Nawet nie wiesz, gdzie się logujesz. Polacy oddali dostęp do kont bankowych hakerom

W Google Play pojawiła się aplikacja wyłudzająca dane dostępu do 21 polskich banków.
W Google Play pojawiła się aplikacja wyłudzająca dane dostępu do 21 polskich banków. Foto: Pexels.com
W sklepie Google Play znaleziono aplikację, która umożliwiała zalogowanie się do aż 21 polskich banków. Trudno powiedzieć, jak mogła ona w ogóle trafić na serwery Google, bo dostęp do konta, owszem, dawała. Ale tylko hakerom.

Feralną aplikację odkryto 20 marca i została ona natychmiast zablokowana. Firma Eset, produkująca zabezpieczenia antywirusowe, twierdzi że liczba pobrań aplikacji nie przekroczyła setki.

Logowanie do banku
Aplikacja o nazwie „Bankowość uniwersalna Polska” wymagała zalogowania się do banku i przejmowała dane użytkownika.

– Te dane były wysyłane do hakera, a proces logowania do rachunku w ogóle nie miał miejsca. Aplikacja potrafiła omijać dwuskładnikowe uwierzytelnienie – użytkownik nie widział SMS-ów z banku, natomiast dostęp do nich zyskiwał cyberprzestępca. Z ich pomocą mógł wyprowadzić pieniądze z rachunków swoich użytkowników – tłumaczy Lukas Stefanko, badacz zagrożeń z Eset.

Niebezpieczne transakcje online
Ofiarami oszustwa mogli paść klienci banków takich jak Pekao, PKO, mBank, Millenium, Credit Agricole, CitiHandlowy, Alior Bank, BOŚ Bank, BZ WBK, Deutsche Bank, DnB Nord, Eurobank, GET IN Bank, IdeaBank, ING, Inteligo, Noble Bank, Nest Bank, PBS Bank, Plus Bank oraz Raiffeisen Bank.

Aplikacja została wyrzucona z Google Play, ale nadal jest jednak dostępna w tzw. drugim obiegu, czyli w nieautoryzowanych sklepach z aplikacjami.

Do podobnego ataku doszło w listopadzie zeszłego roku. Wówczas hakerzy wpuścili do Google Play aplikacje CryptoMonitor oraz StorySaver, które oprócz obiecywanych funkcjonalności wyświetlały swoim ofiarom nakładki na ekrany logowania do bankowości mobilnej.


Eksperci Eset twierdzą, że obie aplikacje, podobnie jak „Bankowość uniwersalna Polska”, potrafiły również przechwytywać wiadomości SMS, zawierające kody do autoryzowania transakcji online.
Trwa ładowanie komentarzy...

BLOGI

NAJNOWSZE WPISY

Piotr BuckiPiotr Bucki

Podczas ostatniej konferencji Kurs na HR w Gdańsku, Marcin Grzegory z Invest in Pomerania, zadał widowni pytanie, „Kto z Państwa wie coś na temat projektu Invest in Pomerania”. Potem dodał, „Pytam, bo wiem, że nie ma nic gorszego niż opowiadania o rzeczach, które ludzie znają i kojarzą”. Miał rację.

Łukasz DudkoŁukasz Dudko

Odpowiedzi na to pytanie jest tyle, że wystarczyłoby pewnie na grubą książkę, ale skupmy się na dwóch kluczowych błędach: słabej analizie konkurencji oraz nieprzygotowaniu produktu i zespołu. Bez tego ekspansja na rynki zagraniczne nie ma szans.

Bartłomiej DąbkowskiBartłomiej Dąbkowski

Walter Isaacson, w podsumowaniu biografii Leonardo da Vinci, podsuwa nam sporą listę wniosków wynikających z działalności artysty, które można wykorzystać do rozwijania swojej kreatywności.