Coraz częściej klientów banków atakują wirusy nie w komputerze, lecz w smartfonie. To trend, który będzie niestety się rozwijał, bo o ile komputer możemy porządnie zabezpieczyć (program antywirusowy) i używać w sposób ostrożny (tylko w domowej sieci), o tyle utrzymanie sterylności smartfona to marzenie ściętej głowy.
- Wymarzony moment, żeby inwestować w fundusze obligacji? Podcast z Pawłem Mizerskim [POWERED BY UNIQA TFI]
- Nowe funkcje terminali płatniczych. Jak biometria zmieni świat naszych zakupów? [POWERED BY FISERV]
- BaseModel.ai od BNP Paribas: najbardziej zaawansowana odsłona sztucznej inteligencji we współczesnej bankowości!? [POWERED BY BNP PARIBAS]
Czytaj też: Jak nie dać się okraść z pieniędzy na koncie przez Facebooka metodą „na wnuczka”? Ostrzegam!
Jest to-to przecież podłączone bez przerwy do internetu (w tym często do przypadkowych, publicznych sieci wi-fi), instalujemy na nim miliony aplikacji (z których niektóre mogą zawierać złośliwe oprogramowanie, choć teoretycznie są autoryzowane przez sklepy Apple’a i Google’a), nie mamy też zwyczaju używać w smartfonach programów antywirusowych. Słowem – smartfon jest dużo łatwiejszy do zaatakowania przez e-złodziei, niż komputer.
Czytaj też: Top 5 sposobów cyberzłodziei, by nas okraść. Na który dasz się nabrać? Oby na żaden…
Czytaj też: Straciła 20.000 zł, bo weszła na fałszywą stronę banku. Czy banki powinny lepiej nas chronić?
„Lewa” weryfikacja numeru telefonu w aplikacji bankowej. To wirus smartfonowy!
I właśnie mBank ostrzegł swoich klientów przez wirusem, który atakuje smartfony. Na tę konkretną odmianę wirusa narażeni są użytkownicy smartfonów z systemem Android (chociaż ci, którzy mają iPhone’a też niech uważają, bo pojawiły się pierwsze wirusy na system iOS, jeden z nich przez kilka lat był niewykrywalny!). Jak to działa? Jeśli masz zainfekowanego smartfona (ściągnąłeś sobie coś, co zawiera wirusa), to próbując zalogować się do banku przez smartfona dostaniesz następujący komunikat:
„Weryfikacja. W celu zapewnienia bezpieczeństwa naszych klientów należy zweryfikować numer telefonu bankowości internetowej”
Wszystko w „barwach klubowych” i z logotypem mBanku (choć podobne ataki mogą pojawiać się na innych „skórkach”, więc niech klienci pozostałych banków też pozostaną czujni). Po kliknięciu „Kontynuuj” pojawia się prośba o wprowadzenie swojego numeru telefonu – tego, którym autoryzujemy transakcje w banku. I już zaczyna się robić niebezpiecznie. Banki nigdy o takie rzeczy nie proszą. Można też zorientować się, że coś jest nie tak, na podstawie nieudolnego tłumaczenia niektórych elementów strony wyłudzającej dane – w tym kroku przycisk, którym zatwierdza się wprowadzony numer telefonu opisany jest jako „Potwierdzać”.
W kolejnym kroku system prosi o podanie PIN-u do aplikacji bankowej, a następnie loginu i hasła do konta w mBanku. Tu jest drugi sygnał ostrzegawczy, bo przecież właśnie po to do aplikacji bankowej w smartfonie ustanawiamy osobny PIN, żeby nie trzeba było używać identyfikatora i hasła do logowania w bankowości elektronicznej. A tu wyświetla się coś, co prosi nie tylko o numer telefonu, PIN do aplikacji bankowej, ale i o dane do logowania do banku na „dużym” komputerze!
Posiadając te wszystkie dane złodziej może spróbować zalogować się do konta w naszym imieniu, zlecić np. przelew dowolnie wysokiej kwoty na swoje złodziejskie konto, a następnie przejąć SMS-a autoryzującego tę transakcję (bo ma nasz numer telefonu). Nie jestem pewny czy do sfinalizowania całej „imprezy” złodziej będzie potrzebował „wstrzyknąć” też dodatkowego wirusa do smartfona (takiego, który przekieruje SMS-y autoryzacyjne), czy też już nie. Z jednej strony wirus prosi o numer telefonu (więc chyba jest on mu potrzebny), a z drugiej – już przecież dostał się na tego smartfona, więc być może w nim się zagnieździł i już może przekierowywać SMS-y.
