Aktualizacja danych w serwisie bankowym – analiza najnowszego ataku socjotechnicznego

Kolejny raz samo życie nakreśliło temat rozważań w zakresie związanym z szeroko rozumianym bezpieczeństwem informacji. Otóż na internautów korzystających z bankowości elektronicznej (tym razem dostarczanej przez BANK PEKAO S.A.) czyha nowe zagrożenie w postaci szeroko dystrybuowanej wiadomości e-mail, w której dokonujący ataku przekonują o konieczności zaktualizowania swoich danych w bankowości online. Z analizy sposobu rozsyłania wiadomości wynika, że sprawcy przyjęli zasadę „im więcej tym lepiej”, rozsyłając ją do często przypadkowych, nieposiadających konta w BANKU PEKAO S.A., osób.

Rzecz jasna celem ataku jest dotarcie do klientów banku, stąd też wiadomość (przynajmniej z założenia sprawców) powinna do złudzenia przypominać wiadomość wysyłaną z banku. Zwróćmy jednak uwagę na pewne charakterystyczne nieścisłości oraz błędy, które w każdym przypadku powinny stanowić alert dla odbiorcy maila.

Rys. 1

Źródło:  opracowanie własne Autora

Pierwszą ciekawostką jest adres e-mail, z którego przesłano wiadomość. Jak nietrudno zgadnąć, adres: jbarber9@binghamton.edu nie należy do banku. Jednak znajdująca się przed adresem nazwa banku ma zmylić pobieżnie przeglądające skrzynkę pocztową ofiary. Warto zatem zwracać uwagę na adres poczty elektronicznej nadawcy wiadomości, gdyż w wielu przypadkach już na tym etapie można wykryć atak.

Kolejnym elementem dosyć charakterystycznym dla przygotowywanego poza Polską phishingu, są błędy językowe. Należy pamiętać, że wszelka prawdziwa korespondencja kierowana do klientów przez banki, co do zasady nie powinna zawierać żadnych błędów stylistycznych i gramatycznych. Natomiast wiadomości produkowane przez osoby niewładające językiem polskim bardzo często zawierają szereg błędów, bądź wyrażenia w potocznym języku. Zaobserwowanie w jakiejkolwiek korespondencji otrzymanej z banku ww. błędów, powinno stać się dla nas sygnałem, iż najpewniej zetknęliśmy się ze spreparowaną przez autorów ataku wiadomością. Rysunek 1 przedstawia liczne „nietypowe” sformułowania np. „Nieuprawnionej osoby nie może odszyfrować lub zmian tej informacji”, bądź „(…) przez członka naszego Klienta usług Przedstawicieli, aby zakończyć proces aktualizacji” (zapewne sprawcy posługiwali się niezbyt dokładnym translatorem). Co ciekawe, w przesłanej wiadomości brak jest personaliów jej autora, co jest rzadkością w przypadku korespondencji bankowej.

Autorzy ataku w e-mailu umieścili link do strony, za pośrednictwem której klient może zaktualizować swoje dane. Przyjrzyjmy się bliżej tejże stronie.

Rys. 2

Źródło:  opracowanie własne Autora

W pierwszej kolejności zwróćmy uwagę na adres URL strony, do której odsyła link.  Rzecz jasna nie jest to strona BANKU PEKAO SA. Ponadto witryna nie została zabezpieczona szyfrowanym protokołem https.  Zatem kolejną rzeczą, na którą należy zwrócić uwagę przy analizie strony internetowej, przy pomocy której logujemy się do jakiegokolwiek spersonalizowanego konta (np. bankowości elektronicznej, ale także poczty e-mail), powinien być jej adres oraz rodzaj użytego protokołu. W każdym przypadku logowanie do bankowości online odbywa się z udziałem protokołu https, przy czym dla pewności należy zbadać również informacje o dostawcy certyfikatu SSL witryny. W razie najmniejszych nawet wątpliwości co do właściciela strony, bądź sposobu szyfrowania przesyłanych danych, należy odstąpić od wprowadzania informacji.

Autorzy ataku zbudowali stronę dosyć podobną do oryginalnej, jednak nie zadali sobie trudu, aby aktywować wszystkie opcje. Przykładowo zawarte po lewej stornie przyciski Informacje ogólne, Załóż konto, Aktywuj Pekao24, po ich kliknięciu nie przenoszą do innych stron.

Przyjrzyjmy się zatem prawdziwej stronie banku.

Rys. 3

Źródło:  opracowanie własne Autora

Zwróćmy uwagę na podobieństwa, ale przede wszystkim na różnice. W analizowanym przypadku prawdziwa strona banku jest rzecz jasna prawidłowo szyfrowana.  Jak widać atakujący starali się zachować szatę graficzną wykorzystywaną przez bank. Jednak spreparowana strona nie jest lustrzanym odbiciem oryginału. Świadczy to o niedokładnym przygotowaniu ataku, bądź o niewystarczających środkach bądź umiejętnościach. Niestety coraz częściej twórcy phishingu, produkują witryny łudząco podobne do podrabianych stron, kopiując je niemalże w 100%. W takim przypadku wczesne wykrycie podstępu bywa znacznie utrudnione.

Oczywistym celem analizowanego ataku było pozyskanie danych klientów banku używanych do logowania do bankowości elektronicznej. Osoba nieświadoma zagrożeń, po wprowadzeniu swojego numeru ID oraz hasła, może stać się ofiarą kradzieży zgromadzonych na koncie środków.  Ponadto coraz częściej celem przestępców jest pozyskanie dodatkowych danych o swojej ofierze, w celu tzw. kradzieży tożsamości, na potrzeby popełniania dalszych przestępstw zwłaszcza wyłudzeń (nie tylko wirtualnych).  Jak widać na rys. 3, bank świadomy zagrożeń czyhających na swoich klientów, zwraca uwagę na zagrożenia płynące z ataków socjotechnicznych. Należy przy tym podkreślić, że żaden bank nie wysyła do swoich klientów wiadomości e-mail z prośbą o podanie danych używanych do logowania. W żadnym razie zatem nie wolno reagować na otrzymaną korespondencję zawierającą taką prośbę, zaś o sprawie należy poinformować bank.

Miejmy nadzieję, że tym razem żadna osoba nie zostanie oszukana. Tym niemniej w celu ustrzeżenia się przed tego typu zagrożeniami, warto poznać podstawowe rodzaje ataków socjotechnicznych oraz mechanizmy wykorzystywane przez sprawców. Świadomi znaczenia tego niebezpieczeństwa, niedawno zamieściliśmy odrębną publikację na ten temat, osoby zainteresowane zapraszamy do lektury artykułu dostępnego w naszym Portalu (link do strony: https://e-ochronadanych.pl/aktualnosci.php?news_id=2459  ).

Autor: Marcin Cwener

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.