Dziś krótko, ale temat bardzo istotny. Chcąc nie chcąc korzystam z oferty dwóch banków i ostatnio w serwisie transakcyjnym obu spotkałem się z ostrzeżeniem, dotyczącym oprogramowania, przechwytującego hasła jednorazowe.
Sytuacja powtarza się regularnie od kilku lat, tym niemniej teraz po raz pierwszy spotkałem się z przypadkiem, gdy atak jest skierowany na szerszą grupę instytucji finansowych, nie tylko czołowe e-banki. Scenariusz jest zawsze podobny – wchodząc na stronę banku (a przynajmniej myśląc, że to strona banku) widzimy informację o tym, że wskazane jest, byśmy ze względu na poprawę bezpieczeństwa podczas transakcji mobilnych zainstalowali na naszym telefonie specjalny certyfikat bezpieczeństwa. Zapala się już Wam czerwona lampka? Myślę, że nie zaryzykuję, twierdząc, że 100 procent stałych Czytelników Bloga Technologicznego w tym momencie nie wpisuje nigdzie swojego numeru telefonu! Mam wręcz nadzieję, że większość od razu aktualizuje bazę wirusów swojego programu antywirusowego, odpina się od sieci i robi klasycznego facepalma, zastanawiając się: „Skąd ja u licha ciężkiego złapałem to świństwo?”.
Chwilę wcześniej byliśmy bowiem świadkami działania zainstalowanego już na naszym komputerze złośliwego oprogramowania, które podmieniło prawdziwą stronę banku na tę, podłożoną przez cyber-przestępców (wszystko, włącznie z paskiem adresowym przeglądarki, wygląda oczywiście idealnie jak oryginał). Nawet jeśli tylko wyślemy złym ludziom nasz numer telefon, bez instalacji złośliwego oprogramowania, „przedstawiamy” się im jako naiwny potencjalny cel i możemy się spodziewać np. ataku „reklam”, z linkami kierującymi na strony ze złośliwym kodem. A co jeśli zainstalujemy? Dwa lata temu podczas konferencji Secure działanie tego typu rozwiązania na czynniki pierwsze rozłożył Tomasz Bukowski z NASKu, wystarczy jednak powiedzieć, że SMSy z hasłem jednorazowym zamiast trafić do nas – trafią do cyber-przestępcy. A wtedy niewinny przelew 10 złotych do znajomego może się okazać przelewem wszystkich naszych wolnych środków na konto „słupa” w dowolnym miejscu świata. „Słup” kupi za to elektronikę, wyśle do swoich mocodawców i szukaj wiatru w polu, pieniążki wyprane, a Ty użytkowniku cierp za własną naiwność...
Brutalne? Zgoda, ale jakże prawdziwe, bo cóż jest winne straconym w ten sposób pieniądzom, jeśli nie my sami? Tak naprawdę kluczem do sukcesu w przypadku znacznej większości cyber-przestępstw jest wprawne zastosowanie inżynierii społecznej. Oni de facto nie kradną poszkodowanym pieniędzy, tylko przekonują ich, że wręcz marzą o tym, żeby swoje oszczędności z własnej woli wysłać przestępcom! Może się powtarzam, ale nawet jeśli czujemy, że na nic nie mamy czasu, poświęćmy go przynajmniej, gdy idzie o nasze pieniądze.
- reagujmy na wszelkie odstępstwa od normy, do której jesteśmy przyzwyczajeni
- patrzmy zawsze na adres strony i to, czy aby na pewno jest zabezpieczona
- nie zatwierdzajmy monitów z przeglądarki bez czytania, żeby „nie zasłaniały nam okna, bo się bardzo spieszymy”
- jeśli mamy wątpliwości – dzwońmy np. do banku, co do którego strony mamy wątpliwości (ale nie na numer z podejrzanej strony!)
- jeśli dostajemy SMS z hasłem potwierdzającym przelew – spójrzmy, czy kwota i nr konta zgadzają się z tymi, które widzimy na ekranie
- pamiętajmy, że jedyne aplikacje z naszych banków, których zainstalowanie warto rozważyć, znajdziemy w dedykowanych sklepach dla mobilnych systemów operacyjnych (Google Play, AppStore, Windows Marketplace), wydawane wyłącznie pod marką danej instytucji (a nie np. firmy zewnętrznej)
- za każdym razem myślmy - bo zyskać możemy minutę, a stracić: oszczędności całego życia
Ciekawe, jaki odsetek konwersji mają cyber-przestępcy z tego typu rozwiązań?