PKO Bank Polski - ktoś podszył się pod aplikację IKO. Analitycy przestrzegają przed atakiem phishingowym

Różnego rodzaju ataki przy pomocy środków komunikacji takich jak poczta elektroniczna czy wiadomości SMS stały się w zasadzie codziennością użytkowników nowoczesnych urządzeń elektronicznych. Większość z nich pozostaje dość prymitywna i łatwo zauważyć, że łącza URL nie pochodzą od zaufanego nadawcy. Jednak niektóre ataki zasługują na uwagę i opisanie - ku przestrodze i dla zaspokojenia zawodowej ciekawości. Co tym razem przygotowali hakerzy?

Obiektem ataku są użytkownicy aplikacji IKO obsługującej konta bankowe klientów PKO Banku Polskiego. Opiera się na phishingu poprzez wiadomości SMS przesyłane na komórkowe numery telefoniczne. Scamerska aplikacja została przygotowana na bazie WebAPK, więc omija sklep Google Play.

Klienci banku PKO BP ponownie narażeni na ataki phishingowe

Jaki był sposób działania wzmiankowanego oszustwa? Od strony kroków postępowania dla użytkownika dość standardowy - najpierw SMS z linkiem (od zwykłego numeru telefonu), a po kliknięciu zostajemy zaś przekierowani do aplikacji (która w rzeczywistości jest stroną web). Następnie zaś zaatakowani są proszeni o udzielenie loginu, hasła, kodu 2FA i kodu SMS. Z tej perspektywy jest to dość typowy schemat oszustwa przy użyciu hiperłącza.

Bitwarden celem ataków phishingowych. Cyberprzestępcy posłużyli się jednak niecodzienną metodą

Ciekawiej jest natomiast pod podszewką. Scam został oparty na WebAPK, a zatem generuje plik APK (instalatora) dla aplikacji internetowej. Co daje wybór tej technologii? Pozwala ominąć zabezpieczenia sklepu Google Play Store (np. powiadomienia), gdyż w ogóle nie jest on wykorzystywany w procesie instalacji. Co interesujące, sama aplikacja widnieje potem jako rzekomo pobrana przez sklep w zakładce źródła instalacji. Komisja Nadzoru Finansowego przygotowała poniższy schemat dla zobrazowania sytuacji (pod linkiem znajduje się również szczegółowe omówienie techniczne ataku dla analityków):