12

Twój smartfon jest jak portfel, nie pozwól się okraść!

Polacy pokochali bankowość mobilną i nic dziwnego, za pomocą smartfonów i aplikacji bankowych są w stanie sprawdzić stan swojego rachunku bankowego, przelać pieniądze znajomym lub wypłacić drobną sumę z najbliższego bankomatu. Smartfon już dawno przestał służyć jako telefon, stał się narzędziem pośredniczącym w płatnościach , które podobnie jak tradycyjny portfel, zwraca uwagę oszustów. Eksperci z firmy ESET, która na co dzień zwalcza zagrożenia komputerowe i mobilne, radzą, w jaki sposób ochronić siebie i swój smartfon przed kradzieżą pieniędzy.

Autorem publikacji jest firma ESET

Śmiało można powiedzieć, że płatności mobilne zdominowały życie Polaków. Według raportu przeprowadzonego przez Izbę Gospodarki Elektronicznej „Płatności cyfrowe 2017”, już jedna trzecia polskich internautów robi zakupy przez urządzenia mobilne. Ten trend potwierdzają również dane przedstawione przez Mastercard, zebrane w maju zeszłego roku.

Wynika z nich, że aż 91% ankietowanych dokonuje transakcji finansowych online lub przez aplikację mobilną przynajmniej raz w miesiącu, co jest najlepszym wynikiem w Europie. Statystyki jednoznacznie pokazują, że Polacy chętnie sięgają po swoje urządzenia mobilne, wykorzystując je do codziennych płatności, ceniąc sobie w nich wygodę użytkowania. Cyberprzestępcy zauważyli ten trend i coraz częściej decydują się na działania zmierzające do wyprowadzanie pieniędzy z rachunków bankowych użytkowników, wykorzystując w tym celu właśnie urządzenia mobilne.

smartfon

Kobiety chętniej od mężczyzn dokonują płatności w sklepach za pomocą swoich telefonów, raport „Płatności cyfrowe 2017”, Izba Gospodarki Elektronicznej

Jak okraść użytkownika smartfona? Podsuwając mu fałszywe aplikacje!

Jeden z głośniejszych ostatnio ataków, wymierzony w użytkowników czternastu polskich banków, został przeprowadzony w listopadzie zeszłego roku za pomocą aplikacji dostępnych w oficjalnym sklepie Google Play: CryptoMonitor oraz StorySaver. Obie aplikacje, oprócz obiecywanych funkcjonalności, wyświetlały swoim ofiarom fałszywe powiadomienia systemowe, które wyglądały identycznie jak te generowane przez popularne w Polsce aplikacje bankowe.

Dodatkowo złośliwe aplikacje podsuwały swoim ofiarom fałszywe formularze logowania do rachunków bankowych, by docelowo przechwycić wprowadzane za ich pośrednictwem loginy i hasła. To jednak nie wszystko. Eksperci z firmy ESET, którzy zidentyfikowali zagrożenia, wykryli, że obie aplikacje potrafiły również przechwytywać wiadomości SMS, zawierające kody do autoryzowania transakcji online.

Hakerzy potrafią wykorzystać mobilne aplikacje bankowe do kradzieży pieniędzy nieświadomych niczego użytkowników. Wskazany wyżej przypadek nie jest jedyną tego typu sytuacją. W zeszłym roku aplikacja Flashlight LED Widget, która w deklaracji producenta obiecywała funkcjonalność latarki, kradła dane do logowania do rachunków bankowych Commbank, NAB i Westpac Mobile Banking, a także portali społecznościowych, w tym Facebooka i Instagrama.

komentuje Kamil Sadkowski, analityk zagrożeń w ESET.

Ekspert dodaje, że aplikacje wyciągają od użytkowników pieniądze również na inne sposoby. Niespełna miesiąc temu gra Pingu Cleans Up, dostępna w Google Play i pobrana od 50 do 100 tysięcy razy, podstępnie wymuszała na użytkownikach zapisanie się do cotygodniowej usługi subskrypcyjnej, która regularnie obciążała kartę użytkownika (jeśli została podpiętą do konta w Google Play), do czasu rezygnacji.

smartfon

Warto wspomnieć również o przypadku aplikacji Porn Clicker, która w 2016 roku udawało grę w sklepie Google Play. W rzeczywistości zagrożenie służyło do generowania ruchu na stronach pornograficznych, co skutkowało zużywaniem transferu danych danego użytkownika. W efekcie ofiary Porn Clickera otrzymywały spore rachunki za przekroczenie przyznanych limitów pobranych danych.

Kamil Sadkowski z ESET daje kilka rad jak ochronić swój smartfon, przed ewentualnym atakiem lub infekcją, mającymi na celu kradzież naszych pieniędzy.

  • 1. Koniecznie zabezpiecz posiadany telefon, albo wzorem blokady, albo odciskiem palca, albo kodem PIN i dbaj, by postronne osoby nie poznały tego zabezpieczenia.
  • 2. Dbaj o aktualizację systemu operacyjnego. W ramach aktualizacji często dostarczane są łatki luk wykorzystywanych przez cyberprzestępców. Aktualizując system, zwiększamy poziom zabezpieczeń. W przypadku Androida sytuacja jest o tyle trudniejsza, że nowa wersja systemu udostępniana jest najpierw przez Google, a dopiero później przed producenta naszego urządzenia. On z kolei wprowadza nieznaczne modyfikacje w swoim systemie, aby lepiej dopasować go do konkretnego urządzenia. Niestety opóźnia to proces aktualizacji. Istnieją co prawda możliwości wcześniejszej aktualizacji, natomiast wiążą się z potencjalnymi skutkami ubocznymi jak usunięcie wszystkich danych na urządzeniu, poza tym mogą wymagać od użytkownika technicznej wiedzy.
  • 3. Pobieraj aplikacje z oficjalnego sklepu (Google Play) i czytaj opinie użytkowników na ich temat. Jeśli są wątpliwe lub nie ma ich zbyt wiele, to lepiej zrezygnować z instalacji takiej aplikacji. Pamiętaj, że taki rodzaj czujności nie zabezpiecza w 100% – zdarzały się całkiem popularne złośliwe aplikacje z dobrymi ocenami. Stosowanie się do rady zmniejsza ryzyko infekcji, natomiast nie wyklucza go całkowicie.
  • 4. Zachowaj czujność przy logowaniu się do swojego rachunku bankowego – skorzystaj z dedykowanej aplikacji danego banku, a w przypadku logowania przez przeglądarkę upewnij się, że znajdujesz się faktycznie na stronie swojego banku, a połączenie z nim jest szyfrowane.
  • 5. Zweryfikuj uprawnienia, jakich żąda aplikacja przy instalacji – prośba o uprawnienia do wysyłania wiadomości SMS w wypadku aplikacji, która zamienia diodę smartfona w latarkę, powinna wzbudzić Twoją czujność.
  • 6. Zainstaluj aplikację zabezpieczającą na swoim urządzeniu – zagrożenia mobilne potrafią nie tylko wykradać pieniądze. Mogą także zaszyfrować wszystkie zdjęcia i dokumenty, zapisane na Twoim smartfonie.

Kamil Sadkowski ESET

Kamil Sadkowski

Starszy inżynier ds. wykrywania zagrożeń w krakowskim ośrodku firmy ESET. Analizą oraz detekcją złośliwego oprogramowania zajmuje się od ponad 6 lat.