eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plWiadomościTechnologieInternet › "Bankowość uniwersalna Polska" kradnie pieniądze

"Bankowość uniwersalna Polska" kradnie pieniądze

2018-04-11 11:38

"Bankowość uniwersalna Polska" kradnie pieniądze

Login i hasło © mangpor2004 - Fotolia.com

PRZEJDŹ DO GALERII ZDJĘĆ (4)

Po kilku miesiącach od głośnego ataku na użytkowników mobilnych aplikacji bankowych hakerzy uderzają ponownie. W sklepie Google Play pojawiła się agregująca dane z 21 banków apka „Bankowość uniwersalna Polska”. Program wymaga od użytkowników podania loginów i haseł do ich bankowości elektronicznej. To próba kradzieży danych i pieniędzy - ostrzega ESET.

Przeczytaj także: Fałszywe aplikacje podszywają się pod WhatsApp'a

Aplikację „Bankowość uniwersalna Polska” wykryto 20 marca br. Możliwe zatem, że zdołała ona pozbawić pieniędzy już całkiem sporą rzeszę niczego nieświadomych użytkowników. Wprawdzie przed wykryciem i usunięciem jej z zasobów Google Play została pobrana jedynie 100 razy, ale ciągle jest dostępna w tzw. drugim obiegu, a więc w nieautoryzowanych sklepach z aplikacjami. W jaki sposób wykrada dane i pieniądze?
- Za jej pomocą użytkownik spośród aż 21 polskich banków mógł wybrać ten, w którym posiada swój rachunek bankowy. Następnie był proszony o dane uwierzytelniające, czyli login i hasło. Te dane były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie - użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników – tłumaczy Lukas Stefanko, badacz zagrożeń z ESET.

W zeszłym roku zaatakowano użytkowników 14 polskich banków


Z podobnym atakiem mieliśmy do czynienia w listopadzie minionego roku. To właśnie wtedy w Google Play pojawiły złośliwe programy „CryptoMonitor” i „StorySaver”, których celem było podszywanie się pod aplikacje mobilne banków i wykradanie pieniędzy z kont użytkowników. Programy do złudzenia przypominały legalne aplikacje. Wprawdzie zagrożenia zostały dość szybko usunięte, to nie zmieniło to jednak faktu, że Polacy zdążyli je pobrać co najmniej kilka tysięcy razy.

Dodatkowo złośliwe aplikacje podsuwały swoim ofiarom fałszywe formularze logowania do rachunków bankowych, by docelowo przechwycić wprowadzane za ich pośrednictwem loginy i hasła. To jednak nie wszystko. Eksperci z firmy ESET, którzy zidentyfikowali zagrożenia, wykryli, że obie aplikacje, podobnie jak „Bankowość uniwersalna Polska”, potrafiły również przechwytywać wiadomości SMS, zawierające kody do autoryzowania transakcji online.

fot. mat. prasowe

Aplikacja Bankowość uniwersalna Polska - lista banków cz. 1

Na liście znajduje się m.in. Alior Bank

fot. mat. prasowe

Aplikacja Bankowość uniwersalna Polska - lista banków cz. 2

Aplikacja „Bankowość uniwersalna Polska” agregowała formularze logowania do 21 polskich banków


Jak uchronić się przed fałszywymi aplikacjami?


Ekspert z ESET, przypomina o kilku zasadach, które mogą uchronić użytkowników przed ewentualnymi atakami lub infekcjami, mającymi na celu wyprowadzenie pieniędzy z rachunków bankowych.
  1. Zabezpiecz smartfon wzorem blokady, odciskiem palca lub kodem PIN. Zadbaj o to, by osoby postronne osoby nie poznały tego zabezpieczenia.
  2. Dbaj o aktualizację systemu operacyjnego. W ramach aktualizacji często dostarczane są łatki luk wykorzystywanych przez cyberprzestępców. Aktualizując system, zwiększamy poziom zabezpieczeń.
  3. Pobieraj aplikacje wyłącznie z oficjalnego sklepu (Google Play, Apple Store) i czytaj opinie użytkowników na ich temat. Jeśli są wątpliwe lub nie ma ich zbyt wiele, to lepiej zrezygnuj z instalacji. Pamiętaj, że taki rodzaj czujności nie zabezpiecza w 100% - zdarzały się całkiem popularne złośliwe aplikacje z dobrymi ocenami. Stosowanie się do rady zmniejsza ryzyko infekcji, natomiast nie wyklucza go całkowicie.
  4. Zachowaj czujność przy logowaniu się do swojego rachunku bankowego – skorzystaj z dedykowanej aplikacji danego banku, sprawdź, czy jej nazwa zgadza się z tą wskazaną na jego oficjalnej stronie. W przypadku logowania przez przeglądarkę upewnij się, że znajdujesz się faktycznie na stronie swojego banku, a połączenie z nim jest szyfrowane.
  5. Zweryfikuj uprawnienia, jakich żąda aplikacja przy instalacji – prośba o uprawnienia, które nie są adekwatne do funkcji aplikacji, powinny wzbudzić Twoją czujność.

oprac. : eGospodarka.pl eGospodarka.pl

Przeczytaj także

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: