05-08-2014
zmień rozmiar tekstu
A+ A-
Trwa intensywna kampania phishingowa ukierunkowanaj na klientów banku PKO. Jej celem jest wyłudzenie danych dostępowych do serwisu internetowego iPKO oraz kodów jednorazowych umożliwiających zatwierdzanie przelewów. Nie należy wykonywać jakichkolwiek instrukcji, które przyszły mailem i wymagają logowania się do konta lub podawania kodów jednorazowych – ostrzegają eksperci G DATA.
Atak rozpoczyna się w momencie otrzymania przez użytkownika o tytule „PKO: Konto zablokowane” wysłanej rzekomo z adresu no-reply@ip.pl. Przestępcy wykorzystali adres domeny mogący sugerować związek z systemem iPKO tzw. fake mail czyli wiadomość ze sfałszowanym adresem nadawcy.
Korespondencja nieco różni się od tej wysyłanej przez bank, przede wszystkim poziomem staranności językowej. Jednak tego typu błędy łatwo jest przeoczyć. Sama treść maila jest skonstruowana tak, żeby wzbudzić u odbiorcy niepokój i skłonić go do jak najszybszego wyjaśnienia kwestii rzekomej „blokady konta”. Ma temu służyć podany w wiadomości link. Po kliknięciu w niego użytkownik zostaje przekierowany na kopię strony PKO, której jedynym celem jest wyłudzenie danych niczego nie podejrzewających użytkowników. Oczywiście strona różni się od oryginału adresem internetowym umieszczonym w pasku adresowym, ale ten szczegół również łatwo przeoczyć. Dodatkowo strona nie ma ikony kłódki oznaczającej połączenie szyfrowane.
Sam proces wyłudzenia danych polega na skłonieniu ofiary do wpisania danych dostępowych do (loginu i hasła), a następnie do podania kodu jednorazowego. Dane te, wystarczające do wykonania np. przelewu, trafiają oczywiście do przestępców. Użytkownik konta otrzymuje natomiast informację o tym, że otrzymają jeszcze wiadomość SMS, „potwierdzający numer telefonu komórkowego”. Oczywiście taki SMS nie przychodzi, ale za to daje czas przestępcom. Ofiara nie będzie bowiem próbowała zalogować się od razu na swoje konto, a cierpliwie poczeka… na jego wyczyszczenie.