Czytelnicy AVLab mają w pamięci unijną dyrektywę dotyczącą usług płatniczych (PSD2). Jej regulacje zostały wprowadzone do polskiego porządku prawnego poprzez nowelizację ustawy o usługach płatniczych. Dzięki tym przepisom ma być szybciej, bezpieczniej i przejrzyściej. Przewiduje się jednak, że otwarta bankowość spowoduje wzrost ilości szkodliwego oprogramowania atakującego bankowość internetową i systemy płatności.
Jedną z poważniejszych i publicznych podatności zgłosili pracownicy F-Secure. Pierwsza luka CVE-2019-4203 została sklasyfikowana jako atak SSRF (Server-Side Request Forgery) i pomyślne wykonanie mogłoby umożliwić atakującemu uzyskać dostęp do systemów bankowych. Druga luka CVE-2019-4202 dotyczy zdalnego wykonania kodu (Remote Code Execution) i znajduje się w interfejsie REST API. Organizacje zazwyczaj blokują żądania REST API z otwartego internetu na przykład za pomocą zapory. Wykorzystując wspomnianą wcześniej lukę CVE-2019-4202 atakujący może dotrzeć do podatnego na atak API REST z Internetu. Dzięki pomyślnemu wykorzystaniu obu luk możliwe jest zdalne wykonanie poleceń z uprawnieniami roota w systemie bankowym/płatniczym.
Banki z pewnością wiedzą już o wspomnianych lukach. Eksperci zalecają, aby systemy płatnicze wykorzystywały wyłącznie szyfrowane połączenia TLS (TLS może odbierać połączenia również w postaci nieszyfrowanej). Zmniejsza to ryzyko wykonania zdalnego kodu. Dodatkowo liczne luki w protokołach szyfrowania TLS powinny zmusić szczególnie instytucje bankowe do używania wyłącznie najnowszych wersji protokołów.
Pomysłowość cyberprzestępców zawsze wyprzedzała o krok nawet najlepsze zabezpieczenia. Po co próbować zhackować bank, skoro można zadzwonić do klienta końcowego o poprosić do dostęp?
Oszuści mogą udawać pracowników banków i powołują się na dyrektywę PSD2, prosić o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Oprogramowanie takie ma pozornie służyć autoryzacji transakcji, a tak naprawdę może wyłudzać dane logowania i kody autoryzacyjne.
Uważaj!
Jeśli uruchomisz załącznik takiej fałszywej wiadomości, prawdopodobnie zainstalujesz na swoim urządzeniu złośliwe oprogramowanie. Oprogramowanie to pozwoli przestępcom zdobyć poufne dane logowania do bankowości elektronicznej oraz autoryzacji transakcji. W ten sposób oszuści mogą przejąć kontrolę nad Twoim rachunkiem.
Pamiętaj!
- Bank nie prosi o instalację żadnego dodatkowego oprogramowania w związku z wejściem w życie dyrektywy PSD2.
- Nie otwieraj załączników z niepewnych źródeł i nie klikaj w podejrzane linki.
- Bank nigdy nie wymaga podania kodu jednorazowego w trakcie rozmowy telefonicznej nawiązanej przez pracownika Banku, chyba że kontakt telefoniczny następuje z Twojej inicjatywy.
- Podanie kodu z narzędzia autoryzacyjnego jest niezbędne wyłącznie do zatwierdzenia zleconej przez Ciebie dyspozycji, np. zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, zdefiniowania płatności, zlecenia stałego i przeglądania historii.
Jeśli odbierzesz podejrzany telefon od osoby podającej się za pracownika banku i masz wątpliwości, czy powinieneś podawać dane, skontaktuj się z nami. Jeśli Twoje podejrzenia wzbudzi jakakolwiek inna sytuacja w czasie korzystania z aplikacji mobilnej lub serwisu transakcyjnego – również prosimy o informację.
W przypadku skorzystania z linku zawartego w otrzymanej wiadomości i podania jakichkolwiek danych na stronie internetowej przypominającej serwis iPKO lub jakichkolwiek pytań lub wątpliwości dotyczących korzystania z bankowości elektronicznej lub mobilnej, prosimy – skontaktuj się telefonicznie z konsultantem pod numerem 800 302 302 (brak opłat dla numerów krajowych na terenie kraju, w pozostałych przypadkach – opłata zgodna z taryfą operatora) lub +48 81 535 60 60 (do połączeń z zagranicy i z telefonów komórkowych; opłata zgodna z taryfą operatora).
Więcej informacji (dobrze wytłumaczonych!) o dyrektywnie PSD2 na stronie Banku Millenium.
