Fałszywe wiadomości push nękają Polaków. A to dopiero początek
Internetowi oszuści próbują nowej sztuczki. Wysyłają fałszywe SMS-y, które mają udawać powiadomienia push z aplikacji mobilnej banku. To oczywiście odpowiedź na mechanizmy obronne banków.
By minimalizować zagrożenie związane z podszywaniem się oszustów pod konsultantów z bankowych infolinii, wiele banków wdrożyło mechanizm potwierdzenia tożsamości pracownika. Podczas prawdziwej rozmowy z konsultantem aplikacja mobilna zainstalowana w smartfonie klienta wysyła powiadomienie push, w którym potwierdza, że to nie oszustwo. Klient otrzymuje także wizytówkę pracownika z jego danymi, w tym z imieniem i nazwiskiem. I właśnie ten mechanizm próbują wykorzystać internetowi naciągacze.
To nie wiadomość push, to SMS wysłany przez oszustów
CERT Orange Polska zauważył powtarzający się wzorzec nowych ataków, realizowanych za pomocą SMS-ów, które mają udawać komunikaty push. Oszuści próbują się tak podszywać pod pracowników mBanku czy Millennium, ale ten sam schemat może być wykorzystany w ataku na klientów innych banków.
Przykładowa treść takiego SMS-a udającego powiadomienie push wygląda tak:
Wykryliśmy podejrzane aktywności na Pana koncie. Konstatuje się z Panem Aleksander Gxxxxx ID 223xxx Nr sprawy AK xxxx.
Choć przekręt jest szyty grubymi nićmi i wydaje się, że nie jest możliwe, by ktoś nie odróżniał SMS-a od wiadomości push z aplikacji, to jednak pozory mylą. Ludzie nabierają się nie na takie oszustwa, a wielu klientów może nawet nie wiedzieć do końca, jak tak naprawdę działa potwierdzanie tożsamości pracownika w aplikacji, nawet jeżeli słyszeli, że istnieje takie zabezpieczenie.
CERT Orange Polska wskazuje, że takie fałszywe SMS-y to dopiero wstęp do dalszych działań. Podczas rozmowy telefonicznej oszust będzie się podszywał pod pracownika banku, powołując się na treść wysłanego wcześniej SMS-a.
Bazując na naszym doświadczeniu i modus operandi sprawców stawiamy na to, że w kolejnym kroku „konsultant” podejmie próbę przekonania do zainstalowania oprogramowania do zdalnego pulpitu. A w efekcie przejęcia pełnej kontroli nad komputerem/kontem bankowym ofiary
– wyjaśnia CERT Orange Polska.
Specjaliści od bezpieczeństwa z Orange zalecają, by w takiej sytuacji stosować zasadę ograniczonego zaufania. Przede wszystkim należy zwracać uwagę na nadpisy w SMS-ach przysłanych przez banki – czyli nazwy nadawców. Te prawdziwe są zastrzeżone, ale przestępcy próbują to omijać, stosując nadpisy „Miilennium”, „Satnander” czy „mBnak”, a więc różniące się kolejnością czy liczbą liter, co łatwo przeoczyć.
Jeżeli natomiast bank używa dodatkowego zabezpieczenia przy potwierdzaniu tożsamości konsultanta w postaci komunikatów push w aplikacji mobilnej, w ogólne nie należy reagować na SMS-y sugerujące potwierdzenie tożsamości. Najlepiej od razu zgłosić ten fakt do swojego banku.
