partner serwisu

Ataki phishingowe na klientów mBank i iPKO - co to jest phishing i jak nie dać się okraść

Ataki phishingowe na klientów mBank i iPKO - co to jest phishing i jak nie dać się okraść
Autor:
Krzysztof Pojawa
Data publikacji:
24 marca 2015, 00:28
Średnia ocena:
Twoja ocena:
Tagi:
atak, bank, bank internetowy, bankowość internetowa, cyberatak, cyberprzestępcy, ipko, logowanie do banku, mbank, phishing, phishing co to, wyłudzenie danych

W ostatnich godzinach miały miejsce dwa ataki phishingowe na klientów dużych polskich banków internetowych - mBank oraz iPKO. W obu próbach, przeprowadzonych najprawdopodobniej przez tę samą grupę cyberprzestępców, wykorzystano dość prymitywną metodę polegającą na przekierowaniu użytkowników na fałszywe strony internetowe banków za pomocą linka w mailu informującym o otrzymaniu ważnej wiadomości, do przeczytania której niezbędne jest zalogowanie się do serwisu transakcyjnego.
W naszym artykule opisujemy wykorzystany przez przestępców mechanizm oszustwa, tłumaczymy także, co to jest phishing i jak nie dać się okraść.

Jako pierwsza przeprowadzona została próba ataku na klientów mBanku. Mail, którego otrzymała również nasza redakcja wyglądał następująco.

Phishing

Na liście wiadomości otrzymanych jako nadawca maila wskazany jest mBank, natomiast wystarczy spojrzeć na faktyczny adres, spod którego wiadomość została wysłana. Wątpimy, żeby bank wysyłał swoje wiadomości z takiego adresu.

Wiadomość skierowaną do klientów iPKO otrzymaliśmy około sześć godzin później. Wyglądała ona bardzo podobnie do poprzedniej, inny był jednak adres nadawcy.

Phishing

Po kliknięciu w linki zawarte w obu mailach przenoszeni jesteśmy na fałszywą stronę logowania odpowiednio mBanku oraz iPKO. Fałszywki zostały przygotowane naprawdę nieźle, wystarczy porównać je z oryginalnymi witrynami obu banków. 

Tak prezentuje się strona mBanku w wydaniu cyberprzestępców.

Phishing

A tak - witryna tego samego banku, ale w prawdziwej, godnej zaufania odsłonie.

Phishing

Podobnie sytuacja wygląda w przypadku iPKO. Fałszywa strona wygląda tak.

Phishing

A prawdziwa - tak.

Phishing

Wygląd wyglądem, ale najważniejsza różnica kryje się w pasku adresu. Po pierwsze, warto zwrócić uwagę na przedrostek adresu, określający wykorzystywany protokół transmisji danych. Serwisy transakcyjne banków wykorzystują szyfrowany protokół https, natomiast większość fałszywych, wyłudzających dane witryn korzysta z nieszyfrowanego protokołu http. Jeśli więc zostaliście przekierowani na stronę korzystającą z protokołu http, możecie być praktycznie pewni, że nie jest to prawdziwa witryna banku. Po drugie, w przypadku fałszywego serwisu transakcyjnegostroną, na którą zostaniecie przekierowani nie będzie na pewno ani mbank.pl, ani też ipko.pl. I tak jest właśnie w opisywanym przypadku - zawarte w mailach linki prowadzą początkowo na stronę cricketresultscentre.com, z której następuje przekierowanie do odpowiedniej podstrony w domenie ksvideo.com.ua.

Co następuje później? O ile na tym etapie użytkownik zorientuje się, że pada ofiarą oszustwa i próby wyłudzenia, i zamknie wyświetloną stronę, to nie stanie się zupełnie nic. Celem ataku phishingowego jest wprowadzenie użytkownika w błąd, w tym przypadku poprzez podstawienie fałszywej strony internetowej udającej witrynę banku, a następnie wyłudzenie danych - zazwyczaj, tak jest i tym razem, będą to dane logowania do serwisu transakcyjnego i kody sms do zatwierdzania operacji na rachunku.

Jeżeli więc w wyświetlonym formularzu nic nie wpiszemy, tylko zamkniemy kartę przeglądarki, to jesteśmy bezpieczni. Gorzej jednak, kiedy damy się nabrać i postanowimy zalogować się do systemu bankowego, żeby zapoznać się z tą ważną informacją  od rzekomego banku.

