Przestępcy nie śpią - i stale liczą na roztargnienie użytkowników przygotowując strony, które podszywają się pod te oficjalne.
Masz konto w mBanku? Upewnij się, że strona na której się logujesz to nie podróba!
Ataki phishingowe od lat są jednymi z najbardziej skutecznych. Nieświadomi niczego użytkownicy podają swoje dane - na przykład próbując się zalogować. Kilka lat temu pisałem, że ze 100 milionów domen - 27% z nich to scam. Co więcej: przestępcy są coraz bardziej wyrafinowani i korzystają z niezwykle wyrafinowanych metod:
Wyniki okazały się przerażające, okazało się że aż 27% ze wszystkich sprawdzonych przez nich miejsc zostało stworzonych przez oszustów, którzy chcą bazować na nieuwadze użytkowników. Podobno każda mała litera może mieć aż czterdzieści rozmaitych wariantów, które na pierwszy rzut oka mogą być nie do odróżnienia.
Dlaczego o tym wspominam? Dzisiaj Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego polskiego sektora finansowego poinformował na Twitterze o fałszywej stronie mBanku. Domena różni się... dosłownie jednym znakiem:
Jak widać — zamiast "a" w adresie, stworzona przez przestępców strona internetowa ma znaczek "ạ". Nie jest to tak wyrafinowane jak niektóre z tworów o których wspominał przytoczony wyżej raport, niemniej dla wielu może okazać się zgubnym. Co jeśli damy się złapać na taką podszywającą się pod mBank stronę? W odpowiedzi do wpisu odpowiedział Paweł Piekutowski, pracujący w CSIRT:
Oczywiście nie jest to ani pierwszy, ani ostatni raz kiedy przestępcy będą próbowali wyłudzić w ten sposób dane do banku klientów. I nie mam tu na myśli wyłącznie mBanku, ale także całą resztę. Wielkości liter, zapożyczone alfabety, litery wyglądające prawie-identycznie-ale-jednak-nie-tak-samo. Standard, podobnie jak linki w fałszywych mailach podszywających się pod komunikację bankową.
Banki co prawda mają cały szereg swoich zabezpieczeń (np. autoryzacja tylko na kilku urządzeniach, potwierdzanie wiadomościami SMS, zdrapkami czy w aplikacji) — mimo wszystko nie warto ryzykować. Miejcie się na baczności i uważajcie w co klikacie i gdzie się logujecie. A najlepiej wpiszcie adres do banku sami, dodajcie do ulubionych i za każdym razem gdy będziecie chcieli się zalogować - korzystajcie z przygotowanych przez siebie gotowców, nie żadnych przekierowań.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu