Wprowadzenie unijnej dyrektywy PSD2 miało chronić klientów banków przed wyłudzeniami i oszustwami. Jak to często bywa, intencje eurokratów sobie, a życie sobie. Oto kolejne już banki - BNP Paribas i PKO BP - ostrzegają o próbach wyłudzeń. W pierwszym oszuści próbują zdobywać dane za pomocą fałszywych SMS-ów, w drugim metodą, którą można nazwać „sposobem na PSD2”.
Wprowadzona w życie 14 września dyrektywa PSD2 (Payment Services Directive 2) wymogła na bankach stosowanie tzw. „silnego uwierzytelnienia”, czyli dodatkowych mechanizmów potwierdzania tożsamości klientów. Wszystko po to, by chronić ich przed wyłudzeniami poufnych danych, a w rezultacie - utratą pieniędzy z konta.
Zobacz: Jak zmienią się płatności zbliżeniowe? 14 września wchodzą nowe przepisy
Zobacz: Oszustwa z wymianą kart SIM dotykają wszystkich. Nawet prezesa Twittera
Zobacz: Koniec haseł jednorazowych. Nadchodzą zmiany w płatnościach
Szybko się jednak okazało, że unijne przepisy nie powstrzymały oszustów, lecz wyzwoliły w nich skrywane dotąd pokłady twórczej inwencji. Naciągacze znaleźli po prostu nowe sposoby na zdobycie poufnych danych bankowych. Klienci Alior Banku i Getin Banku już w kilka dni po wprowadzeniu dyrektywy zaczęli być nękani przez fałszywych konsultantów próbujących wyłudzić kody do logowania SMS.
Z kolei posiadacze kont w banku BNP Paribas zaczęli otrzymywać wiadomości tekstowe od nadawców podszywających się pod firmy kurierskie, windykatorów, pracowników banku lub Urząd Skarbowy. Wszystkie łączy jedno - w wiadomościach pojawia się namowa, by kliknąć w zawarty tam link. A to może w rezultacie narazić na wyłudzenie loginu i hasła do bankowości lub haseł służących do autoryzacji transakcji. Przykładowe wiadomości SMS wyglądają tak:
Teraz ostrzeżenie o podobnym zagrożeniu wystosował bank PKO BP.
Oszuści podając się przez telefon za pracowników PKO Banku Polskiego, powołują się na dyrektywę PSD2 i proszą o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Oprogramowanie to ma rzekomo służyć autoryzacji transakcji, a tak naprawdę pozwala wyłudzić dane logowania i kody autoryzacyjne.
Zobacz: Lidl rozdaje Iphone'a X! Spokojnie, to tylko kolejny cyberatak
Zobacz: Zao: niewinna aplikacja deepfake czy nowe narzędzie dla cyberprzestępców?
Jeżeli ofiara uruchomi załącznik fałszywej wiadomości, z dużym prawdopodobieństwem zainstaluje na swoim urządzeniu złośliwe oprogramowanie. To z kolei pozwoli przestępcom zdobyć poufne dane logowania do bankowości elektronicznej oraz autoryzacji transakcji, a w dalszej perspektywie - przejąć kontrolę nad rachunkiem.
Oszust podszywający się pod pracownika banku może też prosić klienta o wyrażenie specjalnej zgody na administrowanie danymi osobowymi. Fałszywy dokument z taką zgodą otwiera się po wpisaniu danych w okienku wyświetlonym przez złośliwe oprogramowanie. Wygląda to tak:
W swoim ostrzeżeniu PKO BP informuje, że nie prosi o instalację żadnego dodatkowego oprogramowania w związku z wejściem w życie dyrektywy PSD2. Również nigdy nie wymaga podania kodu jednorazowego w trakcie rozmowy telefonicznej nawiązanej przez pracownika banku. I kolejna rzecz: podanie kodu z narzędzia autoryzacyjnego jest niezbędne wyłącznie do zatwierdzenia dyspozycji zleconej przez klienta, np. zlecenia przelewu czy założenia lokaty.
Zobacz: Mamy 2019 rok, a ludzie nadal klikają w co popadnie. Smutne wnioski z raportu cyberbezpieczeństwa Cisco
Zobacz: Kredyty na skradzione dane problemem banków
Opisana metoda wyłudzenia „sposobem na PSD2” dotyczy PKO BP, jednak ten sam mechanizm może być stosowany w innych bankach, z uwzględnieniem drobnych różnic związanych z wdrożeniem dyrektywy. Warto więc zachować czujność.
Źródło zdjęć: PKO BP, BNP Paribas, Pixabay.com
Źródło tekstu: PKO BP, BNP Paribas