Klienci PKO BP - uwaga na cyberoszustów

Polscy klienci bankowości elektronicznej znów na celowniku phisherów. Tym razem obiektem zainteresowania cyberoszustów stali się klienci banku PKO BP. Firma G DATA ostrzega, że mechanizm ataku jest bardzo wyrafinowany i tylko częściowo przypomina standardowe ataki phishingowe.

Użytkownik zachęcany jest do wizyty na zainfekowanej stronie WWW, która proponuje mu aktualizację oprogramowania Flash Player. Instalator Flasha pobierany z witryny jest w rzeczywistości trojanem, modyfikującym plik host, co pozwala przekierować użytkownika na dowolną stronę w Sieci. Po podaniu adresu URL w polu przeglądarki zamiast na stronę banku użytkownik trafia na spreparowaną witrynę, stworzoną przez przestępców, a imitującą serwis bankowy.

Witryna stworzona przez phisherów, podszywająca się pod serwis bankowy PKO BP (źródło: G DATA)

Witryna stworzona przez phisherów, podszywająca się pod serwis bankowy PKO BP (źródło: G DATA)

"Jednak w tym miejscu kończą się podobieństwa do klasycznego ataku phishingowego, ponieważ przestępcy dodali kolejny krok - po "zalogowaniu się" do banku otwiera się kolejna strona, na której użytkownik proszony jest o podanie pięciu kolejnych haseł jednorazowych" - czytamy w przygotowanym przez G DATA alercie. Do wykradanych w ten sposób haseł i loginów dochodzi dodatkowa informacja, czyli właśnie hasła jednorazowe, umożliwiające zarządzanie zgromadzonymi na koncie środkami oraz ustawieniami rachunku. W praktyce umożliwia to cybeprzestępcom "wyczyszczenie" konta ofiary przez dokonanie przelewów na dowolny rachunek.

Witryna stworzona przez phisherów, podszywająca się pod serwis bankowy PKO BP  (źródło: G DATA)

Witryna stworzona przez phisherów, podszywająca się pod serwis bankowy PKO BP (źródło: G DATA)

Przedstawiciel firmy, Paweł Soproniuk, poinformował nas, że atak udało się wykryć prawdopodobnie na bardzo wczesnym etapie i to w dodatku przez przypadek - do jednego ze specjalistów G DATA w środę późnym wieczorem zgłosiła się znajoma z informacją, że coś jest nie tak z jej komputerem. "Sprawa została zbadana i okazało się, że to atak cyberprzestępców. Dlatego w pierwszej kolejności postanowiliśmy ostrzec użytkowników po to, aby zminimalizować skuteczność ataku" - mówi P. Soproniuk.

Jak się chronić?

W trakcie odwiedzania serwisu bankowości elektronicznej zawsze sprawdzaj, czy adres URL strony rozpoczyna się od https:// i czy adres strony jest prawidłowy. Zwracaj uwagę, jak zakończony jest adres (domena główna). "Początek adresu strony jest bardzo łatwo sfałszować" - ostrzega G DATA.

Opisany wyżej atak to kolejny przypadek phishingu wymierzonego w polskich użytkowników, odnotowany w ostatnim czasie. W marcu br. phisherzy posłużyli się nazwą i wizerunkiem Banku Zachodniego WBK S.A.


Zobacz również