Tentativă de furt de date personale ale utilizatorilor de carduri din România

Banca Comercială Română (BCR) și Softwin au descoperit marți o tentativă de furt de date personale (phishing) care îi viza pe posesorii de carduri emise de mai multe bănci din România.
Phishing-ul implică în general un e-mail trimis aparent de o bancă, o companie mare sau instituție de stat către clienții săi, cerându-le să intre pe un site pentru a-și reintroduce datele personale – cod numeric personal, card bancar și PIN, conturi de plată online și parolele lor.
Utilizatorii au primit un mesaj pe e-mail care părea a veni de la BCR și care încerca să îi convingă să intre pe o pagină de web specială. Aici se solicita divulgarea de unor date precum numărul cardului, PIN-ul asociat, banca emitentă.
Potrivit unui comunicat al Softwin, mesajul era scris greșit gramatical, ceea ce indică faptul că hackerii ar putea să nu fie români. E-mailul îl avertiza pe utilizator că o anume persoană, cu numele de Bill Chang, domiciliată în Statele Unite, a cumpărat un telefon mobil în valoare de 470 lei, folosindu-i cardul.
În continuare, în e-mail se menționa că dacă această tranzacție nu este autorizată, deținătorul cardului poate urma link-ul „tranzacție în curs” pentru a o anula și pentru a primi banii înapoi. Astfel, utilizatorul era îndrumat către pagina falsă.
Pagina încerca să fie cât mai convingătoare, afișând logourile Visa, Mastercard, BCR și conține un formular prin care posesorul cardului, presupus a fi emis de mai multe bănci, este invitat să-și divulge datele personale.
De asemenea, hackerii făceau referire la serviciu numit BCR lwpelectronics, care în realitate nu există.
În afară de traducerea din engleză, eronată uneori, toate celelalte elemente sunt identice sau foarte asemănătoare, inclusiv numele și adresa celui care ar fi făcut plata, se menționează în comunicat.
„Pentru un utilizator cât de cât atent, există suficiente elemente care să-i dea de gândit, astfel încât considerăm că acest e-mail nu va avea un impact foarte mare. Aspectul îngrijorător în această situație este frecvența din ce în ce mai mare a acestui fel de atacuri, îndreptate asupra românilor ce folosesc servicii de online banking. Utilizatorii de internet din România nu sunt încă obișnuiți cu acest fenomen, iar un atac mai rafinat, mai bine pus la punct și mai credibil îi va convinge probabil pe mulți să își introducă datele personale, lăsându-și banii la îndemâna hoțului”, a declarat în comunicat Daniel Raduță, project manager al laboratorului antispam BitDefender.
Conform specialiștilor BitDefender, cele mai importante măsuri pe care un utilizator le poate lua pentru a se proteja de astfel de atacuri se referă la neaccesarea linkului dintr-un mesaj, indiferent de unde provine, chiar de la prieteni, instituții, bănci.
Pentru a intra pe site-ul băncii, poate tasta adresa de web a acesteia. De asemenea, utilizatorul trebuie să fie atent când primește orice fel de mesaje legate de activități financiare, aparent de la bănci. Majoritatea băncilor explică clar în politicile lor că nu vor trimite niciodată mesaje e-mail în care să ceară datele personale.
La nivel mondial, phishing-ul provoacă anual pagube de peste 50 de miliarde de dolari.