Już nie wpisanie numeru karty płatniczej czy udostępnienie kodu Blik. Teraz oszuści mają nowy, pomysłowy sposób.
Przed zagrożeniem przestrzega CSIRT KNF. Zaczyna się klasycznie. Ofiara otrzymuje SMS-a, w którym namawiana jest do zainstalowania rzekomo nowej aplikacji bankowej PKO BP. Teoretycznie już na tym etapie większość zda sobie sprawę, iż coś jest nie tak, bo przecież aplikację ma, ale niektórych może przekonać zwykłe polecenie. Skoro bank prosi i reklamuje nowość, to tak trzeba zrobić. Łatwowierność potencjalnych ofiar niestety nierzadko ułatwia pracę cyberprzestępcom.
Do tej pory mamy do czynienia z klasycznym oszustwem. Tyle iż dalej oszuści nie wymagają podania danych karty płatniczej, kodu Blik, PESEL-u czy hasła do internetowej bankowości, jak w wielu innych internetowych przekrętach. Aby aktywować rzekome konto, użytkownik musi w celu weryfikacji przyłożyć kartę do tylnej strony telefonu.
Może to skutkować kradzieżą środków – przestrzega CSIRT KNF
To nie pierwszy raz, kiedy w ten sposób oszuści próbują wyłudzić dane. Podobna fala próbowała zalać telefony Polaków na początku roku. Specjaliści z CERT Orange Polska uspokajali wówczas, iż „zaimplementowany atak NFC Relay jest skomplikowany w odniesieniu do potencjalnych korzyści”.
Wymaga on skłonienia ofiary do zainstalowania aplikacji a’la bankowej wprost z Internetu (co wzbudza kilka ostrzeżeń), zbliżenia karty i podania PINu. A ze strony atakującego – cierpliwego oczekiwania przy bankomacie, który obsługuje operacje via NFC (w Polsce to na razie jest awangarda bankomatowa) – wyjaśniono.
Komuś to jednak się opłaca, skoro podobne próby znowu są podejmowane. Być może złodzieje działający właśnie tak liczą na efekt nowości i fakt, iż jeszcze nie wszyscy są świadomi zagrożenia. Niektórzy mogą pamiętać, by nie podawać hasła czy innych poufnych danych, ale już przyłożenie karty do telefonu nie wzbudzi ich podejrzeń.
Uwaga! Ostrzegamy przed fałszywą aplikacją podszywającą się pod @PKOBP.
Aplikacja po uruchomieniu próbuje nakłonić potencjalną ofiarę do fałszywego procesu weryfikacji poprzez przyłożenie karty płatniczej do interfejsu NFC w urządzeniu mobilnym.
Nie dajcie się okraść i… pic.twitter.com/DK41ELviWd
Jak się chronić? Przede wszystkim dokładnie sprawdzać, kto do nas pisze i czego chce. jeżeli nagle dostajemy nietypową propozycję, np. w postaci obietnicy aktywowania nowego i lepszego konta, powinniśmy jak najprędzej zweryfikować tę propozycję, kontaktując się bezpośrednio z bankiem. Unikajmy klikania w podstawione linki, bo w nich czaić może się właśnie złośliwe oprogramowanie.
Czytaj inne nasze teksty ostrzegające przed oszustwami internetowymi:
