About me My standards Book Blog Video Blog
Menu
About me Kontakt

New type of phishing attacks on banks (film, 15m)

phishing cybercrime security banking apps mobile PWA awareness education online

In his latest video, Mateusz Chrobok discusses the increasing issue of phishing attacks that are becoming more sophisticated every day. Various forms of phishing, such as suspicious social media ads and fake SMS messages, have become a daily encounter for Internet users. He emphasizes that cybercriminals continually devise new methods to deceive their victims. One of the latest trends is a campaign specifically targeting mobile users in the Czech Republic, particularly clients of the Czech-Slovak Commercial Bank. In a complicated attack process, cybercriminals exploit social engineering tactics to trick users into installing a fake app disguised as an update for the legitimate banking application.

During the attack, victims are bombarded with false notifications about the necessity to update their banking app. Clicking the appropriate link leads them to download what’s termed a PWA (Progressive Web App), which appears nearly identical to the original banking app. However, at this stage, the intricate online trap meticulously prepares users to disclose login information and authorization codes. The PWA system allows criminals to access data that is of particular interest to hackers. Once installed, the app prompts users to enter their username and password, with each step bringing the hackers closer to stealing the victim's money.

Subsequently, once the credentials are entered, the disguised app generates a request for an authorization code, which the user also provides, hoping it will allow them to log into their account. Unfortunately, instead of logging in, the code ends up in the hands of criminals, paving the way for the theft of funds. This series of attacks illustrates how easily one can lose all their money in a matter of minutes without any significant protections from the banking system.

Chrobok reminds viewers that effectively countering these attacks remains a tremendous challenge. Despite efforts such as blocking phishing SMS messages at the telecommunications operator level, criminals will always find new ways to execute their criminal plans. Furthermore, users should be wary of relying solely on SMS authentication, as it's increasingly regarded as an unsafe method. Instead, he advocates for using authentication apps that provide a much higher level of security.

In conclusion, the video ends with a reminder to keep all applications updated to their latest versions and to employ multi-step verification on every service that offers it. Mateusz Chrobok also notes that at the time of writing, the video has garnered 44,626 views and 2,293 likes. As more users access the internet and phishing tactics become more advanced, regularly educating society on these issues is crucial in preventing such incidents.

Toggle timeline summary

  • 00:00 Introduction to phishing attacks occurring daily.
  • 00:03 Promotion of fantastic investment opportunities in actions.
  • 00:11 Mention of politicians encouraging these investments.
  • 00:19 Receiving phishing emails and SMS asking to click links.
  • 00:30 CERT Poland's efforts to combat phishing.
  • 00:55 Introduction to revolutionary phishing campaigns described by researchers.
  • 01:11 Targeting mobile users in the Czech Republic.
  • 01:20 Focus on customers of a major Czech bank.
  • 01:26 Standard procedure of phishing attacks.
  • 02:09 Phishing tactics using convincing fake websites.
  • 03:39 Explanation of Progressive Web Apps (PWA) and their risks.
  • 03:52 Benefits and functionalities of PWA.
  • 05:00 Limitations of PWA as a solution.
  • 07:21 Detailed description of a phishing attack scenario.
  • 08:18 How attackers utilize login credentials obtained through phishing.
  • 10:13 Discussion on how to defend against such phishing attacks.
  • 12:34 Importance of multi-factor authentication and updating applications.
  • 14:23 Conclusion and final advice.
  • 14:35 Thank you and goodbye message.

