Czytelnicy AVLab mają w pamięci unijną dyrektywę dotyczącą usług płatniczych (PSD2). Jej regulacje zostały wprowadzone do polskiego porządku prawnego poprzez nowelizację ustawy o usługach płatniczych. Dzięki tym przepisom ma być szybciej, bezpieczniej i przejrzyściej. Przewiduje się jednak, że otwarta bankowość spowoduje wzrost ilości szkodliwego oprogramowania atakującego bankowość internetową i systemy płatności.

Jedną z poważniejszych i publicznych podatności zgłosili pracownicy F-Secure. Pierwsza luka CVE-2019-4203 została sklasyfikowana jako atak SSRF (Server-Side Request Forgery) i pomyślne wykonanie mogłoby umożliwić atakującemu uzyskać dostęp do systemów bankowych. Druga luka CVE-2019-4202 dotyczy zdalnego wykonania kodu (Remote Code Execution) i znajduje się w interfejsie REST API. Organizacje zazwyczaj blokują żądania REST API z otwartego internetu na przykład za pomocą zapory. Wykorzystując wspomnianą wcześniej lukę CVE-2019-4202 atakujący może dotrzeć do podatnego na atak API REST z Internetu. Dzięki pomyślnemu wykorzystaniu obu luk możliwe jest zdalne wykonanie poleceń z uprawnieniami roota w systemie bankowym/płatniczym.

Banki z pewnością wiedzą już o wspomnianych lukach. Eksperci zalecają, aby systemy płatnicze wykorzystywały wyłącznie szyfrowane połączenia TLS (TLS może odbierać połączenia również w postaci nieszyfrowanej). Zmniejsza to ryzyko wykonania zdalnego kodu. Dodatkowo liczne luki w protokołach szyfrowania TLS powinny zmusić szczególnie instytucje bankowe do używania wyłącznie najnowszych wersji protokołów.

Pomysłowość cyberprzestępców zawsze wyprzedzała o krok nawet najlepsze zabezpieczenia. Po co próbować zhackować bank, skoro można zadzwonić do klienta końcowego o poprosić do dostęp?

Oszuści mogą udawać pracowników banków i powołują się na dyrektywę PSD2, prosić o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Oprogramowanie takie ma pozornie służyć autoryzacji transakcji, a tak naprawdę może wyłudzać dane logowania i kody autoryzacyjne.

PSD2 - oszuści podszywają się pod pracowników banków
Oszuści podszywają się pod pracowników banków i proszą o udostępnienie loginów i haseł oraz kodów autoryzacyjnych.

Uważaj!

Jeśli uruchomisz załącznik takiej fałszywej wiadomości,  prawdopodobnie zainstalujesz na swoim urządzeniu złośliwe oprogramowanie. Oprogramowanie to pozwoli przestępcom zdobyć poufne dane logowania do bankowości elektronicznej oraz autoryzacji transakcji. W ten sposób oszuści mogą przejąć kontrolę nad Twoim rachunkiem.

Pamiętaj!

  1. Bank nie prosi o instalację żadnego dodatkowego oprogramowania w związku z wejściem w życie dyrektywy PSD2.
  2. Nie otwieraj załączników z niepewnych źródeł i nie klikaj w podejrzane linki.
  3. Bank nigdy nie wymaga podania kodu jednorazowego w trakcie rozmowy telefonicznej nawiązanej przez pracownika Banku, chyba że kontakt telefoniczny następuje z Twojej inicjatywy.
  4. Podanie kodu z narzędzia autoryzacyjnego jest niezbędne wyłącznie do zatwierdzenia zleconej przez Ciebie dyspozycji, np. zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, zdefiniowania płatności, zlecenia stałego i przeglądania historii.

Jeśli odbierzesz podejrzany telefon od osoby podającej się za pracownika banku i masz wątpliwości, czy powinieneś podawać dane, skontaktuj się z nami. Jeśli Twoje podejrzenia wzbudzi jakakolwiek inna sytuacja w czasie korzystania z aplikacji mobilnej lub serwisu transakcyjnego – również  prosimy o informację.

W przypadku skorzystania z linku zawartego w otrzymanej wiadomości i podania jakichkolwiek danych na stronie internetowej przypominającej serwis iPKO lub jakichkolwiek pytań lub wątpliwości dotyczących korzystania z bankowości elektronicznej lub mobilnej, prosimy – skontaktuj się telefonicznie z konsultantem pod numerem 800 302 302 (brak opłat dla numerów krajowych na terenie kraju, w pozostałych przypadkach – opłata zgodna z taryfą operatora) lub +48 81 535 60 60 (do połączeń z zagranicy i z telefonów komórkowych; opłata zgodna z taryfą operatora).

Więcej informacji (dobrze wytłumaczonych!) o dyrektywnie PSD2 na stronie Banku Millenium.

AUTOR:

Adrian Ścibor

Podziel się

Dodaj komentarz