Nie ulega wątpliwości, że korzystanie z banków w dzisiejszych czasach stało się wygodniejsze niż kiedykolwiek wcześniej. W dużej mierze za sprawą bankowości mobilnej wystarczy smartfon lub tablet, by na bieżąco mieć wgląd w stan swoich finansów. Potrzebne są do tego odpowiednie aplikacje — i właśnie tu oszuści mogą, jak się okazuje, zwietrzyć okazję do wyłudzenia danych lub pieniędzy.
Fałszywa aplikacja podszywająca się pod bank
Kilka dni temu w sklepie Google Play pojawiła się aplikacja zatytułowana „Zachodni WBK mobile”. Niby nic w tym nietypowego — z Google Play pobieramy wszystkie oficjalne aplikacje do mobilnej bankowości obsługujące system Android. Problem w tym, że „Zachodni WBK mobile” wcale nie jest produktem należącym do Banku Zachodniego WBK.
Klienci Banku Zachodniego WBK łatwo mogli zostać wprowadzeni w błąd. Oficjalna aplikacja obsługująca bankowość mobilną tego banku nosi nazwę „BZWBK24 mobile”. Trzeba o tym pamiętać, by nie paść ofiarą oszustów i nie ściągnąć podróbki na swoje urządzenie.
Oszukańcza aplikacja, podszywająca się pod produkt Banku Zachodniego, a wydana faktycznie przez firmę FinAppsUnited, zniknęła już ze sklepu Google Play, lecz to wcale nie oznacza końca problemów. Po pierwsze, w internecie nic nie ginie — można więc natknąć się na „Zachodni WBK mobile” na jakiejś innej stronie lub w alternatywnym repozytorium APK. Po drugie, szkoda zdążyła się dokonać. Według wskaźnika pobrań w Google Play przez ubiegły weekend co najmniej 500 osób dało się nabrać na fałszywkę.
Poprzedni incydent z podróbką „BZWBKlight”
Oczywiście fałszywe aplikacje do obsługi bankowości elektronicznej to nie nowość. Dopiero co, na przełomie lipca i sierpnia, w Google Play mogliśmy natrafić na inny produkt — również usiłujący podpiąć się pod Bank Zachodni WBK — „BZWBKlight”.
Bank zmuszony był oczywiście podjąć odpowiednie kroki: wystosował oświadczenie o rozpoczęciu działań na rzecz usunięcia aplikacji ze sklepu oraz skierował do swoich klientów ostrzeżenie przed nią. W efekcie już po kilku godzinach oszukańcza aplikacja zniknęła z Google Play. Dlaczego oszuści uwzięli się akurat na Bank Zachodni WBK? To pozostaje na razie tajemnicą — być może rozpoznawalność marki i liczba użytkowników sprawiły, że atak wydał się im bardziej opłacalny.
Czym grozi instalacja podrobionej aplikacji bankowej
Skorzystanie z tego rodzaju fałszywek może być zgubne w skutkach. Wszystko zależy od celów, jakie przyświecają twórcom takich produktów — a z dużym prawdopodobieństwem kieruje nimi chęć zdobycia danych dostępowych do prawdziwych systemów bankowości, dzięki którym można przechwycić środki finansowe klientów. Inaczej mówiąc: okraść ich.
Dlatego takich złośliwych aplikacji trzeba się wystrzegać. Nie zawsze jest to łatwe, zwłaszcza kiedy ikona i opis na stronie prezentują się profesjonalnie, a aplikacji — bo i tak się zdarza — towarzyszy w sieci kampania reklamowa wykorzystująca sprawdzone kanały marketingowe. Podróbki często wykorzystują również nazwę zbliżoną do oryginalnej, co wprowadza użytkowników w błąd podczas pośpiesznego wyszukiwania w sklepie z aplikacjami.
Jak sprawdzić, czy aplikacja jest oficjalna
Zanim pobierzesz aplikację bankową, koniecznie sprawdź, kto jest jej wydawcą. W przypadku tych wyżej wspomnianych wcale nie było trudno dowiedzieć się, że to nie Bank Zachodni za nimi stoi. Wydawcą „Zachodni WBK mobile” jest FinAppsUnited, „BZWBKlight” natomiast został wydany przez West Corp Services — w obu przypadkach mamy do czynienia z nieznanymi firmami, o których trudno się dowiedzieć czegoś więcej.
