Cyberprzestępcy rozpoczęli nową falę ataków w Polsce wykorzystując zaawansowane metody oszustwa, podszywają się pod PKO Bank Polski. Jednym z elementów wykorzystywanych w oszustwie jest technologia NFC, która może zostać użyta do manipulacji danymi karty płatniczej. Dzięki zastosowaniu technologii NFC oszuści mogą przechwycić dane karty płatniczej i wykorzystać je do nieautoryzowanych transakcji. Eksperci zajmujący się cyberbezpieczeństwem alarmują o rosnącym zagrożeniu i ostrzegają przed niespodziewanymi wiadomościami lub telefonami od rzekomych przedstawicieli banku. Oszuści często nakłaniają klientów do pobrania nowej aplikacji lub aktualizacji istniejącej, co w rzeczywistości może być początkiem cyberataku.

Fałszywa aktualizacja aplikacji jako metoda oszustwa
Ataki tego typu od kilku miesięcy szerzyły się w Czechach, gdzie zostały po raz pierwszy szczegółowo przeanalizowane przez specjalistów z branży cyberbezpieczeństwa. Teraz ten schemat oszustwa został przeniesiony na grunt polski. CSIRT KNF informuje, że w ostatnim czasie klienci PKO Banku Polskiego otrzymują fałszywe komunikaty zachęcające do pobrania lub aktualizacji aplikacji bankowej. Po instalacji, ofiary proszone są o zweryfikowanie swojej tożsamości poprzez przyłożenie karty płatniczej do telefonu. W rzeczywistości jest to początek wyrafinowanego ataku, którego ostatecznym celem jest przejęcie kontroli nad kontem i kradzież środków finansowych.
NGate – mechanizm stojący za oszustwem
Metoda wykorzystywana przez cyberprzestępców znana jest jako NGate. Pierwsze przypadki jej użycia pojawiły się w zeszłym roku w Czechach. Niestety, ich innowacja dostała się w niepowołane ręce i w grudniu 2023 roku oszuści wdrożyli ten schemat ataku w Czechach. Wykorzystali do tego specjalnie zaprojektowane, złośliwe aplikacje, które po raz pierwszy zostały wykryte przez ekspertów z branży cyberbezpieczeństwa. Mechanizm NGate został teraz skopiowany i zaadaptowany do warunków polskiego rynku.
Jak wygląda atak w praktyce? Oszuści często rozpoczynają od klasycznych metod phishingu, na przykład wysyłają wiadomości SMS, w których informują o konieczności zwrotu podatku lub nadpłacie i rzekomej konieczności aktualizacji aplikacji bankowej. Kliknięcie w link podany w takiej wiadomości prowadzi do pobrania fałszywej aplikacji, łudząco przypominającej oryginalne oprogramowanie bankowe, ale zawierającej złośliwy kod.
Efekt domina po pobraniu fałszywej aplikacji
Zainstalowanie fałszywej aplikacji uruchamia łańcuch zdarzeń, który prowadzi do przejęcia środków ofiary. Po wprowadzeniu danych uwierzytelniających w zainfekowanej aplikacji, oszuści mogą próbować przejąć dostęp do konta użytkownika, np. poprzez przechwycenie kodów autoryzacyjnych. Następnie przestępcy kontaktują się z ofiarą, podszywając się pod pracowników banku. Mogą twierdzić, że konieczna jest aktualizacja danych, zmiana kodu PIN lub dodatkowa weryfikacja bezpieczeństwa. Oszuści nakłaniają ofiarę do przyłożenia karty do telefonu, co może prowadzić do przechwycenia niektórych danych karty, które następnie są wykorzystywane do oszustwa.
Moduł NFC jako kluczowy element oszustwa
Jednym z najbardziej niepokojących aspektów tego ataku jest wykorzystanie modułu NFC. Nie dziwi fakt, że oszuści skupili się na tej technologii – moduł NFC jest szeroko stosowany w płatnościach mobilnych. Ponadto, popularność tego rodzaju transakcji w Polsce stale rośnie. W II kwartale 2023 roku płatności mobilne stanowiły 16,4% wszystkich transakcji zbliżeniowych, co jest znaczącym wzrostem w porównaniu do 8,7% w analogicznym okresie 2021 roku.
Jeżeli oszuści nakłonią ofiarę do przyłożenia karty do telefonu z zainstalowaną złośliwą aplikacją, dochodzi do przechwycenia i przekierowania komunikacji NFC. W efekcie przestępcy są w stanie sklonować kartę, a następnie bez większych trudności wypłacić gotówkę z bankomatu. Jeśli oszuści uzyskają pełny dostęp do konta, mogą próbować zmieniać limity wypłat i przeprowadzać kolejne transakcje.
Gigantyczne straty w czeskich portfelach
Z dostępnych informacji wynika, że w Czechach cyberprzestępcy stworzyli co najmniej sześć różnych aplikacji NGate, które były skierowane przeciwko klientom trzech różnych banków. W okresie od listopada 2023 roku do marca 2024 roku wielu użytkowników padło ofiarą tego oszustwa, tracąc nawet kilkadziesiąt tysięcy koron czeskich. Policja w Czechach aktywnie walczy z procederem, a przełomowym momentem było zatrzymanie 22-letniego mężczyzny w Pradze, który wypłacał pieniądze z kont oszukanych osób. W chwili aresztowania posiadał przy sobie 160 000 koron czeskich, co odpowiada kwocie ponad 6000 euro. Śledczy podejrzewają, że skala oszustwa może być znacznie większa, ponieważ odzyskane pieniądze pochodziły tylko od trzech ostatnich ofiar.
Jak się chronić przed oszustami?
Podstawową zasadą ochrony przed tego typu atakami jest zachowanie maksymalnej czujności. Nigdy nie należy podawać żadnych danych związanych z bankowością, takich jak login, hasło czy kod PIN, nawet jeśli osoba po drugiej stronie twierdzi, że reprezentuje bank. Ponadto, warto pobierać aplikacje wyłącznie z oficjalnych źródeł, takich jak Google Play lub App Store, a najlepiej kierować się na stronę banku, aby mieć pewność, że trafiamy na właściwe oprogramowanie.
Należy również zwracać szczególną uwagę na wszelkie niespodziewane prośby o instalację lub aktualizację aplikacji bankowej. Jeśli otrzymamy taką wiadomość, warto skontaktować się bezpośrednio z bankiem, dzwoniąc na oficjalny numer kontaktowy. Ostrożność i zdrowy rozsądek to najlepsza tarcza ochronna przed cyberprzestępcami, którzy stale modyfikują swoje metody działania, aby wprowadzić ofiary w błąd i przejąć ich oszczędności.
Na koniec warto także zabezpieczyć swoje urządzenie za pomocą skutecznego programu antywirusowego, np. Bitdefender Mobile Security. Dzięki niemu uchronisz się przed złośliwym oprogramowaniem, które ma na celu kradzież Twoich pieniędzy i danych.