Sposoby hakerów na dobranie się do naszych pieniędzy

Przybywa zabezpieczeń, ale to nie powstrzymuje hakerów. Nie ma tygodnia, w którym nie pojawiałyby się ostrzeżenia banków i innych instytucji przed fałszywymi mailami, SMS-ami, linkami do szybkich płatności i telefonami z nieprawdziwych infolinii.

Publikacja: 03.11.2019 13:48

Sposoby hakerów na dobranie się do naszych pieniędzy

Foto: Adobe Stock

Pojawiają się też nowe metody oszustw, których celem jest okradanie rachunków bankowych.

Pod koniec października mBank ostrzegał przed atakami, w wyniku których złośliwe oprogramowanie mogło w trakcie bankowej sesji online przejąć login i hasło klienta. Wyświetlał się również komunikat z prośbą o dodatkowe hasło sms. Jego udostępnienie miało później posłużyć do wyczyszczenia konta.

Bank uprzedzał, że złośliwe oprogramowanie może pokazywać również fałszywe komunikaty o konieczności poczekania aż komputer zostanie zidentyfikowany, co może potrwać lub o prowadzonych pracach modernizacyjnych w celu jak najszybszego przywrócenia działania systemu. Oszuści wykorzystywali ten czas do zalogowania się na rachunek. Wcześniej mBank uprzedzał o fałszywych wiadomościach rozsyłanych mailowo z wiadomością o zarejestrowaniu zlecenia przelewu i zawirusowanym załącznikiem.

Warto sprawdzić: Zmiany w bankach to okazja dla oszustów. KNF ostrzega

Zdradliwe linki

Niedawno o możliwości podszywania się pod bank lub inną instytucję finansową uprzedzał ING Bank Śląski. W tym przypadku informacja dotyczyła otrzymania przelewu na telefon z linkiem do strony podobnej do bankowej. Strona zawiera formularz do odbioru przelewu na telefon a SMS kod, który trzeba było podać. Po wypełnieniu formularza na ekranie pojawiała się prośba o wysłanie przelewu na niewielką kwotę, np.: 1 zł lub 0,79 zł. ING Bank przypominał więc, że odbiór przelewu na telefon jest zawsze bezpłatny.

PKO BP informował natomiast o rozsyłanych przez oszustów mailach z linkami do formularzy kredytowych i prośbą o uzupełnienie danych potrzebnych do złożenia wniosku kredytowego. Uprzedzał też, że kliknięcie w link może spowodować pobranie i zainstalowanie złośliwego oprogramowania, które może posłużyć do przejęcia poufnych danych dotyczących dostępu do bankowości elektronicznej. Wcześniej wiadomości z informacją o otrzymaniu pozytywnej decyzji kredytowej otrzymywali klienci ING Banku. W e-mailu znajdował się link, który przekierowywał do fałszywej strony internetowej przypominającej stronę banku, na której trzeba się było zalogować i wpisać autoryzacyjny kod SMS.

Biała lista za złotówkę

Cyberprzestępcy wciąż poszukują nowych metod wyłudzania pieniędzy. Pod koniec września, powołując się na dyrektywę PSD2, dzwonili do klientów PKO BP i prosili o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Uzasadniali to nowym sposobem autoryzacji transakcji. Wraz ze złośliwym oprogramowaniem przesyłali też załącznik z dokumentem do wyrażenia zgody na przetwarzanie danych osobowych.

Ostatnio do oszustw posłużyły obowiązujące od początku września przepisy, przewidujące utworzenie jednej bazy podatników VAT, tak zwanej białej listy. Ma ona ułatwić firmom weryfikację kontrahentów, co – zdaniem MF – powinno przyczynić się do zwiększenia bezpieczeństwa i pewności obrotu gospodarczego. Informacja ta już kilka tygodni później została wykorzystana do zdobycia kont klientów Santandera. Klienci banku dostawali SMS-y z informacją, że ich rachunek nie jest na białej liście podatników i można go do niej dodać w promocji za 1 zł, aby uniknąć kontroli. W wiadomości znajdował się również link do strony płatności – oczywiście fałszywej.

Warto sprawdzić: Vishing, smishing, phishing – nie daj się oszukać w sieci

Fałszywe infolinie

Przestępcy podszywają się nie tylko pod banki, dlatego czujność powinna budzić każda wiadomość z informacją o jakiejkolwiek niedopłacie wraz z linkiem do strony płatności.
Banki uprzedzały też przed telefonami od oszustów, udających pracowników infolinii i usiłujących wyłudzać kody autoryzacyjne z SMS-ów, aby dodawać nowych odbiorców. Miało to ułatwić okradanie kont, ponieważ przelewy do osób zdefiniowanych nie wymagały potwierdzenia kodem. Na działania te mogły się nabrać nawet najbardziej ostrożne osoby.

