Urad RS za informacijsko varnost opozarja na lažna elektronska sporočila, ki se predstavljajo kot obvestila OTP banke in uporabnike spletne banke pozivajo k domnevni nujni varnostni obnovi oziroma aktivaciji računa. Pri tem skušajo napadalci pridobiti podatke za dostop do spletne banke.
Po kliku na povezavo v sporočilu se uporabniku odpre lažna spletna stran, ki zlorablja grafično podobo OTP banke in se lažno predstavlja kot stran, povezana z uradom za informacijsko varnost. Uporabnike poziva k vnosu elektronskega naslova in telefonske številke ter jih vodi skozi večstopenjski postopek, s katerim skušajo napadalci pridobiti podatke za dostop do spletne banke, je danes objavil urad.
“Gre za napredno obliko phishing napada, pri katerem skušajo napadalci z uporabo lažnih elektronskih sporočil, spletnih strani in telefonskih klicev pridobiti podatke za prijavo v spletno banko ter podatke za potrjevanje transakcij. Takšni napadi lahko povzročijo veliko finančno škodo podjetjem in drugim organizacijam,” opozarjajo na uradu.
Prevari pogosto sledi telefonski klic
Posebnost tovrstnih napadov je, da jim pogosto sledi telefonski klic osebe, ki se predstavlja kot uslužbenec banke. Ker lažna spletna stran uporabniku predhodno sporoči, da ga bo kontaktiral predstavnik banke, žrtev takšen klic pričakuje in ga zato težje prepozna kot prevaro.
Napadalci pri tem pogosto uporabljajo slovenske telefonske številke ali ponaredijo prikaz telefonske številke, tako da se na zaslonu telefona izpiše prava številka banke.
Urad uporabnike poziva, naj pred vnosom osebnih ali prijavnih podatkov vedno preverijo naslov spletne strani in pošiljatelja elektronskega sporočila.
Banke ne zahtevajo gesel prek elektronske pošte
Po navedbah urada banke in hranilnice uporabnikov ne pozivajo prek elektronske pošte ali SMS-sporočil, da morajo zaradi domnevnih varnostnih razlogov, grožnje blokade računa ali drugih nujnih okoliščin prek povezav v sporočilih vnesti gesla, potrditvene kode ali druge občutljive podatke.
Če uporabniki prejmejo takšno sporočilo, naj ga obravnavajo kot sumljivo in se za preverjanje informacij obrnejo neposredno na svojo banko prek uradnih kontaktnih podatkov.
Če so na lažni spletni strani že vnesli svoje podatke ali sledili navodilom oseb, ki so se predstavljale kot predstavniki banke, naj nemudoma kontaktirajo svojo banko in preverijo morebitne nepooblaščene aktivnosti na računu. Takšna sporočila naj posredujejo tudi pristojni CSIRT-skupini SI-CERT ali SIGOV-CERT, še poziva urad.
