Kradzież w Internecie. Początkowo wygląda niewinnie, ale skutki mogą być poważne

SMS z prośbą o drobną dopłatę za usługę kurierską wygląda niewinnie. Ale w rzeczywistości może to być próba kradzieży wszystkich pieniędzy z konta bankowego. Eksperci CERT Polska zaobserwowali kolejny przypadek fałszywej usługi błyskawicznych płatności. Innym „modnym” sposobem nielegalnego zdobywania pieniędzy jest wykorzystywanie cudzych komputerów do kopania kryptowalut. Od początku 2019 roku do CERT Polska wpłynęło ponad 3400 zgłoszeń możliwych incydentów różnego typu.

Nieuwaga i pechowy zbieg okoliczności mogą słono kosztować ofiary cyberprzestępczości. A złodzieje wciąż starają się udoskonalać swoje metody. W ostatnich miesiącach aktywne były strony internetowe, podszywające się pod pośredników płatności, takich jak Dotpay czy PayU.

Schemat takiej kradzieży jest następujący:

Ofiara, która trafia na fałszywą stronę pośrednika jest przekierowywana na stronę banku, również podrobioną (w trakcie ostatniego oszustwa dostępne były fałszywe strony aż 10 banków!). Wprowadzone przez ofiarę dane logowania są natychmiast używane przez przestępców do zalogowania się na prawdziwym koncie w banku. Następnie nieświadomy niczego klient wprowadza dane transakcji (złodziej równolegle zleca dodanie zaufanego odbiorcy na prawdziwym koncie swojej ofiary). Klient banku otrzymuje SMS z kodem jednorazowym, koniecznym do potwierdzenia dyspozycji – wpisuje go na fałszywej stronie. Tym sposobem przestępca zyskuje kod, umożliwiający mu zatwierdzenie polecenia dodania zaufanego odbiorcy przelewów. Używa go, definiując siebie samego, jako odbiorcę zaufanego. Dzięki temu może wyprowadzić wszystkie pieniądze z konta już bez konieczności zatwierdzania transakcji kodem.

Wysyłanie linków, prowadzących do fałszywych stron operatorów płatności jest powszechnie stosowaną wśród przestępców praktyką. Coraz częstszym sposobem dystrybucji adresów stron phishingowych są wiadomości SMS, informujące o konieczności dopłaty np. za usługę kurierską lub wystawienie ogłoszenia w jednym z przeznaczonych do tego celu portali. Kwota, której żądają przestępcy najczęściej jest niewielka, co ma na celu uwiarygodnienie żądania i przekonanie ofiary do dokonania przelewu.

Przemysław Jaroszewski Kierownik Działu CERT Polska

Aby uchronić się przed tego typu oszustwem trzeba przy wszystkich transakcjach w bankowości internetowej uważnie czytać SMS z banku, zawierający jednorazowy kod. Jeżeli nie zgadza się opis transakcji (np. zamiast dyspozycji przelewu widzimy zlecenie dodania zaufanego odbiorcy), to nie wolno używać tego kodu. Należy przerwać transakcję i skontaktować się z bankiem. Warto także zgłosić zdarzenie do CERT Polska na adres: cert@cert.pl, przekazując początkowy e-mail lub SMS z prośbą o zapłatę. Tak samo uważnie trzeba czytać opisy zleceń przy dokonywaniu potwierdzenia w mobilnej aplikacji bankowej. Fałszywe strony pośredników płatności są na bieżąco blokowane. Jednak pojawienie się nowych wariantów phishingu jest jedynie kwestią czasu.

Specjaliści obserwują ponadto aktywność kolejnego wariantu złośliwego oprogramowania, które wykrada dane portfeli kryptowalutowych a także przejmuje część zasobów komputera, aby kopać dla cyberprzestępców następne jednostki kryptowaluty. Program CookieMiner jest zmodyfikowaną wersją oprogramowania o nazwie DarthMiner, zidentyfikowanego w grudniu ubiegłego roku.

Szef działu CERT Polska:

Analiza nowej wersji wirusa wykazała nowe funkcjonalności, czyniące go groźniejszym w porównaniu do poprzednika. CookieMiner zawdzięcza swoją nazwę możliwości wykradania danych znajdujących się w plikach cookie, powiązanych z serwisami internetowymi giełd kryptowalut.

STATYSTYKI W statystykach zgłoszeń do CERT Polska w okresie dwóch tygodni (20 lutego – 5 marca) dominowały incydenty, związane z phishingiem (35 proc. ogólnej liczby incydentów). Przypadki infekcji złośliwym oprogramowaniem były drugim najczęstszym typem incydentów, zgłoszonych do CERT Polska na przełomie marca i lutego. Stanowiły 18,5 proc. ogółu incydentów. Od początku 2019 r. (na dzień 7 marca) CERT Polska odnotował 4674 zgłoszenia, wśród których 739 miało związek z incydentami naruszenia bezpieczeństwa. W całym roku 2018 było to 19439 zgłoszenia (3739 incydenty).

CERT Polska to pierwszy powstały w Polsce zespół reagowania na incydenty (z ang. Computer Emergency Response Team). Zespół działa w strukturach Państwowego Instytutu Badawczego NASK, prowadzącego działalność naukową, krajowy rejestr domen .pl, a na mocy ustawy o krajowym systemie cyberbezpieczeństwa, pełniącego rolę jednego z trzech CSIRT (Computer Security Incident Response Team) najwyższego poziomu krajowego (CSIRT NASK, CSIRT MON i CSIRT GOV). NASK jest także zapleczem analitycznym i badawczo-rozwojowym dla systemu cyberbezpieczeństwa w Polsce, a wśród jego zadań wskazano wspieranie podmiotów w budowaniu ich potencjału m.in. przez organizację ćwiczeń, projekty badawcze i zaawansowane analizy techniczne i strategiczne.

(fot. CERT)