55

Takiego sposobu na kradzież pieniędzy z pewnością nie znasz

Niesamowicie ciekawym przypadkiem kradzieży kryptowalut podzielił się ze swoimi czytelnikami serwis Niebezpiecznik. Czytelnik strony, który trudni się sprzedażą koparek był świadkiem niezwykle ciekawego ataku, który spowodował utratę przez ofiarą 10 000 złotych. To zasadniczo niewiele w kontekście znanych nam przypadków, ale i tak warto o tym wspomnieć.

Jak wskazuje czytelnik Niebezpiecznika, spotkał się on z klientem celem dostarczenia mu zamówienia (koparki do kryptowalut). Uzgodniono cenę 20 tysięcy za sprzęt – sprzedawca wymagał płatności przelewem, co za chwilę uczyniono. Nikt chyba jednak nie spodziewał się, że w trakcie tej operacji dojdzie do… zwyczajnego przekrętu.

Klient czytelnika Niebezpiecznika dysponował jedynie gotówką, więc postanowił wpłacić pieniądze w pobliskim wpłatomacie. Zrobił to za pomocą dwóch operacji (2 x 10 tysięcy), pierwsza kwota wpłynęła w akceptowalnym czasie, druga natomiast dosyć długo nie pojawiała się na koncie. W pewnym momencie, po kilkukrotnym odświeżaniu strony banku zauważono, że został zrealizowany przelew na… 10 tysięcy złotych do konta w PKOBP za pomocą Sorbnet-a (przelew natychmiastowy). Odbiorcą miał być Bitpay, co szybko doprowadziło bohaterów historii do podejrzenia, iż właśnie doszło do perfidnego oszustwa.

Należy pochwalić bank ofiary. Zachował się w tej sprawie wzorowo

Na szczęście klienta czytelnika Niebezpiecznika, placówka macierzystego banku (mBank) znajdowała się bardzo blisko, co pozwoliło czym prędzej zająć się sprawą. W trakcie rozmowy z pracownikiem instytucji finansowej okazało się, że rzeczony przelew trafił już do PKO i trzeba będzie podjąć inne kroki. Błyskawicznie wypisano reklamację oraz bez kolejki zajęto się tą sprawą – nie oznacza to jednak, że uratowano pieniądze. Niestety, klient był „w plecy” 10 tysięcy złotych. Ale sposób, w jaki się to odbyło był nieco… zaskakujący.

Na nieszczęście dla klienta, winny był telefon komórkowy z Androidem na pokładzie. Co ciekawe, miał on go od dwóch dni, ale zdążył już w tym czasie zainstalować kilka aplikacji służących do obserwowania kursów kryptowalut. Jak się okazuje – nie tylko, bowiem jedna z nich była również… typowym koniem trojańskim, który prosił o nadzwyczajnie duże uprawnienia posiadacza urządzenia i „nasłuchiwał” aplikacje bankowe w poszukiwaniu potrzebnych do wykonania ataku danych. Złośliwy program był tak wyrafinowany, że właściwie samoczynnie był w stanie wykonać przelew, odczytać SMS-a z kodem potwierdzającym operację, wpisać go, a nawet zrobić to w taki sposób, że użytkownik nie zorientuje się, że w ogóle urządzenie otrzymało korespondencję dotyczącą bezpieczeństwa operacji. Prawdopodobnie, trojan błyskawicznie ją odczytał i usunął – stało się tak szybko, że nie wyświetlono powiadomienia.

Aplikacja, jaką zainstalował bohater opowieści z Niebezpiecznika mógł korzystać programu podobnego do CryptoMonitor od dewelopera Ivanowvv, który jak się okazuje jest nie tylko „trackerem”, ale i perfidnym trojanem. Cyberprzestępcy mając takie uprawnienia, jakie zostają nadane aplikacji mogli nie tylko analizować aplikacje bankowe (nawet pod kątem sald kont, które były do nich przypisane), ale również korzystać z mikrofonu oraz kamer. Co więcej, po całej sytuacji właściciel feralnego telefonu zauważył, że ten zresetował się do ustawień fabrycznych.

A zatem, należy pilnować aplikacji jakie instalujemy na telefonach – również tych, które zostały pobrane ze sklepu Google Play

Google robi co może, aby w repozytorium znajdowały się tylko bezpieczne aplikacje. Jak widać – wychodzi mu to co najmniej nie tak jak trzeba: istnieje sporo klonów popularnych programów, które mogą spełniać podobne funkcje co one, ale przy okazji zawierają w sobie złośliwy kod. Jeżeli instalujemy aplikację od nieznanego nam dewelopera – zwróćmy uwagę na recenzję oraz na uprawnienia, o jakie ona prosi. Przezorność może uratować nasze pieniądze – jak wynika z powyższego przykładu, tego typu ataki to wcale nie „straszaki”, lecz bardzo realne scenariusze.