Pilne ostrzeżenie dla klientów dużego banku. Chwila nieuwagi i pieniądze znikną
Ruszyła nowa kampania phishingowa, w której napastnicy podszywają się pod jeden z największych banków w Polsce. Z użyciem fałszywych witryn niemal identycznych z prawdziwymi atakujący próbują wyłudzić wrażliwe dane. Ich sukces skutkuje możliwością przejęcia kontroli nad rachunkiem bankowym.
Dopracowane fałszywe witryny
O zagrożeniu informuje zespół CSIRT działający przy Komisji Nadzoru Finansowego. Jego analitycy dostrzegli, że uruchomiona została nowa kampania phishignowa. Tym razem napastnicy podszywają się pod ING Bank Śląski i wykorzystują na specjalnie spreparowanych na stronach liczne elementy jego identyfikacji wizualnej.
Strony są bardzo dopracowane i wystarczy chwila nieuwagi, by dać się oszukać. Zwłaszcza że atakujący wykorzystują całkiem wiarygodne domeny, które mogą sprawiać wrażenie, że faktycznie mamy do czynienia z bankiem: ing-pl.com oraz login-ing-pl.com. Warto je zapamiętać i po trafieniu pod te adresy opuścić witrynę.
Zobacz także: Google musi się tłumaczyć. Wszystko przez fałszywe kursy walut
Atakujący omijają uwierzytelnianie wieloskładnikowe
Na przygotowanej przez napastników stronie umieszczony został formularz, który ma rzekomo służyć do logowania w bankowości elektronicznej ING Banku Śląskiego. Zadbano nawet o to, aby widoczny był link do polityki dotyczącej ciasteczek oraz fałszywy czat umożliwiający kontakt z konsultantem. Zastosowanie strony jest jednak zupełnie inne.
Po wprowadzeniu loginu, numeru PESEL oraz kodu SMS wyświetlana jest informacja o tym, że zaraz dojdzie do połączenia telefonicznego, w którym podany zostanie kod autoryzacyjny. Witryna służy jednak jako pośrednik i zamiast prawdziwej witrynie ING przekazujemy dane oszustom. To oni stosują je na prawdziwej stronie logowania banku, omijając w ten sposób uwierzytelnianie wieloskładnikowe.
Jak się chronić przed phishingiem?
Zalecenia w tym przypadku nie odbiegają od standardowych dobrych praktyk w zakresie ochrony przed phishingiem. Wystarczy weryfikacja adresu, który co prawda sprawia wrażenie wiarygodnego, ale wystarczy sprawdzić bank w wyszukiwarce, by zdać sobie sprawę, że jego witryny dostępne są w domenie ing.pl lub ingbank.pl, nie zaś ing-pl.com.
Dodatkową ochronę przed phishingiem z użyciem fałszywych witryn jest poleganie w dostępie do bankowości elektronicznej wyłącznie na oficjalnych aplikacjach banków i unikanie korzystania z mobilnych wersji przeglądarkowych.