Co stanie się wtedy? Sprawdźmy. W formularzu logowania podaliśmy fałszywy identyfikator klienta i przygotowane specjalnie na potrzeby tego testu hasło. Ułożyliśmy je korzystając z naszego poradnika, w którym tłumaczymy, jak stworzyć silne hasło. 

Phishing

Następny ekran - formularz, w którym musimy podać kod sms, służący do zatwierdzania operacji. 

Phishing

Analogiczna sytuacja ma miejsce w przypadku fałszywej witryny iPKO, tu jednak musimy wprowadzić nasz numer telefonu i dwa kody sms.

Phishing

Co stanie się, kiedy wprowadzimy kod? W trakcie testów fałszywy system zachował się tak, jak się spodziewaliśmy - poinformował nas, że podany kod (oczywiście wymyśliliśmy go) jest nieprawidłowy i poprosił, żebyśmy wprowadzili go jeszcze raz.

Czym jednak mogłoby grozić, gdybyśmy dali się nabrać i wszystkie dane wprowadzili poprawnie? Wszystko wskazuje na to, że zostalibyśmy bez pieniędzy. Żądanie wprowadzenia kodu sms (który otrzymujemy dopiero wtedy, kiedy należy zatwierdzić wykonywaną właśnie operację) sugeruje, iż po otrzymaniu naszych danych logowania przestępcy wykorzystują je praktycznie na żywo, uzyskując dostęp do naszego rachunku, a następnie - najprawdopodobniej cały mechanizm działa automatycznie, przy wykorzystaniu specjalnie przygotowanego oprogramowania - zlecają wykonanie przelewu naszych pieniędzy na rachunek osoby trzeciej (swoją drogą, często zupełnie nieświadomej faktu, że właśnie bierze udział w przestępstwie). W tym właśnie momencie otrzymujemy sms z kodem zatwierdzającym transakcję i przepisujemy go do formularza. Zaraz potem przestępcy wykorzystują go do zatwierdzenia zleconego przelewu, a my - jeszcze o tym nie wiedząc - żegnamy się ze swoimi pieniędzmi.

Przedstawiony mechanizm jest z jednej strony bardzo prosty i ciężko jest uwierzyć, że ktokolwiek daje się na niego nabrać. Z drugiej zaś - wciąż wielu użytkowników nie jest świadomych tego typu zagrożeń i łatwo daje się nabrać nawet na tak, wydawało by się, prymitywne oszustwo. Co więcej, zaprezentowane przez nas maile wysyłane są przez przestępców masowo, do wieluset, a nawet wielu tysięcy odbiorców jednocześnie. Więc jeśli użytkowników, którzy dadzą się podejść, będzie stosunkowo niewielu, to i tak ukradzione kwoty mogą iść w dziesiątki tysięcy złotych. 

Jak więc nie dać się okraść? Wystarczy pamiętać o kilku ważnych zasadach:

  • kiedy wchodzicie na stronę internetową banku, zawsze sprawdzajcie, czy adres strony wygląda tak, jak powinien. Jeśli w pasku adresu zobaczycie zamiast mbank.pl np. ksvideo.com.ua, natychmiast zamknijcie kartę przeglądarki.
  • dokładnie to samo należy zrobić, kiedy adres strony nie zaczyna się przedrostkiem https i kiedy nie zobaczycie przy nim symbolu zielonej kłódki.
  • praktycznie żaden bank nie żąda podania kodu sms ani kodu jednorazowego na etapie logowania do serwisu transakcyjnego, kody służą wyłącznie do zatwierdzania operacji na rachunku! Jeśli więc jesteście proszeni o podanie kodu, a nie zlecaliście żadnej transakcji, natychmiast opuśćcie odwiedzaną witrynę.
  • wiadomość sms oprócz kodu zawierać też powinna krótki opis zatwierdzanej transakcji. Jeśli dostaniecie taką wiadomość, upewnijcie się, że rzeczywiście zlecaliście transakcję, która została opisana w wiadomości. Jeśli nie - nie wprowadzajcie nigdzie otrzymanego kodu.
  • czytajcie dokładnie otrzymane wiadomości i treści w witrynach, do których prowadziły linki w mailach. Jeśli macie jakiekolwiek wątpliwości, co do prawdziwości otrzymanych informacji (wskazówką może być tutaj niegramatyczna konstrukcja zdań, błędy ortograficzne czy brak ogonków w polskich znakach diakrytycznych), nie klikajcie w żadne linki i nie podawajcie żadnych informacji w formularzach.
  • wchodząc na stronę banku najlepiej jest jego adres wpisać samemu, nawet jeśli w mailu otrzymaliście link, w który wystarczy kliknąć. Wpisanie adresu w polu przeglądarki to nie więcej, niż kilka sekund, warto więc poświecić ten czas, żeby mieć pewność, że odwiedzacie prawdziwą witrynę Waszego banku, a nie jej przygotowaną przez przestępców imitację, której jedynym celem jest wyłudzenie od Was danych i okradzenie Was z pieniędzy.
m.kurianski
2015.03.24, 23:19
Chyba najlepszym sprawdzeniem przed każdorazowym zalogowaniem się do banku jest kliknięcie w kłódkę pasku adresu i sprawdzenie certyfikatu z podpisem wystawcy i DATĄ WAŻNOŚCI. To sprawdzenie certyfikatu i daty ważności powinno dla każdego internauty korzystającego z usług bankowych stać się nawykiem.
2015.03.25, 13:27
Wystarczy, żeby bank zastosował system antyphishingowy. W na przykład Aliorze, po wpisaniu numeru klienta wyświetla się wybrany przez użytkownika obrazek.

