcześniej podał kod jednorazowy rzekomo, w celu anulowania fałszywego przelewu a w rzeczywistości, uwierzytelniając przelew na konto przestępców. Bank niestety odmówił uregulowania straty poszkodowanego bowiem cała transakcja została przeprowadzona w sposób odpowiedni, nie było w niej żadnej winy instytucji. Oszuści wykorzystali naiwność klienta dobrze wiedząc, że wysyłając na samym początku smsa o podejrzanym przelewie wychodzącym z jego konta wywołają u niego reakcję obronną i spowodują działanie w ferworze strachu. Później nie myśląca już racjonalnie ofiara jest łatwiejsza do wykorzystania.
