Bank Zachodni WBK ostrzega klientów przed atakiem wirusa o nazwie Zeus. Klient kierowany jest na fałszywą stronę, gdzie proszony jest o podanie hasła do konta oraz o instalację programu "antywirusowego" na swojej komórce.
Atak wykorzystuje metodę phishingu, choć w nieco zmodyfikowanej odmianie. Standardowy phishing to wyciąganie hasła przez spreparowane maile, wysyłane rzekomo w imieniu banku. Tym razem atak jest bardziej zaawansowany. Na komputerze klienta zagnieżdża się wirus, który podmienia stronę logowania do bankowości internetowej na sfałszowaną, sztuczną stronę. Jest ona łudząco podobna do oryginału, więc klient może nie zwrócić uwagi, że loguje się na stronie przygotowanej przez przestępców.
Jeśli klient używa maskowanego hasła, strona prosi go dwukrotnie o wpisanie hasła. W drugim cyklu prosi o podanie brakujących znaków z pierwszego formularza. Klient nawet nie zorientuje się, że w drugim formularzu uzupełnia dane brakujące w pierwszej formatce. W ten sposób w ręce złodziei dostaje się całe hasło.
Tak wygląda fałszywa strona banku:
Po zalogowaniu na fałszywe konto klientowi wyświetla się komunikat z prośbą o zainstalowanie na swoim telefonie aplikacji antywirusowej. Dodatkowo dostaje ostrzeżenie: "W przypadku odmowy instalacji mobilnej aplikacji antywirusowej bank nie odpowiada za zachowanie nienaruszalności środków finansowych na koncie klienta".
Klient, który zdecyduje się na instalacje oprogramowania, podaje swój numer, na który wysyłany jest link do aplikacji. Po zainstalowaniu rzekomego oprogramowania antywirusowego proszony jest też o podanie kodu do aktywacji SMS-em, który dostanie od banku. Od tego momentu SMS-y autoryzacyjne wysyłane z banku przekierowywane są z telefonu klienta do cyberprzestępców.
Złodziej loguje się zatem na konto (login i hasło ma z spreparowanej strony). Zleca przelew, a SMS autoryzacyjny, który przychodzi do klienta, trafia także do niego. Klient nie dostaje żadnego powiadomienia o wysłanej przez bank wiadomości SMS.
Bank przypomina, że nigdy nie prosi o instalację w telefonie dodatkowego certyfikatu bezpieczeństwa ani dodatkowych aplikacji (w tym także programów antywirusowych).
Z podobnym atakiem mieliśmy do czynienia wiosną. Rada Bankowości Elektronicznej Związku Banków Polskich odnotowała atak na klientów kilkunastu polskich banków korzystających z bankowości elektronicznej. Cyberprzestępcy wykorzystali nową wersję trojana ZITMO, który przejmował kontrolę nad telefonem komórkowym klienta.
Wojciech Boczoń
Analityk Bankier.pl
