Uwaga na nowy typ oszustwa: cyberprzestępcy podszywają się pod bank i w przebiegły sposób, m. in. dzięki technologii NFC przejmują dostęp do konta lub wypłacają środki, jak w Czechach gdzie ofiary traciły po kilka tysięcy euro. Eksperci przestrzegają przed podejrzanymi wiadomościami lub telefonami, które inicjują próbę oszustwa.
Niespodziewany SMS? Trzeba być czujnym
W przestrzeni internetu i telekomunikacji nietrudno napotkać na próby wyłudzenia danych czy pieniędzy z kont bankowych. Kradzieże tożsamości, danych z kart płatniczych, fałszywe linki w zakupach online na różnych platformach czy oszustwa typu SIM swap – kreatywność cyberprzestępców może zadziwiać. Na najbardziej popularne schematy oszustw staliśmy się wyczuleni. Tymczasem branża cyberprzestępczości stale się rozwija, atakując zarówno przedsiębiorstwa, jak i osoby prywatne.
Jedna z nowszych metod nazywana jest NGate i oparta jest na odkryciu studentów Uniwersytetu Technicznego w Darmstadt, którzy nauczyli się przechwytywać i przekierowywać sygnał NFC z urządzeń. Niestety, rozwiązanie to dostało się w niepowołane ręce i jeszcze w grudniu 2023 roku oszuści opracowali plan i rozpoczęli regularne działanie w Czechach.
Jak w praktyce wygląda nowy mechanizm? Zazwyczaj zaczyna się od klasycznego phishingu, na przykład SMS-a z fałszywą informacją o zwrocie lub nadpłacie podatku. Aby go otrzymać, należy wejść w podany w wiadomości link prowadzący do rzekomej zaktualizowanej aplikacji bankowej, pobrać ją i zainstalować. W rzeczywistości jest to łudząco podobna kopia aplikacji bankowej, jednak zawierająca malware, czyli złośliwe oprogramowanie.
– Pobranie i instalacja fałszywej aplikacji rozpoczyna ciąg zdarzeń, przypominający domino. Gdy ofiara wprowadzi w złośliwej aplikacji bankowej swoje dane uwierzytelniające, atakujący uzyskuje dostęp do jej konta. Następnie atakujący dzwoni do ofiary, podszywając się pod pracownika banku. Celem kontaktu jest poinformowanie, że konto w banku zostało przejęte, co jest de facto prawdą, ale… zakomunikowaną przez oszusta. Łatwo dać się nabrać, bo w rzeczywistości nie oczekujemy, że zostaniemy oszukani i to dwukrotnie. Aby rzekomo „chronić” swoje środki, ofiara jest proszona o zmianę kodu PIN i zweryfikowanie swojej karty bankowej za pomocą nowo proponowanej aplikacji na telefonie – NGate. Fałszywa aplikacja nakłania ofiary do wprowadzenia wrażliwych informacji, takich jak identyfikator klienta banku, data urodzenia oraz wspomniany kod PIN, a następnie przyłożenie karty płatniczej do smartfonu – opisuje mechanizm Kamil Sadkowski, analityk laboratorium antywirusowego ESET.
NFC – nowy element, który budzi grozę
Kluczowym elementem oszustwa jest nakłonienie użytkownika do upewnienia się, że NFC jest aktywne. Wykorzystanie akurat tej funkcji w próbie oszustwa nie dziwi. Po pierwsze smartfony w większości wyposażone są w moduł NFC niezbędny do płatności zbliżeniowych telefonem czy smartwatchem. Po drugie, jak się okazuje, Polacy uwielbiają transakcje mobilne i ich udział wśród całości transakcji zbliżeniowych sukcesywnie rośnie. W II kwartale ubiegłego roku wynosił 16,4 %, podczas gdy w analogicznym okresie roku 2022 – ponad 13,3% a przykładowo w 2021 – zaledwie 8,7%.
– Gdy zainfekowane urządzenie z uruchomionym modułem NFC zostanie zbliżone do karty płatniczej (a o to przecież poproszą oszuści w celu rzekomego zabezpieczenia konta bankowego ofiary), komunikacja z kartą zostaje przechwycona przez urządzenie i przekierowana do oszustów, którzy używając własnego urządzenia z systemem Android są w stanie sklonować kartę. To oznacza, że w praktyce bezproblemowo wypłacą gotówkę z bankomatu, a posiadając dostęp do konta ofiary w banku, mogą dowolnie zmieniać limity wypłat gotówki – tłumaczy Kamil Sadkowski, ekspert ESET.
Według wiedzy specjalistów ESET, zidentyfikowano sześć różnych aplikacji NGate, których celem byli klienci trzech banków w Czechach w okresie od listopada 2023 r. do marca 2024 r.
Czeska policja sukcesywnie walczy z cyberprzestępcami. Przełomowym wydarzeniem było zatrzymanie 22-latka, który wypłacał pieniądze z bankomatów w Pradze. W momencie aresztowania podejrzany posiadał 160 000 koron czeskich, co stanowi równowartość ponad 6000 euro (około 6500 USD). Czeska policja donosi, że pieniądze odzyskane od podejrzanego zostały skradzione tylko od trzech ostatnich ofiar, więc jest prawdopodobne, że skala oszustw jest znacznie wyższa.
Kluczowe jest zachowanie czujności na co dzień i przyjęcie zasady niepodawania absolutnie nikomu (nawet podającym się za pracownika banku) żadnych danych związanych z bankowością, jak login, hasło, PIN do kart płatniczych. Ponadto, pobieranie jedynie oryginalnych, cieszących się dużą popularnością i dobrymi opiniami aplikacji wyłącznie z oficjalnych źródeł, takich jak sklep Google Play, powinno na stałe znaleźć się wśród najważniejszych zasad bezpiecznego korzystania ze smartfona.