Zgodnie z przyjętą przez kraje Unii Europejskiej dyrektywą PSD2 od 14 września obowiązują nowe zasady logowania do bankowości – tzw. silne uwierzytelnienie. Opiera się ono na zastosowaniu co najmniej dwóch elementów, należących do trzech kategorii: „wiedza" (kod, np. PIN lub hasło), „posiadanie" (np. karta lub telefon, które mogą być użyte do transakcji lub korzystania z bankowości internetowej) lub „cecha klienta" (specyficzna tylko dla niego – np. odcisk palca).
Nowe metody
Oszuści zareagowali niemal natychmiast. Wysyłając spam, mający na celu zainfekowanie komputerów wielu użytkowników, przestępcy nie dobierają dokładnie ofiar, a robią to raczej w sposób losowy, licząc, że skala ataku przyniesie oczekiwany rezultat. Inaczej sprawa ma się w najnowszym ataku. Przestępcy postawili na bezpośredni kontakt z potencjalna ofiarą – za pośrednictwem telefonu i poczty e-mail. Eksperci cyberbezpieczeństwa z Prebytes Sirt podają scenariusz takiego ataku.
Cyberprzestępca dzwoni do wytypowanej przez siebie ofiary. Podając się za konsultanta banku informuje o potrzebie dopełnienia formalności dotyczących wdrożenia PSD2 i namawia, aby użytkownik podążał za wydawanymi poleceniami.
Po wzbudzeniu zaufania wysyła do ofiary wiadomość e-mail. Zawarty jest w niej odnośnik do pobrania pliku archiwum (np. RAR). Zawiera ona rzekomo zabezpieczony poufny dokument, który należy pobrać z zamieszczonego linku. Kontynuując rozmowę, podaje hasło niezbędne do rozpakowania zapakowanego programu do podpisywania dokumentu. Rozpakowany plik jest aplikacją, która swoją ikoną imituje logo danego banku. To w rzeczywistości złośliwe oprogramowanie SpyWindow. Uruchomiony będzie się uwiarygadniał logo banku, którego ofiara jest klientem. Wykorzystuje do swojego działania framework.NET. Działanie malware polega na prezentacji okien dialogowych, które nakłaniają użytkownika do podania swoich poufnych danych logowania do bankowości internetowej. Ponadto przez okna dialogowe pozyskiwane są również kody autoryzacyjne. Następnie malware podejmuje próbę usunięcia się z systemu.
W pierwszym kroku otwierany zostaje dokument PDF z rzekomą informacją z banku. Jest on rozmyty i tym samym nieczytelny. Dokument ten jest zapisywany przez malware na dysku komputera. Na nim wyświetlane są kolejno okna, które wymagają wprowadzenia loginu i hasła, a także kodu autoryzacyjnego. SpyWindow wymaga dwukrotnie podania kodu autoryzacyjnego. Najprawdopodobniej wynika to z faktu, że niektóre bankowości wymagają podania kodu SMS podczas logowania. Wprowadzone przez ofiarę dane są przechwytywane przez przestępców. Po podaniu drugiego kodu i zatwierdzeniu złośliwe oprogramowanie zakończy swoje działanie, informując użytkownika o pomyślnym podpisaniu dokumentu. Dokument PDF otwierany jest w czytelnej wersji po zakończeniu fikcyjnej autoryzacji.