Transcription

Cześć! Z atakami phishingowymi mamy do czynienia na co dzień. Wyświetlają nam się w mediach społecznościowych reklamy fantastycznych inwestycji w akcje Baltic Pipe, Orlen czy inne złoto. Zachęcają nas do nich przecież tak Duda jak i Tusk, więc skoro w tej kwestii jest porozumienie ponad podziałami, to na pewno przecież nie da się na tym stracić. Dostajemy też te wszystkie maile czy smsy, gdzie mamy kliknąć w linka, bo musimy złotóweczkę dopłacić do paczki, bo ta inaczej nie przyjdzie, to pewne. Próbuje z tym walczyć m.in. CERT Polska, ale to wciąż właśnie phishing odpowiada za ogromną większość kradzieży pieniędzy w sieci. Niestety cyberprzestępcy też nie zasypiają gruszek w opiele i również w tej kwestii próbują nowych sztuczek. Jedną z takich nowych i w sumie dość rewolucyjnych kampanii cyberprzestępczych opisali niedawno badacze ze słowackiego ESETa. Co w niej takiego specjalnego? Już tłumaczę. Zapraszam. Zacznijmy od określenia celu. Na opisywane ataki narażeni są użytkownicy urządzeń mobilnych, głównie zlokalizowani na terenie Czech z pominięciem kralowca. Kampania skupia się na klientach jednego z największych banków naszych krecich przyjaciół. Czeskosłoweńska Obchodni Banka. Na początkowym etapie wszystko przebiega tak jak zawsze. Szuka się sposobu, aby zmusić ofiarę do kliknięcia w złośliwy odnośnik. Czy to za pomocą jakiejś reklamy w mediach społecznościowych, gdzie obiecuje się jakieś nagrody za zaktualizowanie aplikacji banku do najnowszej wersji, czy też wykorzystuje się smsa. Stosuje się np. roboty automatycznie dzwoniące do atakowanych, pewnie zresztą spufujące numer telefonu banku i odtwarzające im nagrane komunikaty, że stosowana przez nich wersja aplikacji do bankowości elektronicznej jest już przestarzała. Więc niby bank w trosce o bezpieczeństwo prześle im linka do takiej nowej, aktualnej, a tym samym na pewno przecież bezpiecznej. Wystarczy kliknąć. Ba, czasem zresztą pomija się w ogóle etap dzwonienia, po prostu w ciemno wysyłając od razu wiadomość i licząc, że a noż widelec, czy inny element zastawy, ktoś kliknie w odnośnik. Jeżeli to zrobimy korzystając z urządzenia mobilnego, zaprezentowana zostanie nam strona łudzącą, przypominająca swoim wyglądem natywny sklep z aplikacjami albo serwis prawie identyczny jak ekran powitalny aplikacji bankowej. Zaraz potem wyskoczy nam komunikat, że wersja aplikacji, z której korzystamy, jest już stara, nieaktualna i w ogóle fuj, więc musimy ją natychmiast zaktualizować. Kliknięcie aktualizuj w wyświetlonym komunikacie rozpoczyna dalszy etap ataku. Pomimo tego, że nasze urządzenie nie dopuszcza instalowania aplikacji ze źródeł innych niż oficjalny sklep, czy to Androida, czy iPhona, na nasze urządzenia trafia podstępem nowa apka. Jesteśmy zresztą przeprowadzani jak za rączkę przez cały ten proces, aby wykonać dokładnie te kroki, których potrzebuje atakujący, aby wszystko się powiodło, przynajmniej z perspektywy przestępców. W tym miejscu jednak pewnie wielu z Was zapala się czerwona lampka. No bo jak to? Skoro nie ma możliwości instalowania aplikacji spoza sklepu, to taki scenariusz jest niemożliwy, prawda? Trochę tak, ale nie, w sumie to nie do końca. Bo za wszystkim stoi sprytne wykorzystanie mechanizmu PWA, czyli Progressive Web Apps. Co to takiego? Progressive Web App to rozwiązanie, które jest czymś pomiędzy stroną internetową a pełnowymiarową natywną mobilną aplikacją. Być może nawet się z tym spotkaliście odwiedzając jakiś serwis, który zapytał Was, czy nie chcecie do pulpitu swojego telefonu jednym kliknięciem dodać ich apki. PWA ma, obiektywnie patrząc, sporo zalet. Po pierwsze pozwala na łatwe przekształcenie strony internetowej w coś na kształt natywnej aplikacji, na urządzenia mobilne. Taka apka działa w środowisku przeglądarki internetowej, więc stworzenie jej jest banalnie proste. Znacznie prostsze i tańsze niż przygotowywanie dedykowanych aplikacji tak dla iPhona, jak i dla Androida. A potem dalsze ich utrzymywanie. Bo robimy coś raz i działa. Lepiej lub gorzej w obu ekosystemach. Taka PWA jest też w stanie korzystać z systemowych powiadomień, czy okien dialogowych, całkiem nieźle integrując się z naszymi urządzeniami i wygląda dużo bardziej elegancko niż jakaś przypadkowa strona, którą odwiedzamy. PWA po wyrażeniu przez nas zgody może