Možná to znáte: vyskočí na vás zpráva o aktualizaci bankovní aplikace nebo lákavá nabídka na věrnostní body. Vypadá to profesionálně, důvěryhodně a bezpečně. Jenže právě v ten moment začíná sofistikovaná past, která se v poslední době šíří i přes české hranice a míří přímo na váš bankovní účet.
Všiml jsem si, jak snadno se dnes lidé nechají nachytat na pocit naléhavosti. Útočníci totiž přestali sázet na primitivní e-maily plné chyb. Dnes sází na technologii NFC, kterou v Česku milujeme pro její pohodlí při placení v supermarketech nebo v kavárnách. Tato nová hrozba, pojmenovaná NGate, dokáže něco, co dříve vyžadovalo fyzický kontakt s vaší peněženkou.
Digitální kapsář v kapse vašich kalhot
Většina z nás si myslí, že data se kradou jen přes falešné formuláře. NGate na to jde mnohem chytřeji. Zneužívá přesně tu funkci, díky které platíte přiložením telefonu k terminálu. Jakmile si (často omylem) nainstalujete upravenou verzi aplikace pro platby, stává se z vašeho smartphonu vysílač pro zloděje.
Funguje to překvapivě jednoduše, jako neviditelný kabel natažený k útočníkovi:
- Aplikace vás pod záminkou „ověření“ vyzve, abyste přiložili platební kartu k zadní straně telefonu.
- V ten moment program přečte NFC data z vaší karty.
- Pokud v aplikaci navíc vyplníte svůj PIN kód, útočník má vše, co potřebuje.
- Tato data pak v reálném čase odešle do svého telefonu, se kterým prostě dojde k bankomatu a vybere hotovost, jako by v ruce držel vaši kartu.
Nedávno se tato metoda objevila přímo u nás v České republice. Útočníci si vybírali peníze z bankomatů, zatímco oběti měly své karty bezpečně u sebe v peněžence.
Zajímavé články:
Proč past vypadá tak lákavě?
Psychologie hraje pro zloděje. Místo abyste stahovali aplikace z oficiálního Google Play, podstrčí vám web, který vypadá jako věrná kopie. Může jít o falešnou stránku loterie, daňového úřadu nebo bankovního portálu. V mnoha ohledech je design tak precizní, že i zkušený uživatel může zaváhat.
Pamatujte si: Oficiální bankovní aplikace po vás nikdy nebude chtít, abyste přikládali kartu k telefonu za účelem zadání PIN kódu v rámci nějaké „aktualizace“. To je v bankovním světě nesmysl.
Co dělat, pokud máte pochybnosti
Pokud jste si v poslední době instalovali novou aplikaci pro finance nebo platby a nepamatujete si, že byste k ní šli přímo přes Google Play, zbystřete. Tady je rychlý návod, jak ochránit své peníze:
- Okamžitě aplikaci smažte: Pokud pochází z odkazu v SMS nebo z reklamy, pryč s ní.
- Vypněte NFC: Když kartu zrovna nepoužíváte k placení mobilem, můžete NFC v nastavení telefonu vypnout. Je to mechanická bariéra, přes kterou se útok neprotlačí.
- Změňte si PIN: Pokud jste jej už někam zadali, považujte kartu za kompromitovanou a nechte si u banky vystavit novou.
Závěrečná lekce pro bezpečí
Platební aplikace v mobilu byste měli hlídat stejně úzkostlivě jako fyzickou peněženku. Neinstalujte nic z neznámých zdrojů (soubory APK), i kdyby vám slibovali hory doly nebo strašili zablokováním účtu. Skutečná banka s vámi takto nekomunikuje.
Už se vám někdy stalo, že po vás aplikace chtěla netradiční přístup k funkcím telefonu, který vám přišel podezřelý? Podělte se o svoji zkušenost, může to pomoci ostatním se včas vyhnout podobné pasti.
