hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Masz mobilną aplikację banku? Uważaj!

3 tygodnie temu informowaliśmy o kampaniach smishingowych, podszywających się pod czołowe polskie banki. Najnowsza kampania, której celem są klienci BNP Paribas, dowodzi, że ostrożny musi być każdy, kto używa mobilną aplikację banku.

SMS o treści „Twoja aplikacja niedługo wygaśnie, kliknij, by przedłużyć (…)”. Wydawać by się mogło, że to wręcz prostackie oszustwo. Jednak fakt, że CERT Orange Polska regularnie obserwuje tego typu kampanie dowodzi, że musi przynosić efekty.

Wiadomości przychodziły nie tylko z nadpisu BNP – również ze zwykłych numerów. Po kliknięciu w link pojawiała się podrobiona strona banku, pod adresem gomoblbnp[.]com. Pominąwszy skopiowaną dokładnie warstwę graficzną, skupmy się na zajmującym niewielką część witryny panelu logowania.

Poniższa grafika prezentuje trzy kolejne kroki rzekomego procesu logowania:

Skąd akurat takie monity? Wszystkie trzy informacje niezbędne są po to, by skojarzyć z kontem ofiary mobilną aplikację banku! Dokładnie to robią na bieżąco oszuści, jeśli wciągną ofiarę w swoje socjotechniczne gierki. A co się stanie, gdy skutecznie zalogują się na ofiarę u siebie? Wtedy, niczym prawowity właściciel konta, wyprowadzą z niego wszystkie pieniądze, a jeśli będą mogli – pozaciągają również kredyty.

Uważaj na swoją mobilną aplikację banku!

Co zrobić, by nie dać się oszukać?

Przede wszystkim skupić się, jeśli informacje tyczą się Twoich pieniędzy. Jeśli aplikacja ma rzekomo wygasnąć – po prostu zaloguj się do niej na telefonie. Aplikacje mobilne nie „wygasają”, ale jeśli cokolwiek jest z nią nie tak – dowiesz się od razu po jej uruchomieniu.

Sprawdzaj adres strony, a szczególnie takiej, na której wpisujesz dane tak wrażliwe login, hasło, panieńskie nazwisko matki i PESEL!

Zwracaj uwagę na wszelkie interakcje ze strony banku. Połączenie aplikacji mobilnej z kontem powinno wygenerować SMS-a na numer zarejestrowany w banku, czy też push na zainstalowaną na Twoim telefonie mobilną aplikację banku. Niektóre z banków w momencie próby połączenia nowej instancji aplikacji inicjują rozmowę telefoniczną do Ciebie, podczas której kilkukrotnie IVR informuje, że właśnie łączysz mobilną aplikację banku z kontem. Nie ignoruj takich monitów!