- Nawet po 6 000 euro traciły ofiary oszustw związanych z fałszywą aplikacją bankową, którą w zeszłym roku wykryli analitycy ESET w Czechach.
- Cyberprzestępcy dotarli do Polski i podszywają się pod PKO Bank Polski i w przebiegły sposób, m. in. dzięki technologii NFC przejmują dostęp do konta, PIN do karty i wypłacają środki.
- Eksperci przestrzegają przed niespodziewanym kontaktem ze strony banku zachęcającym do pobrania nowej aplikacji lub potrzebą aktualizacji.
Na skróty:
Pobranie lub aktualizacja aplikacji – to może być początek oszustwa
Popularne w ostatnich miesiącach w Czechach oszustwo, które odkryli analitycy ESET, dotarło do Polski. Jak informuje CSIRT KNF, w ostatnich dniach klienci PKO Banku Polskiego są zachęcani do pobrania lub aktualizowania aplikacji bankowej, a następnie zweryfikowanie tożsamości przez przyłożenie karty do telefonu. To może oznaczać początek problemów, a finałem jest utrata pieniędzy z konta.
Źródło: CSIRT KNF
Metoda NGate znana u południowych sąsiadów
Metoda jaką stosują w tym przypadku cyberprzestępcy, stała się popularna w zeszłym roku w Czechach. Oparta jest na odkryciu studentów Uniwersytetu Technicznego w Darmstadt, którzy nauczyli się przechwytywać i przekierowywać sygnał NFC z urządzeń. Niestety, rozwiązanie to dostało się w niepowołane ręce i jeszcze w grudniu 2023 roku oszuści opracowali plan i rozpoczęli regularne działanie w Czechach. Złośliwe aplikacje stworzone przez cyberprzestępców, wykorzystujące ten scenariusz ataku, zostały po raz pierwszy odkryte przez ESET. NGate, bo tak nazywany jest mechanizm, został właśnie skopiowany i wykorzystywany jest na gruncie polskim.
Jak w praktyce wygląda nowy sposób? Zazwyczaj zaczyna się od klasycznego phishingu, na przykład SMS-a z fałszywą informacją o zwrocie lub nadpłacie podatku i potrzebie aktualizacji aplikacji związanej z tą operacją. Wejście w podany w wiadomości link inicjuje kolejny krok oszustwa. W rzeczywistości jest to łudząco podobna kopia aplikacji bankowej, jednak zawierająca malware, czyli złośliwe oprogramowanie.
Pobranie aplikacji i efekt domino
– Pobranie i instalacja fałszywej aplikacji rozpoczyna ciąg zdarzeń. Gdy ofiara wprowadzi w złośliwej aplikacji bankowej swoje dane uwierzytelniające, atakujący może uzyskać dostęp do jej konta. Następnie atakujący dzwoni lub pisze do ofiary, podszywając się pod pracownika banku. Pretekstów do kontaktu może być wiele, np. potrzeba aktualizacji danych czy poinformowanie o rzekomym oszustwie. Ofiara jest proszona o zmianę kodu PIN i zweryfikowanie swojej karty płatniczej za pomocą nowo proponowanej aplikacji na telefonie – NGate. Fałszywa aplikacja nakłania ofiary do wprowadzenia wrażliwych informacji, takich jak identyfikator klienta banku, data urodzenia oraz wspomniany kod PIN, a następnie przyłożenie karty płatniczej do smartfonu – opisuje mechanizm Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
NFC – nowy element, który budzi grozę
Kluczowym elementem oszustwa jest nakłonienie użytkownika do upewnienia się, że NFC jest aktywne. Wykorzystanie akurat tej funkcji w próbie oszustwa nie dziwi. Po pierwsze smartfony w większości wyposażone są w moduł NFC niezbędny do płatności zbliżeniowych. Po drugie, jak się okazuje, Polacy uwielbiają transakcje mobilne i ich udział wśród całości transakcji zbliżeniowych sukcesywnie rośnie. W II kwartale ubiegłego roku wynosił 16,4 %, podczas gdy w analogicznym okresie roku 2021– zaledwie 8,7%.
– Gdy zainfekowane urządzenie z uruchomionym modułem NFC zostanie zbliżone do karty płatniczej (a o to przecież poproszą oszuści), komunikacja z kartą zostaje przechwycona przez urządzenie i przekierowana do oszustów, którzy używając własnego urządzenia z systemem Android, są w stanie sklonować kartę. To oznacza, że w praktyce bezproblemowo wypłacą gotówkę z bankomatu, a posiadając dostęp do konta ofiary w banku, mogą dowolnie zmieniać limity wypłat gotówki – tłumaczy Kamil Sadkowski, ekspert ESET.
Użytkownicy w Czechach tracili tysiące euro
Według wiedzy specjalistów ESET, zidentyfikowano sześć różnych aplikacji NGate, których celem byli klienci trzech banków w Czechach w okresie od listopada 2023 r. do marca 2024 r.
Czeska policja sukcesywnie walczy z cyberprzestępcami. Przełomowym wydarzeniem było zatrzymanie 22-latka, który wypłacał pieniądze z bankomatów w Pradze. W momencie aresztowania podejrzany posiadał 160 000 koron czeskich, co stanowi równowartość ponad 6000 euro (około 6500 USD). Czeska policja donosi, że pieniądze odzyskane od podejrzanego zostały skradzione tylko od trzech ostatnich ofiar, więc jest prawdopodobne, że skala oszustw jest znacznie większa.
Kluczowe jest zachowanie czujności na co dzień i przyjęcie zasady niepodawania absolutnie nikomu (nawet podającym się za pracownika banku) żadnych danych związanych z bankowością, jak login, hasło, PIN do kart płatniczych. Ponadto, pobieranie jedynie oryginalnych, cieszących się dużą popularnością i dobrymi opiniami aplikacji wyłącznie z oficjalnych źródeł, takich jak sklep Google Play, do którego przenosi oficjalna strona banku, powinno na stałe znaleźć się wśród najważniejszych zasad bezpiecznego korzystania ze smartfona.