Un nou tip de atac phishing, denumit Spiderman, este folosit de către infractori pentru a copia perfect site-urile zecilor de bănci şi platforme financiare din Europa, pentru ca în finale să fure parole, coduri 2FA şi date de card, transmite Directoratul Naţional de Securitate Cibernetică (DNSC).
Kit-ul este modular şi permite adăugarea rapidă de noi bănci şi metode de autentificare, fiind deja folosit de către sute de atacatori, conform platformei bleepingcomputer.com, citate de DNSC.
Cine sunt ţintele
Printre ţintele vizate de către hackeri prin răspândirea acestui kit se află Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank şi Commerzbank, dar şi portofele crypto, precum Ledger sau Metamask.
„Operatorii pot vedea în timp real sesiunile victimelor şi pot intercepta inclusiv coduri PhotoTAN. Datele furate pot duce la preluarea datelor de acces la conturi bancare, fraudă financiară sau furt de identitate. Utilizatorii sunt sfătuiţi să verifice întotdeauna domeniul oficial înainte de a introduce datele de autentificare şi să raporteze imediat orice notificare OTP primită fără iniţierea unei acţiuni”, notează DNSC.
Cercetătorii de la Varonis au observat că acest kit poate crea pagini de phishing şi pentru portalurile online ale companiilor fintech, cum ar fi serviciul suedez Klarna şi PayPal.
„Deşi capturarea PhotoTAN nu este o caracteristică nouă în kiturile de phishing, este considerată un „must-have” pentru platformele care vizează instituţii europene. Operatorii Spiderman pot configura scopul ţintirii din panoul de control, limitându-l la anumite ţări, adăugând liste albe de ISP-uri (Internet Service Provider, n.r.), filtre pentru tipul de dispozitiv (utilizatori mobili sau desktop) şi configurând redirecţionări pentru vizitatorii care nu se califică pentru atacuri de phishing”, se arată în articolul publicat pe platforma de profil.
Cum ne protejăm
Specialiştii avertizează asupra faptului că toate kiturile de phishing se bazează pe faptul că victimele accesează un link care le direcţionează către o pagină de login falsă.
„Cea mai bună protecţie este să confirmaţi întotdeauna că vă aflaţi pe domeniul oficial înainte de a introduce credenţialele şi să verificaţi de două ori ferestrele browser-in-the-browser care ar putea afişa URL-ul corect. Primirea unui SMS sau a unei solicitări PhotoTAN pe dispozitivul dvs. care nu este legată de o acţiune pe care aţi făcut-o este un semn al unei tentative de preluare şi ar trebui raportată imediat băncii”, susţin cercetătorii.
Raportul de specialitate precizează că PhotoTAN este un sistem OTP utilizat de multe bănci din Europa, în care o imagine mozaic colorată este afişată în timpul paşilor de login sau aprobare a tranzacţiilor, pe care utilizatorul trebuie să o scaneze cu aplicaţia băncii pentru a continua. Practic, aplicaţia decodează mozaicul şi afişează un OTP specific tranzacţiei, care trebuie introdus înapoi pe site-ul băncii.
