CSIRT KNF ostrzega przed aplikacjami mobilnymi podszywającymi się pod rozwiązania bezpieczeństwa dla klientów banków działających w Polsce. Jak wynika z przekazanych informacji, aplikacje mają sprawiać wrażenie „kluczy bezpieczeństwa”, czyli narzędzi, które z założenia utrudniają nieautoryzowany dostęp do kont, w szczególności bankowych. Oszuści wykorzystują rosnącą popularność dodatkowych zabezpieczeń i próbują przekonać użytkowników, że instalacja takiej aplikacji zwiększy ochronę. Według ostrzeżenia efekt może być odwrotny.
Fałszywe aplikacje mają udawać klucze bezpieczeństwa m.in. do: ING Bank Śląski, mBank, SGB Bank, Bank Millennium, Credit Agricole 24 oraz Alior Bank. Ryzyko polega na tym, że użytkownik instaluje program, który wygląda wiarygodnie, a następnie jest nakłaniany do nadania mu szerokich uprawnień w systemie.
W przekazanych informacjach wskazano, że aplikacje są prawdopodobnie rozprzestrzeniane przez reklamy w mediach społecznościowych oraz poprzez wyniki wyszukiwania. Dystrybucja ma też odbywać się za pośrednictwem kanałów na Telegramie i fałszywych stron internetowych. To oznacza, że użytkownik może trafić na link do pobrania aplikacji poza zaufanym źródłem, a sama instalacja może być przedstawiana jako „konieczny krok” do zwiększenia bezpieczeństwa.
Szczególnie niebezpiecznym sygnałem ma być prośba o przyznanie uprawnień do Funkcji Dostępności. Takie uprawnienie daje aplikacji szerokie możliwości działania na urządzeniu, co może prowadzić do przejmowania kontroli nad telefonem. W konsekwencji może to stać się prostą drogą do utraty pieniędzy z konta.
W ostrzeżeniu wybrzmiewa również podstawowa zasada: aplikacji nie należy instalować z niezaufanych źródeł, zwłaszcza gdy są promowane reklamami lub rozpowszechniane przez komunikatory i strony podszywające się pod wiarygodne serwisy. Jeśli program udaje narzędzie bankowe lub „klucz bezpieczeństwa”, a jednocześnie żąda nietypowych, szerokich uprawnień — to sygnał alarmowy.
Dziękujemy, że jesteś z nami!
Napisz komentarz
Komentarze