Ataki na klientów banków. CERT ostrzega przed nową akcją

Zespół CERT Polska w ostatnich miesiącach zaobserwował nowe próbki mobilnego złośliwego oprogramowania powiązane z atakiem NFC Relay (NGate) wymierzonym w użytkowników polskich banków. Celem takiego ataku jest umożliwienie nieuprawnionych wypłat gotówki z bankomatów z wykorzystaniem kart płatniczych ofiar.

CERT wyjaśnił, że przestępcy nie kradną fizycznie karty tylko przekazują ruch NFC karty z telefonu ofiary do urządzenia przestępcy stojącego przy bankomacie.

Zdaniem CERT, działa to tak, że ofiara dostaje wiadomość phishingową (e-mail/SMS) o rzekomym problemie technicznym lub incydencie bezpieczeństwa. Link prowadzi na stronę, która nakłania do instalacji aplikacji.

Może to być również telefon od "pracownika" banku - oszust dzwoni, podając się za pracownika banku, aby "potwierdzić tożsamość" i uwiarygodnić instalację aplikacji. Użytkownik otrzymuje też SMS potwierdzający tożsamość rzekomego pracownika.

Następnie w aplikacji ofiara jest proszona o zweryfikowanie swojej karty płatniczej bezpośrednio w interfejsie. Musi przyłożyć fizyczną kartę do telefonu (NFC), a następnie wpisać PIN karty na ekranowej klawiaturze.

Kiedy ofiara zbliża kartę do czytnika, aplikacja przechwytuje dane NFC karty (te same dane, które przepływają przez terminal/bankomat) i wysyła je przez internet do urządzenia atakującego znajdującego się przy bankomacie (lub do serwera Command&Control, który następnie wysyła je do urządzenia przy bankomacie). Urządzenie atakującego odtwarza te dane w bankomacie. Dzięki przekazanymi danymi karty i kodowi PIN atakujący wypłaca gotówkę - wyjaśnił CERT.

Santander Bank Polska ogłosił w zeszłą niedzielę, że jego monitoring wykrył przestępcze transakcje przy użyciu kart płatniczych klientów i że wdrożył rozwiązania, które uniemożliwiły przestępcom dalsze działania. Policja przyjęła ok. 200 zgłoszeń w tej sprawie.

Bank przekazał, że skradzione środki zostały zwrócone wszystkim poszkodowanym klientom, zwrot ten nastąpił automatycznie, a klienci nie muszą składać reklamacji. Zdaniem banku, "nie był to incydent masowy" i nie dotyczył integralności naruszenia systemów bankowych.

Problem dotknął "nieznacznej liczby" ok. kilkuset klientów, miał charakter regionalny i obejmował wyłącznie transakcje w kilku bankomatach - wskazał bank Santander, zaznaczając przy tym, że nie nastąpił wyciek danych osobowych klientów banku. Santander złożył też zawiadomienie o popełnieniu przestępstwa.

Śledztwo w sprawie wszczęła Prokuratura Okręgowa w Bydgoszczy. Jak informowała zastępczyni prokuratora okręgowego Agnieszka Adamska-Okońska, chodzi o zbiorcze śledztwo dotyczące kradzieży pieniędzy z rachunków bankowych klientów banku Santander, obejmujące wszystkie przypadki w kraju.

Bank informował, że - jak podejrzewa - powodem incydentu było zamontowanie nakładek skanujących na bankomatach sieci współpracującej, a zespoły techniczne operatora tych urządzeń sprawdzają wytypowane bankomaty. Apelował też do klientów, aby zwracali szczególną uwagę na wygląd bankomatów i sprawdzali, czy nie wzbudza podejrzeń, co do ewentualnej ingerencji osób trzecich.

CERT Polska to działający w instytucie NASK zespół reagowania na incydenty w sieci i przyjmujący zgłoszenia o podejrzanych i nietypowych zdarzeniach. Jednostka powstała w 1996 roku.