Pojawiła się nowe wersja Trojana Zeus/Zbot, w której wprowadzono mechanizm pozwalający na wykonanie ataku na Klientów bankowości internetowej, którzy korzystają z kodów do autoryzacji transakcji przesyłanych SMS-em. Atak został nazwany Man-in-the-Mobile.
Trojan korzysta z istniejącego już mechanizmu pozyskania użytkownika i hasła do bankowości internetowej.
Atak został uzupełniony o działania socjotechniczne wykorzystujące Man-in-the-Browser. Atak MitB ma na celu pozyskanie informacji o telefonie Klienta wykorzystywanym do kodów SMS takich jak producent, model i numer telefonu. Prośba o podanie tych danych jest tłumaczona wprowadzeniem nowych środków bezpieczeństwa.
*Bank nigdy nie prosi klienta o podanie *PEŁNEGO HASŁA dostępu do usługi ING Bank OnLine.
Klient po podaniu danych otrzymuje SMS z linkiem do pobrania nowego certyfikatu bezpieczeństwa, który w rzeczywistości jest złośliwą aplikacją.
Aplikacja ta monitoruje przychodzące SMS-y i uruchamia tylne wejście (backdoor) pozwalające na zarządzanie telefonem Klienta, poprzez SMS-y cyberprzestępcy.
Co możemy zrobić by ograniczyć możliwość wystąpienia opisanego powyżej ataku?
- *Po pierwsze: *ING Bank Śląski nie prosi Klientów o podawanie informacji na temat używanego do autoryzacji telefonu oraz nie wymaga instalacji żadnego oprogramowania na tychże telefonach, aby autoryzować transakcje za pomocą kodów SMS.
- Po drugie: należy zabezpieczyć komputer:
- Zainstaluj niezbędne programy zabezpieczające tj program antywirusowy czy zaporę ogniową
- Regularnie aktualizuj system operacyjny Windows i sygnatury antywirusowe
- Zabezpiecz komórkę instalując program antywirusowy
- Po trzecie - nie należy:
- Otwierać podejrzanych maili lub SMS-ów oraz korzystać z podawanych tam linków czy załączników
- Instalować oprogramowania nieznanego pochodzenia
- Odwiedzać podejrzanych stron WWW
- Po czwarte - zachowaj zdrowy rozsądek, traktuj z dystansem wszystkie maile, SMS-y i telefony, w których jesteś proszony o dane osobowe, PIN czy hasło. Jeżeli nawet na stronie banku zostałeś poproszony o podanie danych, o które do tej pory bank nie pytał, zadzwoń do banku i sprawdź czy na pewno o te dane pyta bank a nie Trojan Zeus.