„Vazeny kliente. Vase Identifikacni cislo jsou z bezpecnostnich duvodu zablokovan,“ stojí v podvodné SMS, jejíž odesílatel označený jako CSOB následně žádá, aby se příjemce obrátil na v ní uvedený shortlink (bit.ly). I tato výzva je přitom napsaná lámanou češtinou. Už to by mělo být pro příjemce takové SMS varováním, byť v něm odesílatel navozuje mylný dojem, že jej kontaktuje jeho banka.
Tedy v případě, že je jejím klientem. Útočníci totiž zjevně necílí výhradně na mobilní uživatele, kteří skutečně využívají služeb ČSOB, namísto toho podvodnou SMS rozesílají na náhodná mobilní čísla. V redakci víme o příjemcích z řad zákazníků Vodafonu, několik případů pak potvrdila i Kateřina Mikesková z tiskového oddělení T-Mobilu. Operátor O2 podle vyjádření tiskové mluvčí Kateřiny Mikšovské žádné takové případy neeviduje.
Jediným cílem útočníků je získat přihlašovací údaje k internetovému bankovnictví uvedené banky. Shortlink totiž odkazuje na podvržený web ČSOB, respektive na stránku s přihlášením do jejího internetového bankovnictví.
Klienti uvedené banky přitom v první chvíli mohou nabýt dojmu, že jde o pravý web internetového bankovnictví ČSOB. Po vizuální stránce je totiž prakticky nerozeznatelný. Varováním je však adresa v adresním řádku, která by neměla uniknout jejich zájmu. Byť adresa podvrženého webu začíná stejně jako v případě skutečné stránky ČSOB (ib.csob.cz), tak za touto částí adresy následuje její další část. Z té je již patrné, že nejde o stránky provozované na tuzemské, nýbrž na ruské doméně (.ru).
„Rozhodně doporučujeme zákazníkům neklikat na odkazy, které mají podezřelý název, případně webová stránka má delší adresu, než by bylo obvyklé,“ reagoval mluvčí Vodafonu Ondřej Luštinec na dotaz redakce Mobil.iDNES.cz s tím, že se operátor podobné podvody snaží aktivně řešit a v tomto konkrétním případě již požádal poskytovatele shortlinku (bit.ly) o blokaci adresy.
V případě, že podvodné linky chodí právě prostřednictvím SMS, operátor podle Luštince odesílající stranu aktivně blokuje. „Budeme rádi, když nám zákazníci, kteří dostanou podobnou zprávu, tuto událost nahlásí na informační linku, případně prostřednictvím online péče,“ dodal.
Věrohodnosti v případě podvržené stránky se mohou útočníci snažit docílit i bezpečnostním certifikátem https. Podle Luštince jej však podvodné webové stránky obvykle nemají, v opačném případě operátor komunikuje i s jejich vydavateli a žádá je o jeho odstranění.
Podobné útoky podle Luštince probíhají ve vlnách. Útočníci si jsou totiž vědomi toho, že odkaz na podvodný web nebude fungovat dlouho. “Spoléhají na masivní rozeslání zpráv a doufají, že někteří zákazníci na podvodných stránkách zadají své přihlašovací údaje,“ vysvětlil mluvčí Vodafonu.
V tomto konkrétním případě tedy útočníci čekají, až některý z příjemců prostřednictvím podvrženého webu zadá identifikační číslo a PIN. „Útočníci údaje zjistí, obratem je zadají do správného internetového bankovnictví a čekají, až na jejich podvodném webu potvrdíte přihlášení přes SMS klíč nebo bankovní aplikací. Díky tomu pak mohou útočníci získat přístup do vašeho bankovnictví,“ varuje Vodafone na webu s aktuálními hrozbami.
Tiskový mluvčí skupiny ČSOB Patrik Madle redakci Mobil.iDNES.cz informoval, že banka o výše zmíněném phishingu ví a přijala potřebná opatření.
„V rámci tohoto případu kontaktovali banku malé desítky klientů. Útokům věnujeme maximální pozornost včetně komunikace na klienty. V boji s phishingem spolupracujeme s partnery, kteří v dané oblasti patří mezi špičku,“ dodal Madle.
Vodafone proto zákazníkům důrazně doporučuje, aby používali odkaz na svou banku uložený ve svých prohlížečích a přihlašovací údaje zadávali jen na těchto webových stránkách. „Každá banka vydává bezpečnostní rady/doporučení, které zákazníkům velice dobře radí, jak postupovat při přihlášení do internetového bankovnictví,“ doplnil Luštinec.
Aktualizováno o vyjádření O2