Wiele osób wyszukuje adres platformy transakcyjnej swojej bankowości poprzez wyszukiwarkę Google. Niestety oszuści wykorzystują ten fakt poprzez pozycjonowanie reklamy prowadzącej do strony phishing na pierwszym miejscu w wynikach wyszukiwania. W opisywanym przypadku na baczności powinni mieć się w szczególności klienci Banku Gospodarstwa Krajowego.

Reklama w wynikach wyszukiwania Google

Wyszukując frazę bgk24, która pozwala znaleźć platformę bgk24.pl (platforma Banku Gospodarstwa Krajowego) na pierwszym miejscu w wynikach otrzymamy złośliwą reklamę. Dopiero poniżej widoczne są wyniki prowadzące do oryginalnej strony banku.

Widoczna w reklamie strona o adresie secure-siteofficial-online.com jest wykorzystywana jako przekierowanie do docelowej strony phishing bgk24-login.com. Na fałszywej stronie Banku Gospodarstwa Krajowego wyłudzany jest identyfikator.

Wykorzystywane w ataku domeny zostały przez nas ujawnione w czerwcu oraz lipcu. W tym czasie wykryliśmy również kilkanaście innych domen, które są przygotowywane i wykorzystywane w tego typu atakach również na inne bankowości. Wszystkie te domeny są blokowane przez BrowserWall DNS oraz dostępne w CTI Feed.

Phishing Banku Gospodarstwa Krajowego

Strona przygotowana przez oszustów do złudzenia przypomina oryginalną stronę o adresie bgk24.pl. Jedyną widoczną na pierwszy rzut oka różnicą jest adres - bgk24-login.com.

Wprowadzenie identyfikatora oraz zatwierdzenie poprzez przycisk Zaloguj skutkuje wyświetleniem animacji ładowania. Jednocześnie wyświetlony zostaje komunikat o treści: Poczekaj aż Twój komputer zostanie zidentyfikowany. Może to potrwać trochę czasu. Prawdopodobnie oszuści weryfikują wtedy poprawność wprowadzonego identyfikatora. W przypadku, gdy jest on prawidłowy mogą zostać wyświetlone kolejne etapy ataku phishing wyłudzające dalsze informacje.

Oszuści wprowadzili pewne ograniczenia dla "odwiedzających". Strona phishing nie każdemu może zostać wyświetlona. W zamian tego zaprezentowane zostaną treści biura rachunkowego In Plus, które pochodzą z oryginalnej strony o adresie inplus.lublin.pl.

PODSUMOWANIE

Otwierając stronę logowania do bankowości należy wprowadzić adres ręcznie w pasku adresu. Dzięki temu ustrzeżemy się przed takim typem ataku. Należy również pamiętać, aby nie otwierać strony naszego banku poprzez linki w wiadomościach SMS, email, bądź przesyłane za pomocą różnych komunikatorów.