„Po phishingové vlně, která mířila na elektronické bankovnictví Komerční banky, jsme zaznamenali téměř totožný e-mail určený pro klienty GE Money Bank,“ upozornil Pavel Bašta, bezpečnostní analytik týmu CSIRT.CZ, který je provozován sdružením CZ.NIC.

Po kliknutí na odkaz v e-mailu je uživatel přesměrován na falešnou stránku GE Money Bank.bezpečnostní analytik týmu CSIRT.CZ Pavel Bašta

Scénář útoku je prakticky totožný jako v případě útoku na klienty Komerční banky. „Uživatele tento podvodný e-mail navádí k aktualizaci certifikátů, a to z důvodu nově nalezené zranitelnosti. Po kliknutí na odkaz v e-mailu je uživatel přesměrován na falešnou stránku GE Money Bank, která vyžaduje zadání přihlašovacích údajů do elektronického bankovnictví,“ konstatoval Bašta.

V případě, že uživatelé skutečně zadají přihlašovací údaje do podvodného formuláře, který vypadá jako skutečné internetové bankovnictví GE Money Bank, mají počítačoví piráti vyhráno. V přístupu na účet jim už nic nebrání.

Zotročit dokážou i chytrý telefon

Pokud se jim podaří zotročit také chytrý telefon majitele účtu, například prostřednictvím nějaké podvodné aplikace, získají kompletní kontrolu nad penězi klienta banky. Připravit jej pak mohou klidně o všechny peníze na účtu, pokud to samozřejmě limity internetového bankovnictví dovolí. Mají totiž kontrolu i nad potvrzovacími SMS zprávami jednotlivých transakcí.

Od phishingových zpráv se distancovala už i GE Money Bank. „Podvodný e-mail nabádá k otevření internetového bankovnictví kliknutím na věrohodnou kopii přihlašovací stránky do Internet Banky, ale se špatnou internetovou adresou,“ podotkli zástupci banky.

Útoky jsou sofistikované

Phishingový podvod tak mohou pozornější čtenáři poznat podle toho, že v adresním řádku internetového prohlížeče je neznámá adresa. Skutečná adresa internetového bankovnictví GE Money Bank začíná „https://ibs.internetbanka.cz“.

Podvodnou stránku je možné poznat pomocí adresního řádku internetového prohlížeče, kde je špatná adresa internetového bankovnictví.

Podvodnou stránku je možné poznat pomocí adresního řádku internetového prohlížeče, kde je špatná adresa internetového bankovnictví.

FOTO: GE Money Bank

„Důrazně doporučujeme takové e-maily smazat! Pokud nebudete na e-maily reagovat, nemůže se nic stát,“ uzavřeli zástupci banky.

Aktuální vlna podvodů cílící na klienty tuzemských bank je poměrně sofistikovaná. V prvním zaznamenaném případě týkajícím se Komerční banky si totiž počítačoví podvodníci dokázali poradit i se sofistikovanější formou zabezpečení – obejít dokázali i bezpečnostní certifikát, který je pro každého klienta unikátní a slouží k přístupu do internetového bankovnictví. [celá zpráva]