Oszuści wykorzystywali bowiem narzędzia, które umożliwiają podszywanie się pod prawdziwy numer infolinii (tzw. spoofing, czyli podszycie się pod dowolny numer telefonu, umożliwia telefonia GSM ). Wprawdzie bank nigdy nie prosi o podanie loginu i hasła do rachunku, ale może wysłać SMS z kodem, który trzeba podać, aby potwierdzić tożsamość, co może osłabiać czujność, gdy zadzwoni oszust. W razie wątpliwości lepiej więc z infolinią się rozłączyć i połączyć samemu. Na pewno nie będzie wtedy fałszywa.

Ataki nie tylko na banki

Celem ataków są nie tylko klienci banków, ale również osoby w nich zatrudniane. Pod koniec września głośno było o przejęciu przez hakerów skrzynek pracowników PKO Leasing oraz mFinanse. Wyciekły wrażliwe dane, a klienci obu instytucji byli zasypywani mailami ze złośliwym oprogramowaniem, które umożliwiało przejęcie kontroli nad bankowymi sesjami online i w efekcie okradanie kont. Wcześniej mBank ostrzegał przed wyłudzeniem oszustów podszywających się pod szefów firm i namawiających księgowych do zrealizowania pilnego przelewu.

Warto sprawdzić: Jak dbać o bezpieczeństwo zakupów w Internecie

Przed złośliwym oprogramowanie ostrzega teraz InPost. Oszuści wysyłają SMS-y z informacją o śledzeniu paczki za pomocą aplikacji mobilnej wraz z linkiem do jej pobrania. Kliknięcie w łącze powoduje instalację złośliwego oprogramowania na urządzeniach z systemem Android.
Oszustwem są też informacje o wygranej np. smartfona w konkursie Rossmanna. Po kliknięciu w podany link w celu opłacenia przesyłki z nagrodą, zostaje uruchomiona płatna subskrypcja. Ale akurat to oszustwo jest szyte grubymi nićmi, ponieważ trudno uwierzyć w dostanie nagrody, jeśli się nie brało udziału w konkursie.

Aby nie stracić, trzeba pamiętać, że:

  • Banki nigdy nie proszą o podawanie wrażliwych danych, ani loginów i haseł, jeżeli więc odbierze się telefon z infolinii z podejrzanymi prośbami, lepiej przerwać rozmowę.
  • Banki nigdy nie wysyłają SMS-ów z podanymi linkami. W przypadku otrzymania takiej wiadomości lepiej więc ją zignorować a w razie wątpliwości skontaktować się z bankiem poprzez infolinię.
  • Zawsze powinno się sprawdzać poprawność adresu strony w przeglądarce internetowej i zwracać uwagę na niestandardowy wygląd strony logowania, na przykład niewłaściwy adres, brak obrazka bezpieczeństwa, nietypowe komunikaty.
  • Trzeba ostrożnie podchodzić do wiadomości wysyłanych z banków, uważać w trakcie autoryzacji przelewu i dokładnie sprawdzać czy jego kwota i adresat są zgodne ze złożonym zleceniem.
  • Po otwarciu podejrzanego załącznika trzeba jak najszybciej przeskanować komputer programem antywirusowym, a jeżeli to nie pomoże zainstalować system operacyjny komputera na nowo. Warto też zmienić wszystkie hasła.

Pojawiają się też nowe metody oszustw, których celem jest okradanie rachunków bankowych.

Pod koniec października mBank ostrzegał przed atakami, w wyniku których złośliwe oprogramowanie mogło w trakcie bankowej sesji online przejąć login i hasło klienta. Wyświetlał się również komunikat z prośbą o dodatkowe hasło sms. Jego udostępnienie miało później posłużyć do wyczyszczenia konta.

Pozostało 94% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Konta Bankowe
Sześć banków pod lupą UOKIK. Dlaczego ofiary nie odzyskują pieniędzy?
Konta Bankowe
Banki tną oprocentowanie lokat. Średnio jest już ono znacznie poniżej 5 proc.
Konta Bankowe
Banki, które najwięcej zarobiły na kredycie 2%
Konta Bankowe
Banki w końcu zaczynają wprowadzać klucze U2F. Hakerom będzie trudniej
Konta Bankowe
Z lokat dostaniemy coraz mniej. 8 proc. w jednym banku