Uważajcie na maile, podszywające się pod ING!

Od wczoraj do polskich internautów trafiają maile, których autorzy – na szczęście dość nieudolnie – podszywają się pod bank ING.

Wystarczy powoli i dokładnie przeczytać treść wiadomości, by okazało się, że na wyliczenie błędów stylistycznych brakuje palców u obu rąk. Gdybym nadawca zatrudnił do pracy kogoś władającego językiem polskim (zamiast automatycznego translatora) – i nie podpisał się „ING Powiadomienie informacyjne” – zapewne przekonałby więcej osób do kliknięcia.

Co się stanie, gdy klikniemy, wyrażając ochotę… przejścia „do strony głównej”? Atakujący całkiem sprawnie się zabezpiecza przed automatycznymi analizatorami,. Sandboxy, nawet przy zmianie User-Agenta, przekierowują na różne uczciwe witryny. Dopiero uruchomienie linka w telefonie, po serii przekierowań, prowadzi nas do strony

hxxp://login-ingbank[.]pl-id18ha7u1vaoi1batz178dzhr[.]com

To stara (i całkiem skuteczna) socjotechniczna sztuczka. Mózg zobaczywszy znany ciąg login-ingbank.pl potrafi podświadomie nie tylko „odciąć” resztę adresu, ale też nie zwrócić uwagi, że między dwoma pierwszymi słowami jest dywiz „-„, a nie kropka „.”.

Co dzieje się po kliknięciu?

Wpisanie loginu i hasła to nie wszystko. Jeśli podamy tam jakiekolwiek dane, pokaże się kolejny ekran – i okazuje się, że z tą „aplikacją bezpieczeństwa” coś jest na rzeczy!

Docelowa aplikacja ing.apk to Malware Hydra, złośliwy kod wyspecjalizowany w kradzieży poświadczeń logowania do serwisów bankowości elektronicznej. Analizę próbki z naszego sandboxa znajdziecie tutaj.

Uważajcie! Banki nie wymagają instalowania dodatkowych aplikacji bezpieczeństwa – aplikacje bankowe instalujcie wyłącznie z oficjalnych sklepów dla mobilnych platform. No i niezmiennie, patrzcie na pasek adresu zawsze, gdy myślicie, że logujecie się do wrażliwego serwisu.