nawet korzystać z kamery, mikrofonu czy lokalizacji, a nawet działać bez dostępu do internetu. Oczywiście nie oszukujmy się. To rozwiązanie skierowane jedynie do prostych projektów, bo ma ono wiele ograniczeń. Okazuje się jednak, że to wystarcza cyberprzestępcom. Bo to znaczne upodobnienie PWA do aplikacji pobieranych ze sklepów niesie za sobą również zagrożenia, których chyba nie przewidzieli twórcy standardu. Szczególnie, że w trakcie procesu ich dodawania do swojego telefonu nie pojawia się żaden komunikat, że możemy w ten sposób zainstalować coś niebezpiecznego, znane każdemu, kto instalował na Androidzie jakieś aplikacje spoza sklepu. Co warto przypomnieć, jest samo w sobie niebezpieczne i trzeba dobrze wiedzieć, co się robi. Tu jednak komunikatu nie ma, bo taka aplikacja PWA nie zagraża w żaden sposób naszemu telefonowi samemu w sobie czy zebranym na nim informacjom, bo te są dobrze od niej odseparowane. Jeżeli dodamy jednak do tego inżynierię społeczną, to sprawa szybko przestaje wyglądać różowo. Jeżeli zgodzimy się na instalację takiej aplikacji, to pojawi się ona na ekranach naszych telefonów i będzie prawie nieodróżnialna od innych apek zainstalowanych z oficjalnych źródeł. Okej, ikona może i ma mniej detali. Jest to w sumie tylko jej wycinek, a wszystko przykrywa małe logo przeglądarki internetowej. Nieważne, i tak wiele osób się nabierze, bo jest wystarczająco podobna. Zresztą w Androidzie taka aplikacja PWA jest dodatkowo automatycznie konwertowana na format WebAPK, który już zdecydowanie bardziej przypomina natywną aplikację. Ikona jest lepszej jakości i znika z niej logo przeglądarki. Ba, nawet w informacjach o niej dowiemy się, że pobraliśmy ją ze sklepu Play, co nie tylko nie jest prawdą, ale też pozwala naprawdę łatwo się pomylić. Kierujemy ikonkę tej nowo zainstalowanej aplikacji, myśląc, że korzystamy z legitnej, świeżo zaktualizowanej, a więc bezpiecznej apki swojego banku. Wszystkie wprowadzone w niej informacje trafiać będą do cyberprzystępców. Mowa tak o loginie, haśle, ale też kodach jednorazowych do uwierzytelniania poszczególnych transakcji czy autoryzowania nowych urządzeń. Scenariusz całego ataku wygląda więc tak. Dzięki złośliwego linka jesteśmy przeprowadzani przez proces instalacji aktualizacji, który tak naprawdę dodaje do naszego urządzenia łudząco podobną do aplikacji naszego banku apkę PWA. Ta apka PWA kontrolowana jest przez cyberprzystępców i wszystko, co w niej zrobimy, trafia w niepowołane ręce. My jednak możemy o tym nie wiedzieć, bo wszystko wygląda naprawdę bardzo przekonująco. Kiedy już więc się zaktualizujemy, wyświetli nam się prośba o wpisanie loginu i hasła do bankowości elektronicznej. No przecież nie po to robiliśmy aktualizację, żeby nie sprawdzić, co tam nowego wymyślili, prawda? Wpisujemy więc swoje poświadczenia i klikamy za loguj. Nam wyświetla się jakaś klepsydra, czy wiadomość o tym, że aplikacja po aktualizacji musi się skonfigurować, co chwilkę potrwa, nasz login i hasło trafiają do cyberprzestępców. Ci natychmiast otwierają stronę logowania do banku i próbują się zalogować z wykorzystaniem naszych poświadczeń. No ale na straży naszego bezpieczeństwa stoi przecież weryfikacja dwuetapowa, prawda? No prawda. Zresztą wymusza to europejskie prawo w postaci dyrektywy PSD-2. Tylko że często jeszcze co bardziej leniwe instytucje korzystają w celu jej spełnienia z SMS-ów, a to niezbyt bezpieczne rozwiązanie. Kiedy atakujący zmuszony zostanie do podania kodu autoryzującego, po prostu wyświetli nam się taki komunikat w tej podstawionej aplikacji, że aby się zalogować, musimy podać kod. Jak przepiszemy go z SMS-a, ten wcale nie uwierzytelni logowania na naszym urządzeniu, ale trafi on do cyberprzestępców, którzy wykorzystają go i w ten sposób zalogują się do naszego konta po swojej stronie. My w międzyczasie nadal będziemy oglądać jakąś klepsydrę w oczekiwaniu na zalogowanie, kiedy złodziej zleci po swojej stronie szybki przelew na konto jakiegoś słupa. Ten przelew też oczywiście musi być autoryzowany kodem, ale to żaden problem. Znów wyświetli nam się komunikat, że za pierwszym razem na pewno podaliśmy przecież błędny kod i mamy podać następny. Jednak ten kod nie uwierzytelnia już logowania, a zatwierdza przelew. No ale kto by tam patrzył, co jest napisane w treści wiadomości? Ileż