- Sprawdzaj nazwę wydawcy w Google Play lub App Store — oficjalne aplikacje banków publikowane są przez same banki (np. „Santander Bank Polska S.A.”) lub znane firmy technologiczne.
- Czytaj opinie użytkowników — fałszywe aplikacje często mają niskie oceny lub brak opinii.
- Zwracaj uwagę na liczbę pobrań — oficjalne aplikacje dużych banków mają miliony instalacji, podróbki liczą co najwyżej setki lub tysiące.
- Weryfikuj uprawnienia, o które prosi aplikacja — oszukańcze programy często żądają dostępu do SMS, kontaktów lub innych danych bez uzasadnienia.
- W razie wątpliwości skontaktuj się bezpośrednio z bankiem — przez infolinię lub czat na oficjalnej stronie internetowej.
Dodatkowe środki ostrożności przy aplikacjach mobilnych
Poza weryfikacją pochodzenia aplikacji bankowej warto stosować kilka dodatkowych zasad bezpieczeństwa, które zmniejszą ryzyko utraty środków finansowych. Przede wszystkim nigdy nie instaluj aplikacji z nieznanych źródeł — pozabankowych repozytoriów, linków przesłanych w SMS-ach czy e-mailach od nieznanych nadawców.
Zawsze aktualizuj aplikacje do najnowszej wersji — producenci regularnie naprawiają wykryte luki bezpieczeństwa i dodają nowe zabezpieczenia. Równie istotne jest stosowanie silnych, unikalnych haseł oraz włączenie uwierzytelniania dwuskładnikowego wszędzie tam, gdzie bank tę opcję oferuje.
Co zrobić, jeśli podałeś dane w fałszywej aplikacji
Jeśli podejrzewasz, że zainstalowałeś podróbkę i wprowadziłeś w niej swoje dane logowania, natychmiast skontaktuj się z bankiem. Zgłoś incydent na infolinię, aby zablokować dostęp do konta i zmienić hasło. Bank powinien również monitorować Twoje konto pod kątem nieautoryzowanych transakcji.
Odinstaluj fałszywą aplikację, a następnie przeskanuj urządzenie przy użyciu sprawdzonego oprogramowania antywirusowego. Warto także zmienić hasła do poczty e-mail i innych serwisów, które mogły zostać powiązane z kontem bankowym. W niektórych przypadkach konieczne może być zgłoszenie incydentu na policję — szczególnie gdy doszło do faktycznej kradzieży środków.
Odpowiedzialność banków i sklepów z aplikacjami
Banki coraz częściej podejmują działania mające na celu ochronę klientów przed tego typu zagrożeniami. Obejmują one m.in. kampanie edukacyjne, regularne ostrzeżenia wysyłane SMS-em lub w aplikacji oraz współpracę z operatorami sklepów aplikacji w celu szybkiego usuwania fałszywek.
Google i Apple z kolei weryfikują aplikacje przed opublikowaniem w swoich sklepach, jednak procesy te nie są doskonałe — oszuści potrafią obejść automatyczne filtry, stosując różne techniki maskowania prawdziwego charakteru aplikacji. Dlatego ostateczna odpowiedzialność za bezpieczeństwo spoczywa również na użytkowniku, który powinien zachować czujność i weryfikować pobierane oprogramowanie.
Zgłaszanie podejrzanych aplikacji
Jeśli natkniesz się na aplikację, która wydaje Ci się podejrzana, zgłoś ją do sklepu, z którego pochodzi. W Google Play można to zrobić poprzez opcję „Oznacz jako niewłaściwe” dostępną na stronie aplikacji. W App Store należy skorzystać z formularza zgłoszeniowego dostępnego na stronie Apple.
Takie zgłoszenia pomagają chronić innych użytkowników i przyśpieszają proces usuwania niebezpiecznych aplikacji z oficjalnych repozytoriów.
