Dzwonią z autentycznych numerów infolinii bankowych – wyłudzają kody SMS autoryzujące transakcje. Możecie stracić oszczędności życia

Zwięzły i precyzyjny opis sytuacji przedstawił zespół CERT Polska:

Ostrzegamy przed bardzo dobrze przygotowanym atakiem telefonicznym, w którym przestępcy próbują uzyskać kod SMS potrzebny do utworzenia odbiorcy zaufanego. W konsekwencji umożliwia to kradzież środków z konta. Atakujący dzwonią do ofiar podszywając się pod numer telefonu infolinii banku i proszą o kod SMS, najczęściej w bardzo nachalny sposób. Co ważne, numer infolinii nie jest pod kontrolą przestępców, dzwoniąc pod niego połączymy się z bankiem. Niestety telefonia GSM umożliwia podszycie się pod dowolny numer telefonu (tzw. spoofing). Przestępcy wykorzystują do tego celu wyspecjalizowane serwisy.

O technice tej jako pierwszy powiadomił nas Idea Bank, ale z informacji medialnych wynika, że inne banki też są tak atakowane. Przekażcie posta znajomym, niezależnie w jakim banku mają konto i pamiętajcie aby zgłaszać takie telefony na https://incydent.cert.pl – pozwoli to nam skuteczniej pracować z bankami w zakresie zwalczania tego typu praktyk.

Podsumujmy najistotniejsze kwestie:

• Atakujący dzwonią z realnego numeru infolinii bankowych (można to zrealizować gotowymi – nawet on-lineowymi – narzędziami realizującymi podszycie się pod dowolny numer GSM) – nie jest to atak ani na bank, ani na sieć GSM; jest to wykorzystanie pewnej nieprzyjemnej właściwości sieci komórkowych (wszyscy ufają wszystkim)
• Atakujący wykradają kod umożliwiający zdefiniowanie tzw. zaufanego odbiorcy = mogą realizować w przyszłości przelewy na własne konto, bez posiadania dodatkowych kodów SMS
• Pamiętajmy, że aby wykraść środki, atakującym nie wystarczy sam kod przesłany SMS-em – potrzebują jeszcze Waszego loginu / hasła do bankowości (czyli drugiego czynnika uwierzytelniającego)
• Nie powinniśmy podawać żadnych kodów autoryzacyjnych w przypadku kiedy ktoś do nas dzwoni (niezależnie z jakiego numeru). Najlepiej w ogóle nie podawać numerów autoryzujących transakcje w rozmowie telefonicznej.
• Czytajmy kody z SMS-ów. Kody nie są uniwersalne (mogące autoryzować każdego rodzaju transakcję) – tylko unikalne per konkretny typ autoryzowanej operacji. Czyli jeśli robicie przelew a otrzymujecie kod opisany jako 'dodanie nowego autoryzowanego kontrahenta’ – to prawdopodobnie jest realizowany na was atak.

–ms