Dzień bez informacji o próbie wyłudzenia środków od klientów banku – dniem straconym. Było PKO i było Deutsche Bank. Tym razem celem ataku zostali klienci ING Banku Śląskiego.
Należy od razu zaznaczyć, że wiadomości e-mail były bardzo łatwe do zdemaskowania. Pojawiały się rażące błędy językowe i składniowe, dodatkowo skrzynki wrzucały je od razu do folderu “spam”. Zagrożenie to jednak zagrożenie, a mogą znaleźć się osoby, które podchodzą mniej krytycznie do zasad ortografii i gramatyki, warto więc o tym wspomnieć.
W wiadomości, której nadawca przedstawia się jako “Cyfrowe dyrektor bankowości”, czytamy (oryginalna pisownia zachowana):
“Szanowny Kliencie cenione,
Masz płatność przychodząca trafi na Twoje konto. Ta transakcja nie może być ukończyć z powodu błędów w informacji o koncie. Jesteś zobowiązany do kliknij na logo poniżej wobec utrwalić ten problem natychmiast.
Prosimy nie odpowiadać na tę wiadomość. Jeśli masz pytania, zadzwoń obsługi klienta w numer na odwrocie karty. Są dostępne 24 godziny na dobę, 7 dni w tygodniu. Mamy nadzieję, że znajdziesz nasze usługi Internet Banking, łatwe i wygodne w użyciu.
Pozdrawiam serdecznie ING Bank Śląski S.A,
Cyfrowe dyrektor bankowości”
Problem został już naprawiony, a strony, podane w celu podania wiadomości o stronie, zablokowane. Sytuacja działa na korzyść klienta, ale nieco dziwi lenistwo oszustów. W końcu nie podejmują próby włamania do sklepu z zapałkami, ale na konto bankowe, gdzie dokonują się nieraz duże operacje, wymiana walut. Przypomina to niedawną ciekawostkę z Allegro (trudno uznać to za poważny atak phishingowy), gdzie klient, zamiast zalogowania się na koncie (ang. sign in), zobowiązany był do śpiewania (ang. sing).
Oczywiście bardzo łatwo wykryć przyczynę błędu. Leniwi phishingowcy wrzucili przygotowany tekst do dowolnego sieciowego tłumacza, troszcząc się tylko o oprawę graficzną. I mimo, że powyższe ataki raczej prowokują do uśmiechu, niż refleksji, powinno to przypomnieć, że internetowi oszuści nie śpią. Nigdy i pod żadnym pozorem nie powinniśmy udostępniać swoich danych innymi drogami, niż te ujęte w umowie. Bank nigdy nie poprosi nas o ich przesłanie, zatem jedyne, co możemy zrobić po otrzymaniu fałszywej wiadomości, to powiadomić instytucję, pod którą oszust się podszywa.