Sposoby hakerów na dobranie się do naszych pieniędzy

Pojawiają się też nowe metody oszustw, których celem jest okradanie rachunków bankowych.

Pod koniec października mBank ostrzegał przed atakami, w wyniku których złośliwe oprogramowanie mogło w trakcie bankowej sesji online przejąć login i hasło klienta. Wyświetlał się również komunikat z prośbą o dodatkowe hasło sms. Jego udostępnienie miało później posłużyć do wyczyszczenia konta.

Bank uprzedzał, że złośliwe oprogramowanie może pokazywać również fałszywe komunikaty o konieczności poczekania aż komputer zostanie zidentyfikowany, co może potrwać lub o prowadzonych pracach modernizacyjnych w celu jak najszybszego przywrócenia działania systemu. Oszuści wykorzystywali ten czas do zalogowania się na rachunek. Wcześniej mBank uprzedzał o fałszywych wiadomościach rozsyłanych mailowo z wiadomością o zarejestrowaniu zlecenia przelewu i zawirusowanym załącznikiem.

Warto sprawdzić: Zmiany w bankach to okazja dla oszustów. KNF ostrzega

Zdradliwe linki

Niedawno o możliwości podszywania się pod bank lub inną instytucję finansową uprzedzał ING Bank Śląski. W tym przypadku informacja dotyczyła otrzymania przelewu na telefon z linkiem do strony podobnej do bankowej. Strona zawiera formularz do odbioru przelewu na telefon a SMS kod, który trzeba było podać. Po wypełnieniu formularza na ekranie pojawiała się prośba o wysłanie przelewu na niewielką kwotę, np.: 1 zł lub 0,79 zł. ING Bank przypominał więc, że odbiór przelewu na telefon jest zawsze bezpłatny.

PKO BP informował natomiast o rozsyłanych przez oszustów mailach z linkami do formularzy kredytowych i prośbą o uzupełnienie danych potrzebnych do złożenia wniosku kredytowego. Uprzedzał też, że kliknięcie w link może spowodować pobranie i zainstalowanie złośliwego oprogramowania, które może posłużyć do przejęcia poufnych danych dotyczących dostępu do bankowości elektronicznej. Wcześniej wiadomości z informacją o otrzymaniu pozytywnej decyzji kredytowej otrzymywali klienci ING Banku. W e-mailu znajdował się link, który przekierowywał do fałszywej strony internetowej przypominającej stronę banku, na której trzeba się było zalogować i wpisać autoryzacyjny kod SMS.

Biała lista za złotówkę

Cyberprzestępcy wciąż poszukują nowych metod wyłudzania pieniędzy. Pod koniec września, powołując się na dyrektywę PSD2, dzwonili do klientów PKO BP i prosili o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Uzasadniali to nowym sposobem autoryzacji transakcji. Wraz ze złośliwym oprogramowaniem przesyłali też załącznik z dokumentem do wyrażenia zgody na przetwarzanie danych osobowych.

Ostatnio do oszustw posłużyły obowiązujące od początku września przepisy, przewidujące utworzenie jednej bazy podatników VAT, tak zwanej białej listy. Ma ona ułatwić firmom weryfikację kontrahentów, co – zdaniem MF – powinno przyczynić się do zwiększenia bezpieczeństwa i pewności obrotu gospodarczego. Informacja ta już kilka tygodni później została wykorzystana do zdobycia kont klientów Santandera. Klienci banku dostawali SMS-y z informacją, że ich rachunek nie jest na białej liście podatników i można go do niej dodać w promocji za 1 zł, aby uniknąć kontroli. W wiadomości znajdował się również link do strony płatności – oczywiście fałszywej.

Warto sprawdzić: Vishing, smishing, phishing – nie daj się oszukać w sieci

Fałszywe infolinie

Przestępcy podszywają się nie tylko pod banki, dlatego czujność powinna budzić każda wiadomość z informacją o jakiejkolwiek niedopłacie wraz z linkiem do strony płatności.
Banki uprzedzały też przed telefonami od oszustów, udających pracowników infolinii i usiłujących wyłudzać kody autoryzacyjne z SMS-ów, aby dodawać nowych odbiorców. Miało to ułatwić okradanie kont, ponieważ przelewy do osób zdefiniowanych nie wymagały potwierdzenia kodem. Na działania te mogły się nabrać nawet najbardziej ostrożne osoby.

Oszuści wykorzystywali bowiem narzędzia, które umożliwiają podszywanie się pod prawdziwy numer infolinii (tzw. spoofing, czyli podszycie się pod dowolny numer telefonu, umożliwia telefonia GSM ). Wprawdzie bank nigdy nie prosi o podanie loginu i hasła do rachunku, ale może wysłać SMS z kodem, który trzeba podać, aby potwierdzić tożsamość, co może osłabiać czujność, gdy zadzwoni oszust. W razie wątpliwości lepiej więc z infolinią się rozłączyć i połączyć samemu. Na pewno nie będzie wtedy fałszywa.