Nowy sposób, by kraść pieniądze z kart. Eksperci biją na alarm

Cert Orange (Computer Emergency Response Team - zespół reagowania na incydenty bezpieczeństwa komputerowego), podkreśla, że w obecnej kampanii przestępcy wykorzystują fałszywe wiadomości SMS, czyli tak zwany smishing - połączenie słów SMS i phishing. Wiadomości informują o rzekomych problemach z weryfikacją tożsamości. Komunikat zawiera groźbę trwałego zawieszenia konta, co ma wywołać u ofiary poczucie presji czasowej i skłonić do szybkiego działania bez należytej rozwagi.

W analizowanym przypadku przestępcy stworzyli rozbudowany system weryfikacji tożsamości. Proces rozpoczyna się od pozyskania podstawowych danych dostępowych w postaci numeru telefonu i kodu PIN. Następnie ofiara proszona jest o wykonanie selfie w celach weryfikacyjnych. Kolejnym etapem jest dodatkowe potwierdzenie tożsamości poprzez wykonanie zdjęcia z kartką zawierającą określony tekst i aktualną datę. Cały proces przeprowadzany jest przez system przekierowań wykorzystujący fałszywe bramki uwierzytelniające.

Oszuści wykorzystują szereg zaawansowanych technik inżynierii społecznej oraz narzędzi technicznych. Przygotowana przez nich fałszywa strona internetowa stanowi niemal idealne odwzorowanie oficjalnego interfejsu aplikacji Revolut. Przestępcy zastosowali system weryfikacji zdjęć wykorzystujący elementy sztucznej inteligencji. Strona generuje dynamiczne kody weryfikacyjne oraz wykorzystuje przekierowania przez domeny zabezpieczone protokołem HTTPS. Dla zwiększenia wiarygodności oszuści stosują certyfikaty SSL na swoich fałszywych stronach.

Eksperci CERT Orange Polska podkreślają wyjątkowo poważne konsekwencje udanego ataku. Przestępcy po przejęciu konta bankowego mają możliwość dokonywania nieautoryzowanych transakcji oraz zaciągania zobowiązań finansowych w imieniu ofiary. Szczególnie niebezpieczne jest pozyskanie przez oszustów danych biometrycznych w postaci selfie wraz z dokumentami tożsamości. Taka kombinacja może prowadzić do długoterminowych konsekwencji związanych z kradzieżą tożsamości.

W sytuacji gdy przejęte konto jest puste, przestępcy często próbują dokonać doładowań poprzez wcześniej skonfigurowane metody płatności. Wykorzystują również dostępne limity kredytowe do zaciągania zobowiązań. Zdobyte dane osobowe mogą posłużyć do kolejnych przestępstw oraz do przejęcia kontroli nad innymi usługami finansowymi powiązanymi z kontem ofiary.

CERT Orange Polska rekomenduje szczególną ostrożność przy weryfikacji każdej wiadomości dotyczącej konta bankowego. Klienci powinni korzystać wyłącznie z oficjalnej aplikacji bankowej, a wszelkie podejrzane próby kontaktu należy niezwłocznie zgłaszać do banku. W przypadku padnięcia ofiarą oszustwa konieczny jest natychmiastowy kontakt z bankiem w celu zablokowania konta oraz złożenie zawiadomienia o przestępstwie na policji. Niezwykle istotne jest również zabezpieczenie i zachowanie wszystkich dowodów oszustwa, w tym zrzutów ekranu oraz otrzymanych wiadomości SMS.

Phishing, czyli metoda oszustwa polegająca na podszywaniu się pod zaufane podmioty, przeszedł znaczącą ewolucję od swoich początków w latach 90. XX wieku. Pierwsze ataki phishingowe były stosunkowo proste i łatwe do wykrycia - zawierały liczne błędy językowe, a strony internetowe znacząco odbiegały od oryginałów. Współczesne kampanie phishingowe charakteryzują się niezwykłą precyzją w odwzorowaniu oryginalnych stron oraz wykorzystaniem zaawansowanych technik uwierzytelniania wieloetapowego.