Malware NFC pojawił się w Polsce. Kradnie PIN / inne dane karty płatniczej i wysyła je do przestępcy przy bankomacie. Filmik na przykładzie PKO BP.

O temacie ostrzega ESET oraz KNF. Malware w działaniu można zobaczyć na filmiku poniżej (źródło)

Co my tu mamy? Jak relacjonuje ESET, przestępcy używają lewej appki bankowej (w tym przypadku PKOBP). Appka dostarczana jest za pomocą socjotechniki (może to być SMS czy e-mail).

Appka wykonana jest w technologii WebAPK (można ją wtedy zainstalować bezpośrednio z przeglądarki mobilnej, czyli bez udziału sklepu z appkami). Jak widać na filmie, appka w pewnym momencie może prosić o „weryfikację karty płatniczej” – czyli przyłożenie karty do telefonu oraz podanie PINu (*)

W tym momencie dane z karty są wykradane przez NFC (to tak jakbyśmy przyłożyli kartę do terminala/bankomatu; wykorzystywany jest atak NFC relay, patrz też tutaj). W skrócie: cała paczka wrażliwych danych wysyłana jest do przestępcy, który stoi przy bankomacie i wypłaca pieniądze.

Tak wygląda interface appki + wgląd w komunikację sieciową wysyłaną z telefonu ofiary do przestępcy:

Jak się chronić?

• Przede wszystkim nie instalować appek z podejrzanych źródeł. A jaka appka jest niepodejrzana? Warto sprawdzić linka do odpowiedniego sklepu na stronie swojego banku.
• Jeśli appka bankowa prosi Cię o jakąś nietypową aktywność (np. podanie PESELu, hasła do bankowości, czy jak w tym przypadku numeru PIN do karty + przyłożenia karty do telefonu) – zwiększ czujność, nie podawaj danych, zadzwoń do swojego banku sprawdzając czy nie jesteś przypadkiem ofiarą oszustwa.

(*) Całość może się odbywać po wcześniejszej prośbie appki o podanie danych logowania do banku. Po podaniu danych może do nas zadzwonić przestępca podszywający się pod pracownika banku, informując o zhackowaniu naszego konta bankowego, tak przynajmniej było w czeskim scenariuszu, który przywołuje ESET. Fałszywy konsultant bankowy rekomenduje teraz „zabezpieczenie konta” – czyli skłania ofiarę do przyłożenia karty do telefonu i zmiany PINu.

~Michał Sajdak