A swoją drogą to wystarczy zdrowy rozsądek i unikanie klikania, gdzie popadnie. Ponadto każdy dobry bank informuje o tym, że nie wysyła nigdy maili z prośbami o logowanie, podanie haseł, etc.
Edytowane przez autora (2015.03.25, 13:30)
2015.03.25, 15:58
Ja korzystam z nieco innego sposobu - mam zapisane hasło w przeglądarce, jak wejdę w stronę phisingowa jego nie będzie :) keylogger też nie zadziała :)
2015.03.26, 08:50
pitrala1 @ 2015.03.25 15:58
Ja korzystam z nieco innego sposobu - mam zapisane hasło w przeglądarce, jak wejdę w stronę phisingowa jego nie będzie :) keylogger też nie zadziała :)

Hasło do banku w przeglądarce??? Nie chwal się tym :)
2015.03.26, 16:41
Wystarczy 1 prosta jak drut sztuczka. Zrobić sobie zakładkę, albo po prostu skrót na pulpicie i wchodzić na stronę banku tylko przez niego. Wtedy trzeba by zmienić adres wpisany w skrót albo zakładkę, aby dokonać ataku. A to więcej roboty, niż tylko oszukać idiotów. Naprawdę trzeba coś umieć - wymaga to włamania na PC.
takon
2015.03.30, 07:42
'W trakcie testów fałszywy system zachował się tak, jak się spodziewaliśmy - poinformował nas, że podany kod (oczywiście wymyśliliśmy go) jest nieprawidłowy i poprosił, żebyśmy wprowadzili go jeszcze raz.' Czyli system przestępców ma PRAWDZIWE kody do porównań. Czyżby banki grzecznościowo im udostępniły?
peterka100
2015.03.30, 10:03
pitrala1 @ 2015.03.25 15:58
Ja korzystam z nieco innego sposobu - mam zapisane hasło w przeglądarce, jak wejdę w stronę phisingowa jego nie będzie :) keylogger też nie zadziała :)

A a mam po prostu TOKENa i reszta mi wisi
Dixi
2015.03.30, 21:24
pitrala1 @ 2015.03.25 15:58
Ja korzystam z nieco innego sposobu - mam zapisane hasło w przeglądarce, jak wejdę w stronę phisingowa jego nie będzie :) keylogger też nie zadziała :)

To ułatwia sprawę, ale jak ktoś ukradnie ci kompa to zaloguje sietak samo jak Ty. Ja nie zapisuję ważnych haseł w przeglądarce właśnie z tego powodu
2015.03.30, 23:56
takon @ 2015.03.30 07:42
'W trakcie testów fałszywy system zachował się tak, jak się spodziewaliśmy - poinformował nas, że podany kod (oczywiście wymyśliliśmy go) jest nieprawidłowy i poprosił, żebyśmy wprowadzili go jeszcze raz.' Czyli system przestępców ma PRAWDZIWE kody do porównań. Czyżby banki grzecznościowo im udostępniły?

Ależ skąd. Możliwości jest kilka, ale najbardziej prawdopodobną wersją jest ta, w której system przestępców - jak wspomnieliśmy w tekście - próbuje dokonać logowania na nasze konto na żywo. I to, co wyświetla nam na ekranie uzależnione jest od tego, czy mu się zalogować uda czy też nie. Jeśli nie, jeśli dostanie od banku informację, że został wprowadzony zły kod, to i nam pisze to samo i oczekuje, że w końcu wprowadzimy poprawny i zalogowanie będzie możliwe.