Aplikacja miała umożliwić logowanie do 21 polskich banków. W rzeczywistości wykrada dane użytkowników
Do Google Play trafiła niedawno aplikacja o nazwie Bankowość uniwersalna Polska, która w teorii miała dawać opcję szybkiego logowania do aż 21 polskich banków. W rzeczywistości okazała się narzędziem do wykradania danych ich klientów.
Krótka historia Bankowości uniwersalnej Polska
20 marca w bazie Google Play odkryto program Bankowość uniwersalna Polska, który okazał się kolejnym atakiem na użytkowników polskich banków. Aplikacja mogła prezentować się dość atrakcyjnie dla niektórych użytkowników, ponieważ miała zagwarantować opcję prostego i szybkiego logowania do najbardziej popularnych usług bankowych.
Firma ESET, która zajmuje się bezpieczeństwem, szybko odkryła jednak, że rozwiązanie to służyło jedynie do wykradania danych użytkowników. Co więcej, program został tak skonstruowany, że cyberprzestępcy mogli obejść system dwustopniowej weryfikacji (np. za pomocą kodów otrzymywanych w SMS-ach), na co wskazał Lukas Stefanko, badacz zagrożeń z ESET.
Za jej pomocą użytkownik spośród aż 21 polskich banków mógł wybrać ten, w którym posiada swój rachunek bankowy. Następnie był proszony o dane uwierzytelniające, czyli login i hasło. Te dane były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie - użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników
Bankowość uniwersalna Polska błyskawicznie, bo już w dniu ukrycia, została usunięta z bazy Google Play. Program miał zostać pobrany ok. 100 razy, więc nie cieszył się na szczęście wielką popularnością. ESET dodaje jednak, że aplikacja nadal dostępna jest w tzw. drugim obiegu, czyli nieautoryzowanych sklepach z aplikacjami i bazach plików APK.
Użytkownicy polskich banków na celowniku hakerów
Kamil Sadkowski, który jest analitykiem zagrożeń w firmie ESET, zwraca uwagę, że to kolejny już atak wymierzony w klientów polskich usług bankowych. Pod koniec 2017 roku w sklepie Google'a pojawiły się bowiem programy CryptoMonitor i StorySaver, o których pisałem w osobnym materiale.
Programy te cechowały się nieco bardziej wyrafinowanym mechanizmem działania - wyświetlały powiadomienia, które przypominały te z prawdziwych usług bankowych. Każda z aplikacji miała funkcję przechwytywania wiadomości SMS z danymi do uwierzytelniania logowania czy transakcji.
Jak bronić się przed zagrożeniami?
W pierwszej chwili może wydawać się, że niedopuszczalne jest to, aby tak jawne próby wyłudzania danych użytkowników usług bankowych przechodziły bez problemu kontrolę jakości Google'a. Niestety, system ten nie jest nieomylny.
To użytkownicy muszą przede wszystkim pobierać programy z głową i świadomie korzystać z telefonów. Od razu bowiem wiadomo, że usługa, która oferuje dostęp do kilkunastu różnych banków, jest rozwiązaniem podejrzanym. Warto przy tym pamiętać, aby:
- zawsze sprawdzać uprawnienia, których żąda program (jeżeli wydają się nieadekwatne do jego podstawowej funkcji, to lepiej pominąć program);
- zwracać uwagę na oceny i opinie użytkowników (lepiej nie instalować niszowych programów, gdy nie jest się ich pewnym);
- korzystać z dedykowanych usług (szczególnie, gdy idzie o programy bankowe i rozwiązania płatnicze);
- zwracać uwagę na szyfrowanie stron WWW, gdy korzysta się systemów płatności przez mobilną przeglądarkę (a także samą nazwę witryny).
Ataki cyberprzestępców, o czym często wspominam, kierowane są głównie w mniej świadomych użytkowników, którymi są osoby starsze, gorzej obeznane z nowymi technologiami. Warto uczulać więc rodzinę i znajomych, a w razie potrzeby służyć im radę - wielu posiadaczy smartfonów nie ma nawet pojęcia, na jakie zagrożenia są narażeni.