można czekać? Liczy się tylko te sześć cyferek i żeby już przeszło, no. Wpisujemy więc kod, który przepisuje cyberprzestępca i w ten sposób właśnie w kilka minut straciliśmy z konta wszystkie swoje pieniądze, których już nigdy nie odzyskamy. Zobaczymy w ekran logowania, denerwując się, że coś nam ta nowa apka po aktualizacji chodzi jak stary traktor. Ewentualnie zobaczymy komunikat, że coś poszło nie tak i mamy odczekać kilka godzin, bo trwa serwis systemu. Głupi banczek. No i owszem, korzystając z autoryzowania prawdziwą apką banku, a nie SMSami, pewnie nie damy się nabrać. Albo jeżeli czytamy, co jest w ogóle napisane w treści wiadomości, które otrzymujemy. Ale wystarczy, że nabierze się co setne atakowane. To i tak zapewni przestępcom stały i szeroki strumień szmalu, utrzymując ich biznes. Tylko kto za tym wszystkim stoi? Cóż, okazuje się, że sprawa nie jest wcale taka prosta. Badacze z ESET-a twierdzą, że atakujących jest co najmniej dwóch i są to niezależne od siebie podmioty, a nie jakieś dwie powiązane ze sobą grupy, stosujące po prostu nieco inne metody. Ci pierwsi korzystają z bota na Telegramie do przekazywania poświadczeń i kodów wpisywanych przez ofiarę do operatorów całej akcji. Następnie serwer zbiera te wszystkie skradzione dane logowania, a te następnie trafiają na telegramowy czat grupowy. Stamtąd pobierają je poszczególni operatorzy, którzy próbują zalogować się na konta ofiar. Drudzy w tym celu wykorzystują swoją własną web-aplikację połączoną z serwerami kontroli CNC, zbierając informacje od poszkodowanych i dystrybuując je dalej w ten sposób. Kampanie te rozpoczęły się jakoś pod koniec zeszłego roku, ale operacyjność uzyskano dopiero wiosną roku bieżącego. Tylko czy Czesi są pierwsi i jedyni? Jak się okazuje, nie. Po pierwsze, nie są osamotnieni, bo odkryli, że podobne kampanie wycelowano również w klientów węgierskiego banku OTP oraz gruzińskiego TBC, z którym na marginesie miałem kiedyś okazję współpracować. Ale nie są też pierwsi, bo taki sam albo przynajmniej zbliżony sposób ataku opisywał już nasz rodzimy polski RIVSEK oraz CISIRTKNF jakiś rok temu, kiedy wycelowano podobny atak w klientów PKO. Serdecznie ich z tego miejsca pozdrawiam. Gitami jesteście, mordeczki. Nie zmieniajcie się. Czy można takim atakom przeciwdziałać? No w sumie to średnio. Owszem, próbujemy choćby blokować phishingowe smsy na poziomie operatorów telekomunikacyjnych, ale to jak walka z hydrą. Nie zrozumcie mnie źle. Dobrze, że walczymy, ale po odcięciu jednej głowy przeważnie wyrasta kilka kolejnych. W tym konkretnym przypadku próbuje się też blokować domeny na poziomie krajowych DNS-ów. To jednak zakłada po pierwsze, że w ogóle z nich korzystamy, a po drugie daje regulatorom władzę nad tym, co blokować, umożliwiając również cenzurę niewygodnych treści. Każdy kij, jak to zwykle bywa, ma dwa końce, a cyberprzestępcy szybko rejestrują kolejne adresy i zabawa zaczyna się od początku. Co robić i jak żyć? Skoro obserwujemy takie ataki u Czechów, to niedługo pojawią się one szerzej również u nas, o ile oczywiście wygenerują odpowiednie zyski. Dlatego jeżeli jeszcze korzystasz z wiadomości SMS do uwierzytelniania drugim składnikiem, to zastąp je czymś bezpieczniejszym, np. powiadomieniami wysyłanymi w aplikacji. Czytaj też za każdym razem komunikat, który opisuje, co zatwierdzasz, tak abyś, myśląc, że potwierdzasz logowanie ze swojego komputera, nie zezwolił złodziejom odzyskanie wszystkich środków swojego konta gdzieś, skąd nigdy już ich nie odzyskasz. Zawsze włączaj uwierzytelnianie wieloetapowe. Nie tylko w banku, gdzie jest to wymagane przez różne dyrektywy, ale też w każdej usłudze, która to umożliwia. Jeżeli nie chcesz używać moderowanych serwerów DNS, nadal możesz wykorzystać listy słuśliwych domen tworzone przez Certpolska. Są one dostępne publicznie. Na przykład u Bloku, czy AdGuardzie, jeżeli masz swój własny, lokalny serwer DNS. No i pamiętaj, żeby aktualizować na bieżąco aplikacje, z których korzystasz. Ale nactulu, nie rób tego z poziomu przeglądarki, a wykorzystaj do tego wbudowane możliwości sklepu Play czy App Store. I to już wszystko na dziś. Tymczasem dziękuję za Waszą uwagę i do zobaczenia! Napisy stworzone przez społeczność Amara.org

44626
https://www.youtube.com/watch?v=j2hL1YPOOBc Published at 2024-09-20