Jest to o tyle istotne, że jeśli złodziej musi „wstrzyknąć” na naszego smartfona drugiego wirusa (tego od przekierowań) to będzie musiał przekonać nas do jakiejś „lewej” aktualizacji. Nie jest to bardzo trudne, nasze smartfony bez przerwy chcą ściągać nowe wersje różnych aplikacji i wystarczy się pod jedną z takich aktualizacji podszyć, byśmy się nabrali. Tym niemniej jest to dodatkowa komplikacja.
Czytaj też: Wyjątkowo podstępny wirus. Wymusi zmianę sposobu, w jaki banki dostarczają nam wyciągi?
Czytaj też: Perwersja? Ten wirus zaatakuje twoje pieniądze wtedy, kiedy czujesz, że są najbezpieczniejsze
Mobilna autoryzacja ochroni przed wirusem
Wirus jest nieszkodliwy dla osób używających tzw. mobilnej autoryzacji, tzn. tych, które wybrały zatwierdzanie przelewów nie SMS-ami autoryzacyjnymi, lecz poprzez aplikację mobilną. Wygląda to tak, że loguję się do konta na komputerze, wysyłam zlecenie przelewu i zamiast wpisywać w okienku otrzymany na smartfona SMS autoryzacyjny muszę zalogować się do aplikacji bankowej w moim smartfonie i kliknąć „zatwierdzam przelew”.
Ta nowa procedura – w mBanku można wybrać ten sposób autoryzowania przelewów dopiero do kilku miesięcy – wymaga, by osoba zlecająca przelew nie tylko znała login i hasło do bankowości internetowej, ale też znała PIN do aplikacji mobilnej i – co najważniejsze – miała w ręce naszego smartfona (bo jak inaczej kliknąć na nim „zatwierdzam przelew”)?
Na moje oko – potwierdziłem to również w mBanku – osoby używające nowego sposobu zatwierdzania przelewów są bezpieczne (zwłaszcza jeśli dodatkowo logują się do aplikacji mobilnej odciskiem palca, a nie PIN-em). Przynajmniej jeśli chodzi o kradzież pieniędzy, bo podając złodziejowi wszystkie żądane informacje oczywiście otwierają mu możliwość pobaraszkowania po koncie i zrobienia kilku przelewów do gazowni (nie wymagających autoryzacji)
Tu więcej: Pełna wersja komunikatu mBanku o tym wirusie
Kilka ważnych zasad, których znajomość zabezpieczy cię przed złodziejami pieniędzy
Niezależnie od wszystkiego wbijmy sobie do głowy kilka ważnych zasad. Jeśli chodzi o smartfony, to nie klikamy żadnych wyskakujących komunikatów jeśli nie mamy absolutnej pewności, że pochodzą z oficjalnych aplikacji. Miałem kiedyś sytuację, gdy w zwykłej aplikacji informacyjnej – Gazeta.pl, Onet.pl, czy Wp.pl – pojawiła się krzycząca na czerwono nakładka, zapraszająca żabym coś kliknął i odebrał jakąś nagrodę. Pytałem informatyków i inch zdaniem w takich aplikacjach (a konkretnie na styku aplikacji i systemu wrzucającego do nich reklamy) bywają luki, które pozwalają wyświetlić jakieś badziewie w ramach wiarygodnej aplikacji informacyjnej.
Nic więc nie klikamy w smartfonie. A poza tym pamiętamy, że żaden bank nigdy nie prosi o podanie żadnych danych – ani numerów telefonu, ani loginów, haseł, PIN-ów. Jeśli coś takiego widzicie w komputerze lub smartfonie – macie wirusa i ktoś chce Was okraść. Żaden bank nie prosi o wykonanie żadnego przelewu testowego, nie wysyła też żadnych linków do zainstalowania czegokolwiek (choć tu niestety ostatnio kilka banków się nie popisało i wysyłały klientom linki do jakichś aktualizacji – nic takiego nie klikamy).
Zdaniem informatyków mBanku na tego wirusa – który pojawia się jako nakładka na „prawdziwą” aplikację mobilną w zainfekowanych smartfonach z Androidem – sposób jest taki, żeby na twardo zresetować smartfona, zlecając systemowi przywrócenie ustawień fabrycznych, zmienić PIN do aplikacji mobilnej oraz zmienić login i hasło do bankowości internetowej. Ale najlepiej po prostu myśleć, bo każdy względnie czujny użytkownik smartfona, widząc te komunikaty, które opisałem wyżej, powinien poczuć, że coś tu nie gra.
zdjęcie tytułowe: Pixabay.com
