Z ostrzeżeń opublikowanych przez Aliora, Getin i ING wynika, że do fałszywego sklepu Google Play prowadzą linki rozsyłane przez oszustów w wiadomościach SMS
Kilka dni temu w serwisie cashless.pl mogliście przeczytać tekst na temat fałszywego marketu Google Play, przed którym ostrzegał Alior. Okazuje się, że atak może mieć większy zasięg, bo podobne komunikaty ostrzegawcze właśnie zostały opublikowane przez dwie kolejne instytucje finansowe, a więc Getin i ING Bank Śląski.
Atak rozpoczyna się od masowej wysyłki wiadomości SMS, w których przestępcy pod różnymi pretekstami zachęcają do pobrania aplikacji mobilnej, np. Inpostu, Allegro albo innej firmy kurierskiej czy portalu aukcyjnego. Tym pretekstem może być np. konieczność dopłaty drobnej kwoty do zamówionej w internecie przesyłki czy konieczność zaktualizowania danych w portalu aukcyjnym.
W wiadomości SMS znajduje się link, który prowadzi do podrobionego serwisu Google Play. Tam znajdują się fałszywe aplikacje wspomnianych wyżej firm. Jeśli zdecydujecie się je zainstalować, w trakcie tego procesu aplikacja poprosi Was o przyznanie dodatkowych uprawnień i zezwolenie na instalowanie oprogramowania spoza oryginalnego Google Play. Jeśli się na to zgodzicie, na Waszym smartfonie może zostać zainstalowana apka, która będzie mogła przejąć dane logowania do bankowości elektronicznej, dane karty płatniczej czy wiadomości SMS z kodami do autoryzacji przelewów. W rezultacie możecie stracić pieniądze.
Aby obronić się przed tym atakiem, należy zachować podstawowe zasady bezpiecznego korzystania z usług cyfrowych. Przede wszystkim więc nie wolno klikać w linki otrzymywane w wiadomościach SMS od nieznanych nadawców i instalować aplikacji spoza oryginalnych marketów (dla bezpieczeństwa najlepiej wyłączyć w ustawieniach możliwość instalacji apek z nieznanych źródeł). Ponadto zawsze należy sprawdzać adres strony, na której wprowadza się ważne dane oraz treść wiadomości z kodami autoryzacyjnymi czy odpowiednie komunikaty autoryzacji mobilnej. A w aplikacji mobilnej nigdy nie należy podawać loginu i hasła potrzebnego do zalogowania na rachunek przez internet.
