Nawet klienci banków stosujących dodatkowe zabezpieczenie w postaci haseł SMS nie są bezpieczni – ten trojan zaraża również telefony komórkowe, co umożliwia hakerom całkowite przejęcie konta i wyczyszczenie go z pieniędzy.
Procedura jest prosta: wykorzystując luki w zabezpieczeniach komputera, ZeuS proponuje użytkownikowi zainstalowanie programu, np. powodującego przyspieszenie procesora – tak naprawdę zawierającego tylko szkodliwy kod.
Po instalacji klient, wpisując adres strony banku, wchodzi na prawie identyczną stronę spreparowaną przez przestępców. Ci za jej pomocą wyłudzają nie tylko dane dostępowe, ale także numer i typ telefonu komórkowego, na który przesyłane są hasła SMS – pod pretekstem konieczności zainstalowania oprogramowania do korzystania z konta w telefonie.
Nieświadomy niczego użytkownik instalując program umożliwia hakerom przechwytywanie haseł SMS i w konsekwencji pełną kontrolę nad kontem, które następnie jest czyszczone z pieniędzy z pomocą (często również nieświadomego) pośrednika.
Laboratorium F-Secure przygotowało pięć kluczowych zasad, dzięki którym można uchronić swoje konto bankowe przed cyber-atakiem.
1. Zabezpiecz swój komputer.
Wiele osób podłącza swój telefon do komputera, nie zdając sobie sprawy, że jest to najłatwiejszy sposób zarażenia swojej komórki złośliwymi wirusami i “robakami”. Należy korzystać z wysokiej klasy programów zabezpieczających, zapewniających całościową ochronę komputera przed zagrożeniami z zewnątrz. Najlepiej używać ich płatnych wersji, które mają zazwyczaj rozbudowane funkcje w stosunku do wersji darmowych.
2. Zabezpiecz swój telefon.
Telefony, a zwłaszcza smartfony działające na nowoczesnych systemach operacyjnych (Android, Symbian, iOS, BlackBerry, Windows Mobile), są także podatne na cyber-ataki. Na szczęście dostępne jest też oprogramowanie zabezpieczające komórki. Jednak zainstalowanie go to nie wszystko.
Należy bardzo uważnie przyglądać się każdemu programowi instalowanemu na komórce i unikać wgrywania czegokolwiek z nieznanych źródeł. Dodatkowo należy pamiętać, że banki zazwyczaj nie wymagają instalacji dodatkowego oprogramowania na telefonach klientów.
3. Nie ufaj linkom.
Należy zawsze samodzielnie wpisywać adres strony internetowej banku, lub zachować go w zakładce na swoim komputerze. Nigdy nie należy wchodzić na link do strony logowania się podesłany np. e-mailem, nawet jeśli wygląda on na wiadomość przesłaną przez bank – przestępcy często fałszują wygląd e-maili, by upodobnić je do oficjalnych wiadomości przesłanych przez bank.
4. Nie ufaj SMSom.
Banki nigdy nie wysyłają SMSów z linkami do plików instalacyjnych. Dodatkowo zawsze należy sprawdzić, czy otrzymany link kieruje do domeny internetowej banku – w przypadku prób oszustwa przestępcy często wykorzystują adresy bliźniaczo podobne do domen banków, jednak różniące się od nich (czasami tylko jednym znakiem, więc należy zachować szczególną czujność!).
5. Włącz sprawdzanie certyfikatu online w telefonie.
Większość nowoczesnych telefonów posiada funkcję sprawdzania certyfikatu online, którym podpisywana jest większość tworzonych aplikacji. Nieaktualny certyfikat programu wyklucza możliwość jego instalacji, a większość wariantów ZeuSa jest podpisana wycofanymi już certyfikatami.
W większości telefonów ta funkcja jest z definicji wyłączona, ale można ją łatwo aktywować w ustawieniach aparatu. Należy się skontaktować z producentem telefonu (np. dzwoniąc na infolinię), by dowiedzieć się, jak włączyć sprawdzanie certyfikatu online w danym modelu.
