Ważny komunikat CSIRT KNF. Dotyczy klientów Pekao
Bank Pekao został wykorzystany przez oszustów do stworzenia fałszywej wersji strony internetowej i logowania do bankowości. Klienci Pekao muszą więc ze szczególną uwagą sprawdzać, gdzie podają swój login i hasło. Oszuści wyłudzają te dane, a później logują się na prawdziwe konto w Pekao.
CSIRT KNF wydał ostrzeżenie dla klientów Banku Pekao, które dotyczy spreparowanej strony bankowości Pekao24. Oszuści stworzyli fałszywą witrynę pod adresem pekao-24[.]org, która na pierwszy rzut oka jest dopracowana i dobrze udaje autentyczny formularz logowania do Pekao24. Jeśli klient banku trafi na tę stronę i poda login i hasło, dane te trafią na ręce atakującego. To pierwszy krok do utraty pieniędzy z konta.
Klienci Pekao muszą więc zachować ostrożność podczas obsługi internetowej bankowości. Dobrą praktyką jest korzystanie z linków do logowania bezpośrednio z autentycznej strony banku lub używanie zakładek w przeglądarce, gdzie adres strony logowania do bankowości można wpisać na stałe po upewnieniu się, że prowadzi do prawdziwej strony. Klikanie jakichkolwiek linków w SMS-ach czy e-mailach może prowadzić do fałszywych witryn, które są tylko wizualnie podobne do autentycznych.
Równolegle trzeba też mieć na uwadze możliwe ataki wykorzystujące socjotechnikę. Cały czas popularne jest podszywanie się pod znajomych w mediach społecznościowych, by potem prosić o przelew stosunkowo małej kwoty przez Blika. Każdy taki przypadek wypada traktować jako podejrzany i przed przelaniem środków przez aplikację bankową, sprawdzić na wiele sposobów czy prośba od znajomego jest autentyczna (a nie jest dziełem oszusta, który przejął jego konto na Facebooku).
Dalsza część artykułu pod materiałem wideo
Jak niedawno przypominał Bank Pekao, co do zasady należy także pamiętać o podstawowych zasadach bezpieczeństwa w sieci, tj.:
- nie oddzwaniać na nieznane numery, z których otrzymano połączenie (nawet, jeśli jest nieodebrane),
- nie pobierać aplikacji sugerowanych przez rozmówcę - to mogą być programy zawirusowane lub służące do przejęcia kontroli nad komputerem,
- weryfikować tożsamość dzwoniącego (częstym elementem scenariusza ataku jest podszywanie się pod bankowców),
- nie udostępniać nikomu poufnych danych.
Oskar Ziomek, redaktor prowadzący dobreprogramy.pl