Oszuści poprzez reklamy w wynikach wyszukiwania Google pozycjonują na pierwszym miejscu stronę phishing Banku Gospodarstwa Krajowego. Wyłudzone w ataku dane logowania do bankowości posłużyć mogą do kradzieży środków pieniężnych.

Wiele osób wyszukuje adres platformy transakcyjnej swojej bankowości poprzez wyszukiwarkę Google. Niestety oszuści wykorzystują ten fakt poprzez pozycjonowanie reklamy prowadzącej do strony phishing na pierwszym miejscu w wynikach wyszukiwania. W opisywanym przypadku na baczności powinni mieć się w szczególności klienci Banku Gospodarstwa Krajowego.

Reklama w wynikach wyszukiwania Google

Wyszukując frazę bgk24, która pozwala znaleźć platformę bgk24.pl (platforma Banku Gospodarstwa Krajowego) na pierwszym miejscu w wynikach otrzymamy złośliwą reklamę. Dopiero poniżej widoczne są wyniki prowadzące do oryginalnej strony banku.

google-2

Widoczna w reklamie strona o adresie secure-siteofficial-online.com jest wykorzystywana jako przekierowanie do docelowej strony phishing bgk24-login.com. Na fałszywej stronie Banku Gospodarstwa Krajowego wyłudzany jest identyfikator.

BrowserWall

Wykorzystywane w ataku domeny zostały przez nas ujawnione w czerwcu oraz lipcu. W tym czasie wykryliśmy również kilkanaście innych domen, które są przygotowywane i wykorzystywane w tego typu atakach również na inne bankowości. Wszystkie te domeny są blokowane przez BrowserWall DNS oraz dostępne w CTI Feed.

Phishing Banku Gospodarstwa Krajowego

Strona przygotowana przez oszustów do złudzenia przypomina oryginalną stronę o adresie bgk24.pl. Jedyną widoczną na pierwszy rzut oka różnicą jest adres - bgk24-login.com.

phishing1-1

Wprowadzenie identyfikatora oraz zatwierdzenie poprzez przycisk Zaloguj skutkuje wyświetleniem animacji ładowania. Jednocześnie wyświetlony zostaje komunikat o treści: Poczekaj aż Twój komputer zostanie zidentyfikowany. Może to potrwać trochę czasu. Prawdopodobnie oszuści weryfikują wtedy poprawność wprowadzonego identyfikatora. W przypadku, gdy jest on prawidłowy mogą zostać wyświetlone kolejne etapy ataku phishing wyłudzające dalsze informacje.

phishin2-1

Oszuści wprowadzili pewne ograniczenia dla "odwiedzających". Strona phishing nie każdemu może zostać wyświetlona. W zamian tego zaprezentowane zostaną treści biura rachunkowego In Plus, które pochodzą z oryginalnej strony o adresie inplus.lublin.pl.

biuro_rachunkowe-1

PODSUMOWANIE

Otwierając stronę logowania do bankowości należy wprowadzić adres ręcznie w pasku adresu. Dzięki temu ustrzeżemy się przed takim typem ataku. Należy również pamiętać, aby nie otwierać strony naszego banku poprzez linki w wiadomościach SMS, email, bądź przesyłane za pomocą różnych komunikatorów.