Fałszywa aplikacja podszywająca się pod apkę PKO BP – ostrzega CSIRT KNF, wyjaśnia ESET
Polacy są obecnie celem kolejnej cyberprzestępczej kampanii, w której atakujący wykorzystują fałszywą aplikację bankową podszywającą się pod aplikację banku PKO BP. Atak wykorzystuje m.in. interfejs NFC w smartfonie.
O nowym ataku na polskich użytkowników bankowości elektronicznej poinformowała jednostka CSIRT funkcjonująca przy Komisji Nadzoru Finansowego (KNF) za pośrednictwem platformy X. CSIRT KNF zwraca jednocześnie uwagę, że nowy atak jest podobny do wcześniej odnotowanej przez ekspertów słowackiej firmy ESET, specjalizującej się w ochronie przed zagrożeniami cyfrowymi, kampanii ataków prowadzonych na terenie Czech.
Uwaga! Ostrzegamy przed fałszywą aplikacją podszywającą się pod @PKOBP.
Aplikacja po uruchomieniu próbuje nakłonić potencjalną ofiarę do fałszywego procesu weryfikacji poprzez przyłożenie karty płatniczej do interfejsu NFC w urządzeniu mobilnym.
Nie dajcie się okraść i… pic.twitter.com/DK41ELviWd
— CSIRT KNF (@CSIRT_KNF) February 6, 2025
Bez wnikania w techniczne zawiłości, wyjaśniamy, na czym polega atak, który łączy w sobie socjotechnikę, phishing i użycie złośliwego kodu na platformę Android. Zacznijmy od socjotechniki: cyberprzestępcy poprzez masową wysyłkę SMS-ów i maili rozsyłają wiadomość zachęcającą do kliknięcia w link.
Ów link prowadzi do aplikacji webowej (WebAPK), która wygląda bardzo podobnie do mobilnej aplikacji banku PKO BP. Aplikacje WebAPK nie wymagają instalacji, działają w przeglądarce, zatem kliknięcie w link od strony użytkownika wygląda tak, jakby uruchamiała się faktyczna aplikacja banku PKO BP.
Kolejny etap polega na tym, że fałszywa aplikacja prosi o „weryfikację konta” poprzez przyłożenie karty bankowej do telefonu. Gdy użytkownik to zrobi, na ekranie fałszywej aplikacji wyświetla się prośba o wpisanie PIN-u do przyłożonej karty, po jego wpisaniu… tu już w zasadzie nie ma znaczenia co zobaczymy, ważniejsze jest to, co faktycznie się dzieje.
A dzieje się to, że PIN oraz dane odczytanej przez NFC karty są wysyłane np. do przestępcy, który właśnie stoi przed jakimś bankomatem i wprowadza otrzymane dane, a następnie nie niepokojony przez nikogo odchodzi z wykradzionymi z konta ofiary pieniędzmi.
Jak to w ogóle możliwe, skoro wiadomo, że klucze uwierzytelniające każdej transakcji są jednorazowe? Problem w tym, że przyłożenie karty do NFC to jeszcze nie transakcja, realizowany jest tylko odczyt, dane przesyłane są dalej i jedyna uprawniona transakcja jest realizowana już nie przez użytkownika, lecz przez przestępcę.
Dlatego:
- nie klikajcie w żadne linki w mailach czy SMS-ach od nieznanych osób
- gdy już jednak klikniecie i nagle „aplikacja bankowa” czegoś żąda, zignorujcie żądanie, zadzwońcie do banku i zweryfikujcie, czy faktycznie dana procedura/wiadomość została wysłana przez bank.
Jednocześnie zainteresowanych bardziej technicznymi szczegółami odsyłam do wpisu na blogu o bezpieczeństwie – We Live Security – prowadzonym przez ESET, gdzie opublikowano wpis dokładniej wyjaśniający opisywany typ ataku.
Nowy atak ransomware Interlock – celem duże firmy i ich dane
