[ Aktualizacja ] Makro wirus atakuje polskich klientów banku PKO BP

18 czerwca, 2015

Polscy użytkownicy instytucji bankowej ponownie na celowniku cyberprzestępców. Tym razem oszuści internetowi skierowali swoje szkodliwe działania m.in w klientów banku PKO PB oraz inne przypadkowe osoby. Pod pozorem ważnej informacji dotyczącej nowych metod kontroli przeprowadzanych transakcji elektronicznych, wysyłają do swoich ofiar szkodliwy dokument DOC, który zawiera makro wirusa.

Szkodliwe e-maile nie dość, że rozprzestrzeniane są przez nieznanych sprawców o bliżej nieokreślonej narodowości – na co wskazuje łamana polszczyzna, to sama ich treść jest tak fatalnie skonstruowana, że tylko niepojęta chęć otworzenia załącznika może nakłonić potencjalną ofiarę do otworzenia ów pliku.  

Możliwe tematy wiadomości (pisownia oryginalna):

1. Temat: PKO Bank – Za transakcje powyzej 10.000 zl bedzie kontrolowac urzad kontroli podatkowej
2. Temat: Za transakcje PKO BP bedzie kontrolowac urzad kontroli podatkowej
3. Temat: Wszystkie transakcje PKO Banku znajdujace sie pod kontrola urzada podatkowego
4. Temat: Pko Bank Polski bedzie monitorowac wszystkie transakcje

Oryginalna treść wiadomości: 

18.06.2015 dyrektor Finansowy banku iPKO Laura Majko wystapila z wnioskiem,ze od poczatku marca biezacego roku, wszystkie przelewy sa wykonywane pod scislym nadzorem urzedu podatkowego i glównego banku Unii europejskiej w Brukseli.

Zostanie wprowadzony system limitów i automatycznej kontroli, w niektórych przypadkach pelny audyt.
Szczegóły tego reportażu możesz przeczytać zalaczony =lik. 

avlab makro2
Załącznik zawiera plik DOC 917_46348.doc ze szkodliwym kodem VBA, który po uruchomieniu wykonuje polecenia makro – pobiera z sieci dodatkowe szkodliwe skrypty i złośliwe oprogramowanie. 

avlab makro

„Włączenie zawartości” inicjuje rozpoczęcie całego łańcucha bliżej nieokreślonych i opłakanych w skutkach zdarzeń. W pierwszej kolejności pobierany z sieci jest koń trojański z funkcjami backdoora, który otwiera hakerowi tylne furtki w systemie. Następnie wirus kopiuje się do lokalizacji C:\Users\user_name\AppData\Local\Temp\conneSvr.exe oraz co jakiś czas komunikuje się z serwerem w domenie fooofoooofooo.com. Stanowi on poważne zagrożenie dla ofiary – może spowodować, że haker będzie w stanie zdalnie łączyć się z zainfekowanym komputerem i wykradać z niego poufne informacje (np. loginy i hasła) przechowywane na dysku twardym. Co więcej, w niektórych przypadkach atakujący może przekierowywać użytkownika do różnych stron reklamowych bądź stron ze szkodliwą lub phishingową zawartością, a słabo zabezpieczony komputer może przejść pod kontrolę internetowego przestępcy. 

  • W momencie pisania tego artykułu tylko jeden program antywirusowy był w stanie wykryć szkodnika – analiza VT

Wygląda więc na to, że makro wirusy przeżywają swoją drugą młodość. Na całe szczęście Microsoft od wersji 2010 pakietu Office postanowił wziąć sprawy w swoje ręce i zadbał o nasze bezpieczeństwo wyłączając automatycznie wykonywanie makr po otworzeniu dokumentu. Funkcja ta powinna być zawsze wyłączona, nawet w prywatnych firmach i instytucjach publicznych, które jak wiadomo bardzo często przekładają wygodę i złe nawyki pracowników ponad bezpieczeństwo komputerowe. 

Aktualizacja 19.06.2015 – Odpowiedź Banku PKO BP na nasz artykuł:

Zwracam uwagę, że zagrożenie zainfekowaniem komputera dotyczy wszystkich odbiorców wiadomości, a nie tylko naszych Klientów. Do zainfekowania urządzeń, z których użytkownicy łączą się z internetem, dochodzi najczęściej w wyniku otwierania załączników do fałszywych e-maili, w których hakerzy podszywają się pod instytucje finansowe lub firmy świadczące usługi telekomunikacyjne i informują o konieczności dokonania rzekomej płatności – tytułem zapłaty za fakturę za telefon, oczekującą przesyłkę kurierską lub informują o ważnych zmianach. Wykorzystując zaufanie odbiorcy wiadomości do znanej powszechnie firmy i jego zaniepokojenie wynikające z konieczności uregulowania opłaty, czy koniecznością zapoznania się z ważnymi informacjami przestępcy skłaniają klienta do otwarcia załącznika.
 
W rzeczywistości jednak otwarcie załącznika infekuje komputer, na którym załącznik jest otwierany, groźnym wirusem, umożliwiającym kradzież poufnych danych klienta (danych do logowania do serwisu www).
 
Dlatego zawsze ostrzegamy, aby użytkownicy pod żadnym pozorem nie otwierali podejrzanych wiadomości, załączników, nie odpowiadali na takie wiadomości i nie udostępniali nikomu swoich danych osobowych, loginu i haseł do konta, kodów jednorazowych, danych dotyczących karty płatniczej – PIN-u i kodu CVV. Radzimy też, aby logując się do serwisu transakcyjnego, zawsze upewnić się, czy połączenie jest szyfrowane, sprawdzając, czy adres strony w oknie przeglądarki rozpoczyna się od https:// oraz czy na pasku u dołu lub u góry ekranu (w zależności od wykorzystywanej przeglądarki) pojawia się ikona z zamkniętą kłódką – jej obecność potwierdza, że strona jest zabezpieczona certyfikatem bezpieczeństwa, a połączenie jest szyfrowane. Po kliknięciu na kłódkę należy sprawdzić poprawność oraz aktualność certyfikatu. Należy zwrócić uwagę, że tylko połączenie poprawnego adresu oraz poprawnej treści certyfikatu gwarantuje, że strona jest legalna i można się na niej bezpiecznie logować.
 
Nawiązując do przypadku ostatnich wiadomości rozsyłanych przez oszustów zwracam uwagę, że wymieniany bank iPKO nie istnieje. Poprawne adresy Bankowości Elektronicznej PKO Banku Polskiego to np.: https://www.ipko.pl/, https://www.ipko.pl/nowe/https://www.ipkobiznes.pl/kbi, https://inteligo.pl/secure.
 
Reagujemy natychmiast na każdy sygnał o wysyłce fałszywych maili i każdy przypadek jest przez nas zgłaszany do organów ścigania oraz do międzynarodowych zespołów CERT, które zajmują się zwalczaniem przypadków naruszeń bezpieczeństwa komputerowego, jak również przeciwdziałaniem tego typu oszustwom w przyszłości.
 
Bezpieczeństwo naszych klientów jest dla nas priorytetem, dlatego w wielu miejscach opublikowaliśmy informację o zasadach bezpiecznego korzystania z serwisu:

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]