Ce este atacul Spiderman și de ce este considerat periculos
Directoratul Național de Securitate Cibernetică (DNSC) avertizează că un nou kit de phishing, numit Spiderman, este folosit de infractori pentru a imita site-urile a zeci de bănci și platforme financiare din Europa. Informațiile se bazează pe date publicate de platforma de specialitate bleepingcomputer.com.
Kitul este modular și permite adăugarea rapidă de noi instituții financiare și metode de autentificare. Potrivit specialiștilor, acesta este deja utilizat de sute de atacatori. Prin intermediul său sunt colectate parole, coduri de autentificare în doi pași și date de card bancar.
Printre țintele identificate se află instituții bancare cunoscute precum Deutsche Bank, ING, Comdirect, Volksbank sau Commerzbank. De asemenea, atacurile vizează furnizori de servicii de telecomunicații și platforme financiare, dar și portofele de criptomonede, precum Ledger și Metamask.
Cum sunt interceptate codurile 2FA și PhotoTAN
DNSC a explicat că operatorii acestui kit pot vedea în timp real sesiunile victimelor. Astfel, pot intercepta inclusiv coduri PhotoTAN, o metodă de autentificare utilizată de multe bănci europene. Datele furate pot duce la preluarea conturilor bancare, fraudă financiară sau furt de identitate.
„Operatorii pot vedea în timp real sesiunile victimelor şi pot intercepta inclusiv coduri PhotoTAN. Datele furate pot duce la preluarea datelor de acces la conturi bancare, fraudă financiară sau furt de identitate.
Utilizatorii sunt sfătuiţi să verifice întotdeauna domeniul oficial înainte de a introduce datele de autentificare şi să raporteze imediat orice notificare OTP primită fără iniţierea unei acţiuni”, notează DNSC.
Cercetătorii de la Varonis au observat că acest kit poate genera pagini de phishing inclusiv pentru portalurile online ale unor companii fintech. În această categorie intră servicii precum Klarna sau PayPal, folosite pe scară largă în Europa.
Specialiștii arată că interceptarea PhotoTAN este o funcționalitate esențială pentru atacurile care vizează instituții europene. Operatorii pot seta țintirea în funcție de țară, furnizor de internet, tip de dispozitiv sau pot redirecționa utilizatorii care nu corespund criteriilor stabilite.
„Deşi capturarea PhotoTAN nu este o caracteristică nouă în kiturile de phishing, este considerată un „must-have” pentru platformele care vizează instituţii europene.
Operatorii Spiderman pot configura scopul ţintirii din panoul de control, limitându-l la anumite ţări, adăugând liste albe de ISP-uri (Internet Service Provider, n.r.), filtre pentru tipul de dispozitiv (utilizatori mobili sau desktop) şi configurând redirecţionări pentru vizitatorii care nu se califică pentru atacuri de phishing”, se arată în articolul publicat pe platforma de profil.
De ce un simplu click poate compromite datele bancare
Toate aceste atacuri se bazează pe același mecanism. Victimele accesează un link care le direcționează către o pagină de autentificare falsă, aproape identică cu cea originală. Odată introduse datele, acestea ajung direct la atacatori.
DNSC subliniază că utilizatorii trebuie să verifice întotdeauna domeniul oficial înainte de a introduce credențialele. De asemenea, primirea unui SMS sau a unei solicitări PhotoTAN care nu este legată de o acțiune inițiată de utilizator reprezintă un semnal clar de tentativă de fraudă și trebuie raportată imediat băncii.
„Cea mai bună protecţie este să confirmaţi întotdeauna că vă aflaţi pe domeniul oficial înainte de a introduce credenţialele şi să verificaţi de două ori ferestrele browser-in-the-browser care ar putea afişa URL-ul corect.
Primirea unui SMS sau a unei solicitări PhotoTAN pe dispozitivul dvs. care nu este legată de o acţiune pe care aţi făcut-o este un semn al unei tentative de preluare şi ar trebui raportată imediat băncii”, susţin cercetătorii.
Cum funcționează sistemul PhotoTAN și de ce este exploatat
Raportul de specialitate explică faptul că PhotoTAN este un sistem de tip OTP folosit de numeroase bănci europene. În timpul autentificării sau al aprobării unei tranzacții, utilizatorului îi este afișată o imagine tip mozaic colorat. Aceasta trebuie scanată cu aplicația băncii.
Aplicația decodează imaginea și generează un cod unic, asociat tranzacției. Codul este introdus apoi pe site-ul băncii pentru finalizarea operațiunii. Atacatorii profită de acest mecanism, reușind să intercepteze codurile în timp real prin paginile de phishing create cu ajutorul kitului Spiderman.
