Uwaga na osoby podszywające się przez telefon pod pracowników banków

17 lutego, 2020

Czytelnicy AVLab mają w pamięci unijną dyrektywę dotyczącą usług płatniczych (PSD2). Jej regulacje zostały wprowadzone do polskiego porządku prawnego poprzez nowelizację ustawy o usługach płatniczych. Dzięki tym przepisom ma być szybciej, bezpieczniej i przejrzyściej. Przewiduje się jednak, że otwarta bankowość spowoduje wzrost ilości szkodliwego oprogramowania atakującego bankowość internetową i systemy płatności.

Jedną z poważniejszych i publicznych podatności zgłosili pracownicy F-Secure. Pierwsza luka CVE-2019-4203 została sklasyfikowana jako atak SSRF (Server-Side Request Forgery) i pomyślne wykonanie mogłoby umożliwić atakującemu uzyskać dostęp do systemów bankowych. Druga luka CVE-2019-4202 dotyczy zdalnego wykonania kodu (Remote Code Execution) i znajduje się w interfejsie REST API. Organizacje zazwyczaj blokują żądania REST API z otwartego internetu na przykład za pomocą zapory. Wykorzystując wspomnianą wcześniej lukę CVE-2019-4202 atakujący może dotrzeć do podatnego na atak API REST z Internetu. Dzięki pomyślnemu wykorzystaniu obu luk możliwe jest zdalne wykonanie poleceń z uprawnieniami roota w systemie bankowym/płatniczym.

Banki z pewnością wiedzą już o wspomnianych lukach. Eksperci zalecają, aby systemy płatnicze wykorzystywały wyłącznie szyfrowane połączenia TLS (TLS może odbierać połączenia również w postaci nieszyfrowanej). Zmniejsza to ryzyko wykonania zdalnego kodu. Dodatkowo liczne luki w protokołach szyfrowania TLS powinny zmusić szczególnie instytucje bankowe do używania wyłącznie najnowszych wersji protokołów.

Pomysłowość cyberprzestępców zawsze wyprzedzała o krok nawet najlepsze zabezpieczenia. Po co próbować zhackować bank, skoro można zadzwonić do klienta końcowego o poprosić do dostęp?

Oszuści mogą udawać pracowników banków i powołują się na dyrektywę PSD2, prosić o zainstalowanie dodatkowego oprogramowania, które prześlą mailem. Oprogramowanie takie ma pozornie służyć autoryzacji transakcji, a tak naprawdę może wyłudzać dane logowania i kody autoryzacyjne.

PSD2 - oszuści podszywają się pod pracowników banków

Uważaj!

Jeśli uruchomisz załącznik takiej fałszywej wiadomości,  prawdopodobnie zainstalujesz na swoim urządzeniu złośliwe oprogramowanie. Oprogramowanie to pozwoli przestępcom zdobyć poufne dane logowania do bankowości elektronicznej oraz autoryzacji transakcji. W ten sposób oszuści mogą przejąć kontrolę nad Twoim rachunkiem.

Pamiętaj!

  1. Bank nie prosi o instalację żadnego dodatkowego oprogramowania w związku z wejściem w życie dyrektywy PSD2.
  2. Nie otwieraj załączników z niepewnych źródeł i nie klikaj w podejrzane linki.
  3. Bank nigdy nie wymaga podania kodu jednorazowego w trakcie rozmowy telefonicznej nawiązanej przez pracownika Banku, chyba że kontakt telefoniczny następuje z Twojej inicjatywy.
  4. Podanie kodu z narzędzia autoryzacyjnego jest niezbędne wyłącznie do zatwierdzenia zleconej przez Ciebie dyspozycji, np. zlecenia przelewu, założenia lokaty, zmiany danych korespondencyjnych, zdefiniowania płatności, zlecenia stałego i przeglądania historii.

Jeśli odbierzesz podejrzany telefon od osoby podającej się za pracownika banku i masz wątpliwości, czy powinieneś podawać dane, skontaktuj się z nami. Jeśli Twoje podejrzenia wzbudzi jakakolwiek inna sytuacja w czasie korzystania z aplikacji mobilnej lub serwisu transakcyjnego – również  prosimy o informację.

W przypadku skorzystania z linku zawartego w otrzymanej wiadomości i podania jakichkolwiek danych na stronie internetowej przypominającej serwis iPKO lub jakichkolwiek pytań lub wątpliwości dotyczących korzystania z bankowości elektronicznej lub mobilnej, prosimy – skontaktuj się telefonicznie z konsultantem pod numerem 800 302 302 (brak opłat dla numerów krajowych na terenie kraju, w pozostałych przypadkach – opłata zgodna z taryfą operatora) lub +48 81 535 60 60 (do połączeń z zagranicy i z telefonów komórkowych; opłata zgodna z taryfą operatora).

Więcej informacji (dobrze wytłumaczonych!) o dyrektywnie PSD2 na stronie Banku Millenium.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]