Aplikacja agreguje formularze logowania z 21 polskich banków. Problemem w tym, że aplikacja została stworzona przez cyberprzestępców i umieszczona w sklepie Google Play. Przestępcy za pośrednictwem aplikacji wyłudzają dane, a co za tym idzie pieniądze, od nieświadomych użytkowników.
Fałszywą aplikację „Bankowość uniwersalna
Polska” odkryto 20 marca br. Jak wskazują eksperci, mogła w sposób znaczący
pozbawić pieniędzy wielu nieświadomych użytkowników. W jaki sposób?
Jak wyjaśnia Lukas Stefanko, badacz
zagrożeń z ESET
Za jej pomocą użytkownik spośród aż 21
polskich banków mógł wybrać ten, w którym posiada swój rachunek bankowy.
Następnie był proszony o dane uwierzytelniające, czyli login i hasło. Te dane
były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał
miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie -
użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał
cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich
użytkowników
Jednocześnie ekspert z ESET uspokaja:
aplikacja została
pobrana nie więcej niż sto razy i usunięta z Google Play w dniu jej odkrycia.
Nadal jest jednak dostępna w tzw. drugim obiegu, czyli w nieautoryzowanych
sklepach z aplikacjami.
Jak uchronić się przed fałszywymi
aplikacjami?
- Zabezpiecz smartfon wzorem blokady, odciskiem palca lub kodem PIN.
Zadbaj o to, by osoby postronne osoby nie poznały tego zabezpieczenia.
- Dbaj o aktualizację systemu operacyjnego. W ramach aktualizacji często
dostarczane są łatki luk wykorzystywanych przez cyberprzestępców. Aktualizując
system, zwiększamy poziom zabezpieczeń.
- Pobieraj aplikacje wyłącznie z oficjalnego sklepu (Google Play, Apple
Store) i czytaj opinie użytkowników na ich temat. Jeśli są wątpliwe lub nie ma
ich zbyt wiele, to lepiej zrezygnuj z instalacji. Pamiętaj, że taki rodzaj
czujności nie zabezpiecza w 100% - zdarzały się całkiem popularne złośliwe
aplikacje z dobrymi ocenami. Stosowanie się do rady zmniejsza ryzyko infekcji,
natomiast nie wyklucza go całkowicie.
- Zachowaj czujność przy logowaniu się do swojego rachunku bankowego –
skorzystaj z dedykowanej aplikacji danego banku, sprawdź, czy jej nazwa zgadza
się z tą wskazaną na jego oficjalnej stronie. W przypadku logowania przez
przeglądarkę upewnij się, że znajdujesz się faktycznie na stronie swojego
banku, a połączenie z nim jest szyfrowane.
- Zweryfikuj uprawnienia, jakich żąda aplikacja przy instalacji – prośba
o uprawnienia, które nie są adekwatne do funkcji aplikacji, powinny wzbudzić
Twoją czujność.
Źródło wiedzy: Dagma Biuro Bezpieczeństwa
IT
Uważajcie na aplikację „Bankowość uniwersalna Polska”!
Bezpieczne regulaminy sklepów i serwisów internetowych