Ufacie aplikacjom mobilnym? Lepiej bądźcie ostrożni. Jedna z aplikacji bankowych dostępna w sklepie Google Play wyprowadziła wrażliwe dane od polskich użytkowników. Jak hakerom udało się przeprowadzić ten atak?
Według ekspertów aplikacja o nazwie „Bankowość uniwersalna Polska” mogła pozbawić środków na koncie wiele nieświadomych osób, które nieopatrznie zalogowały się do niej na smartfonach. Oszuści doskonale wiedzieli, że w Internecie jest spora grupa użytkowników, dla których odróżnienie prawdziwego oprogramowania od fałszywego, wciąż jest dużym problemem. Kliknięcia niektórych osób są dziełem przypadku, a to nie pierwszy raz zostało wykorzystane przez hakerów.
Czujność w trybie on / off
Fałszywa aplikacja znalazła się w sklepie Google Play, co oczywiście wzbudziło zaufanie. Czym przyciągnęła do siebie użytkowników? Umożliwiała dostęp do 21 różnych banków. Ale to nie wszystko. Zawierała także logotypy znanych nam marek. Hakerzy zadbali również o atrakcyjne, estetyczne grafiki, które skutecznie wyłączyły czujność użytkowników.
W rezultacie na swój smartfon mógł pobrać ją każdy nieostrożny internauta. Na szczęście została szybko usunięta i z Google Play zniknęła 20 marca. Czy to koniec zagrożenia jakie stwarza? Tego nie można powiedzieć, bo wszystko wskazuje na to, że aplikacja wciąż krąży po internetowych sklepach – tym razem, tych nieautoryzowanych.
„Bankowość uniwersalna Polska” działa łudząco podobnie do autentycznych oprogramowań. Po wybraniu odpowiedniego banku, użytkownik jest proszony o dane do uwierzytelnienia. Po wpisaniu loginu i hasła trafiają one wprost do hakera, a dalszy proces logowania – nie trudno się domyślić – kończy się niepowodzeniem. Aplikacja nie wysyła SMS-ów odbiorcy, ale maja do nich wgląd cyberprzestępcy. W takiej sytuacji wykradzenie pieniędzy z rachunku staję się nadzwyczaj proste.
Dla osób, które dopiero rozpoczynają swoją przygodę z bankowością mobilną – która bez wątpienia ułatwia życie w wielu sytuacjach – mamy radę. Logowanie do konta bankowego jest bezpieczne tylko wtedy, gdy robimy to przy wykorzystaniu autorskiej aplikacji banku lub takiej, która jest przez niego uznana – przykładem jest choćby bardzo popularny Blik.
W Google Play sprawdzimy podmiot tuż pod nazwą aplikacji. Jeśli wygląda podejrzanie – tak jak w przypadku tego cyberataku była to GroupDev 17/13 – możemy być niemal pewni, że swoje wrażliwe dane i stan konta wystawiamy na widok osób niepożądanych.