Fałszywe wiadomości push nękają Polaków. A to dopiero początek

Internetowi oszuści próbują nowej sztuczki. Wysyłają fałszywe SMS-y, które mają udawać powiadomienia push z aplikacji mobilnej banku. To oczywiście odpowiedź na mechanizmy obronne banków.

Mieszko Zagańczyk (Mieszko)
3
Udostępnij na fb
Udostępnij na X
Fałszywe wiadomości push nękają Polaków. A to dopiero początek

By minimalizować zagrożenie związane z podszywaniem się oszustów pod konsultantów z bankowych infolinii, wiele banków wdrożyło mechanizm potwierdzenia tożsamości pracownika. Podczas prawdziwej rozmowy z konsultantem aplikacja mobilna zainstalowana w smartfonie klienta wysyła powiadomienie push, w którym potwierdza, że to nie oszustwo. Klient otrzymuje także wizytówkę pracownika z jego danymi, w tym z imieniem i nazwiskiem. I właśnie ten mechanizm próbują wykorzystać internetowi naciągacze.

Dalsza część tekstu pod wideo

To nie wiadomość push, to SMS wysłany przez oszustów

CERT Orange Polska zauważył powtarzający się wzorzec nowych ataków, realizowanych za pomocą SMS-ów, które mają udawać komunikaty push. Oszuści próbują się tak podszywać pod pracowników mBanku czy Millennium, ale ten sam schemat może być wykorzystany w ataku na klientów innych banków.

Przykładowa treść takiego SMS-a udającego powiadomienie push wygląda tak:

Wykryliśmy podejrzane aktywności na Pana koncie. Konstatuje się z Panem Aleksander Gxxxxx ID 223xxx Nr sprawy AK xxxx.

Choć przekręt jest szyty grubymi nićmi i wydaje się, że nie jest możliwe, by ktoś nie odróżniał SMS-a od wiadomości push z aplikacji, to jednak pozory mylą. Ludzie nabierają się nie na takie oszustwa, a wielu klientów może nawet nie wiedzieć do końca, jak tak naprawdę działa potwierdzanie tożsamości pracownika w aplikacji, nawet jeżeli słyszeli, że istnieje takie zabezpieczenie.

Fałszywe wiadomości push nękają Polaków. A to dopiero początek
Fałszywe wiadomości push nękają Polaków. A to dopiero początek

CERT Orange Polska wskazuje, że takie fałszywe SMS-y to dopiero wstęp do dalszych działań. Podczas rozmowy telefonicznej oszust będzie się podszywał pod pracownika banku, powołując się na treść wysłanego wcześniej SMS-a.

Bazując na naszym doświadczeniu i modus operandi sprawców stawiamy na to, że w kolejnym kroku „konsultant” podejmie próbę przekonania do zainstalowania oprogramowania do zdalnego pulpitu. A w efekcie przejęcia pełnej kontroli nad komputerem/kontem bankowym ofiary

– wyjaśnia CERT Orange Polska.

Specjaliści od bezpieczeństwa z Orange zalecają, by w takiej sytuacji stosować zasadę ograniczonego zaufania. Przede wszystkim należy zwracać uwagę na nadpisy w SMS-ach przysłanych przez banki – czyli nazwy nadawców. Te prawdziwe są zastrzeżone, ale przestępcy próbują to omijać, stosując nadpisy „Miilennium”, „Satnander” czy „mBnak”, a więc różniące się kolejnością czy liczbą liter, co łatwo przeoczyć.

Jeżeli natomiast bank używa dodatkowego zabezpieczenia przy potwierdzaniu tożsamości konsultanta w postaci komunikatów push w aplikacji mobilnej, w ogólne nie należy reagować na SMS-y sugerujące potwierdzenie tożsamości. Najlepiej od razu zgłosić ten fakt do swojego banku.