Kilka dni temu na stronach serwisu Cashless mogliście przeczytać o nowym rodzaju cyberataku, przed którym ostrzegł mBank. Podejrzewałem wówczas, że atak może być bardzo skuteczny. Sprawia bowiem, iż przestrzeganie podstawowej zasady bezpieczeństwa w korzystaniu z bankowości elektronicznej, czyli uważne czytanie treści SMS-a z hasłem jednorazowym autoryzującym transakcję, nie musi wystarczyć by uchronić się przed utratą pieniędzy.

Przeczytajcie także: Banki bezpieczne po cyberataku na Ukrainie

O tym, na czym polega nowy rodzaj ataku piszę w dalszej części tekstu. Teraz natomiast chciałbym zwrócić Waszą uwagę na ostrzeżenie, jakie przed chwilą znalazłem w systemie transakcyjnym Aliora. Wskazuje ono na to, że moje podejrzenia zaczynają się potwierdzać. Wnoszę to po tym, że przestępcy zaczęli wykorzystywać nową metodę przeciwko klientom kolejnej instytucji. Oto ostrzeżenie Aliora:


Jak wiecie najlepszym dotąd sposobem na to, by ustrzec się przed utratą pieniędzy z konta internetowego na rzecz cyberprzestępców, było uważne czytanie treści SMS-a z hasłem autoryzacyjnym. Jeśli nie zlecaliście żadnego przelewu, a nagle na Waszą komórkę przychodziła wiadomość, że chcecie dodać nowe konto do odbiorców zaufanych, łatwo mogliście się zorientować, że coś tu nie gra. Ale teraz to już nie wystarczy.

Początkowa faza nowego rodzaju ataku przebiega dość klasycznie. Zarażeniu złośliwym oprogramowaniem ulega komputer ofiary. Źródłem infekcji może być np. załącznik do e-maila albo strona internetowa niskiej reputacji. Następnie podczas logowania się przez ofiarę do serwisu transakcyjnego z zainfekowanego komputera cyberprzestępcy przejmują login i hasło do jej rachunku, a później sami logują się na jej konto i definiują nowego odbiorcę zaufanego z kontrolowanym przez siebie numerem rachunku.

Przeczytajcie także: GIODO zbada wideoweryfikację

W tym samym czasie ofiara widzi na ekranie fałszywą informację o zmianie formatu konta, które należy na nowo określić jako "odbiorca zdefiniowany". Natomiast na jej numer telefonu przychodzi SMS z hasłem autoryzującym transakcję, którego treść jest bardzo podobna lub wręcz tożsama z komunikatem wygenerowanym przez fałszywy serwis transakcyjny. W rzeczywistości podanie hasła oznacza dodanie rachunku przestępców jako zaufanego, dzięki czemu mogą wyprowadzić oszczędności bez wiedzy ich prawowitego właściciela. Aby ustrzec się przed utratą środków potrzebna jest wiedza, że bank nie zmienia formatu kont oraz nie wymaga sam z siebie podawania haseł jednorazowych.