Serviciul Român de Informații a transmis recent două atenționări privind o serie de atacuri cibernetice care vizează servicii de internet banking prin browser, dar și furtul de credenţiale bancare de pe terminalele mobile, atacuri inițiate de hackeri care profită de îngrjorările provocate de pandemia de COVID-19. Anton Rog, șeful Centrului Cyberint al SRI, a detaliat metodele de infectare și și metodele prin care utilizatorii se pot proteja.
Anton Rog, seful Centrului national Cyberint al SRI, a detaliat,la Gândul Live, cum acționează virușii care infectează soluțiile de internet banking prin browser și prin aplicații.
„În cazul troianul bancar Qbot, clienții au primit un e-mail cu un link la a cărui accesare se descarcă o arhivă .zip – vorbim de sistemul de operare Windows și browserele lor, din acea arhivă .zip se descărcă un fișier de tip Microsoft Word, în care opțiunea de executare a codului intenționat era activă. Deci la deschiderea și accesarea documentului respectiv, calculatorul era infectat. Ce face troianul ăsta? Mai întâi verifică ce antivirus am și își ia niște metode pentru a nu fi detectat, asigurându-și în felul ăsta persistența. Mai apoi interceptează tot ce tastez la tastatură și tot ce lucrez prin sesiuni cu navigatoarele, și de acolo își extrage numărul de card, numărul de cont, utilizatorul, parola și toate celelalate date prin intermediul cărora eu accesez serviciile bancare. Și în numele meu începe să facă tranzacții online, care din punctul de vedere al băncii sunt valide, deci aveți grijă”, a explicat Anton Rog.
În cazul aplicațiilor bancare, acționează un al troian, Cerberus Android Banker, care compromite sistemele- telefoanele mobile sau tabletele, care ruleaza sistemul de operare Android de la versiunea 4 la 10. „Acolo, clienții băncilor din România, și nu numai, au primit un SMS în care scria „Detalii secrete Covid-19” și în contextul respectiv, în care toți suntem îngrijorați pentru sănătatea noastră, unii dintre ei l-au accesat. Le-au cerut să descarce o aplicație, n-ar fi trebuit să facă asta, le-a cerut să o instaleze, n-ar fi trebuit să facă, pentru că de pe terminale mobile mă duc în Google Play și de acolo instalez toate aplicațiile, iar cei care au făcut-o s-au infectat. Ce face aplicația? La instalare îmi cere acces extins la telefon, dacă i-am dat, atunci îmi interceptează SMS-uri, poate da SMS-uri în numele meu, îmi fură utilizatorul, parola, toate crențialele bancare, e-mail-urile, tot ce tastez la tastatură. Deci faptul că primesc SMS de la bancă nu mă ajută, pentru că ajunge și în telefonul meu, și în telefonul grupării de criminalitate cibernetică, prin intermediul aplicației. Deci hackerul are utilizatorul, parola și primește și SMS-ul în timp real”, a detaliat specialistul SRI, la Gândul Live.
„Trebuie să fim atenți la următorul lucru: toate băncile când fac tranzacții, ne trimit notificări. Atunci când a venit prima notificare pe care nu o recunosc că este a mea, întorc cardul, pe spate e un număr de telefon, sun acolo de urgență și spun: Vă rog să îmi blocați operațiunile online! Pentru că astfel banca blochează tot ce ar mai încerca să facă gruparea. Iar, odată infectat, singura soluție de a scăpa de virus este să resetez telefonul la setările din fabrică, adică să șterg tot și să revin dintr-o copie de siguranță, dacă o am, cu atenție să nu instalez iar aplicația respectivă. Ca recomandare generală, nu accesez link-uri pe care nu le cunosc, indiferent cum vin – SMS, WhatsApp ș.a., nu descarc aplicații, nu dezarhivez, dacă nu vin de la persoane cunoscute și dacă nu au legătură cu activitatea profesională și viața mea personală”, a conchis Anton Rog.
Potrivit comunciatului SRI, în luna aprilie a anului în curs a fost identificată o campanie de atacuri cibernetice a unei grupări de criminalitate cibernetică care utilizează troianul bancar Qbot (QakBot, Plinkslipbot, QuakBot). În diferitele variante identificate, troianul vizează preponderent clienții organizațiilor din domeniul financiar-bancar din SUA, România, Canada și Grecia. Într-o măsură mai redusă, Qbot a vizat și clienți ai organizațiilor din domeniul tehnologic, comercial și al telecomunicațiilor. În România, campania a vizat clienții unor platforme care utilizează servicii de internet banking prin browser (Chrome, FireFox, Microsoft Edge) și nu prin aplicații dedicate.
În plus, a atenționat SRI, în contextul asociat pandemiei de SARS-CoV-2 a fost identificată o campanie de distribuire de malware care vizează furtul de credenţiale bancare de pe terminalele mobile ale utilizatorilor. Din punct de vedere tehnic, acțiunea ilicită are la bază distribuirea unui mesaj tip text care conţine o versiune nouă a troianului Cerberus Android Banker. Mesajul este redactat în limba română și invită utilizatorii să acceseze un link pentru descărcarea de informaţii privind SARS-CoV-2. Sintagma utilizată în conţinutul mesajului este „Detalii secrete! (COVID-19)”